index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
文章探讨了企业安全团队面临的挑战,尤其是如何赢得业务部门的信任和认可。文章指出,安全团队常因过度关注技术和漏洞,忽略了研发团队的体验和价值收益。为了解决这一问题,文章提出了几点关键建议,包括明确修复漏洞的成果、提供清晰易懂的修复方案、以及从产品视角调研研发需求。文章强调,安全的核心价值在于控制安全风险,为业务解决安全问题,并最终赢得公司管理层和业务负责人的认可。
🛡️ 安全团队面临的挑战:文章指出,企业安全团队常因无休止的漏洞修复、误报、不清晰的修复方案以及难用的安全工具,导致研发团队对其失去信任,甚至被视为业务的负担。
💡 挽回研发信任的关键:为了挽回研发团队的信任,安全团队需要关注研发团队在处理安全漏洞时的体验、成本及价值收益。这包括明确修复漏洞的成果、提供清晰易懂的修复方案,以及从产品视角调研研发需求,以提升研发的积极性。
🎯 安全的核心价值:文章强调,安全的核心价值在于控制安全风险,为业务解决安全问题。这意味着安全团队需要与公司管理层和业务负责人达成共识,了解他们真正关心和认可的风险,才能真正创造价值。
📢 如何挖掘业务价值:文章提到了一个直播活动,旨在探讨在各种场景下,安全如何挖掘业务价值,并赢得业务的认可。这表明,文章希望通过实践和交流,帮助安全从业者解决实际问题。
2025-06-27 09:29 北京
安全如何挖掘业务价值?
最近跟一个头部大厂的安全负责人在一起交流,期间聊到他们现在最头疼的问题,就是业务部门的研发吐槽安全吐槽的太多了,在业务部门研发眼里,安全团队就是一群给业务找麻烦的人,要如何扭转这个局面。上一次直播的时候,有一个甲方负责安全工作的朋友,也提了一个在甲方做安全,困扰大家最多的一个问题,就是安全工作如何赢得业务和老板的认可。现在最头疼的问题,就是安全团队在公司管理层和业务那边没有啥存在感,公司裁员降本增效,第一个裁安全,搞得现在企业安全团队都干的很焦虑。以上两个典型的问题,基本上是当下大多数企业安全管理者和从业者都面临的困境。今天我们就来深入剖析一下导致当下这个现状的一些根本原因。
之前我有写过文章说过,今天大多数企业的安全团队正在丧失研发同学的信任,究其根本:无休止的漏洞需要修复,且很多误报、不清晰的修复方案导致工作成本很高,无法说清楚漏洞的真实影响;最重要的是研发修复漏洞的工作无法获得正向反馈,既不会被纳入工作成果,也无法即时获得激励;相反,研发同学如果抵触修复漏洞,得到的只有抄送上级,公开晾晒的压力;甚至,还有非常难操作和使用的各种安全工具、平台,需要强制配合使用;我想,这些事情如果发生在任何人身上,都会失去耐心和异常的抵触。那么根本原因还是在于,过去安全团队太关注漏洞本身,关注技术本身,而忽略了业务研发团队在处理安全漏洞这件事情上的体验、付出的成本及价值收益。这些是每一个人去做一件事情都会关注的最基本的几个关键因素。那么如何去挽回研发同学的信任,我想有几点是很关键的: 给研发派发一个漏洞和工单时,要先设计好他干完这个工作之后的成果是什么?比如修漏洞这个事情是否能够放到他和他老板的工作目标里去,不让他打黑工?又或者有一个公开的表扬或者把他的工作成果同步给他的老板?或者其他更适合公司的办法?尽量去把每一个推送给研发的安全问题,有清晰易懂的可解释?哪怕是误报,研发也能够低成本的判断是误报?给出清晰易懂,可执行的修复方案?在设计面向研发的安全产品和工具的时候,认真的从产品视角去调研研发用户的需求?而不是给一个只有安全专家才能看懂和用明白的工具?综上,其实安全团队需要一个好的产品经理和运营,需要产品经理来理解用户需求,产品和运营同学一起来为研发用户真正创造价值。
我时常在想,安全的核心价值到底是什么?我想终究还是要回到为公司控制安全风险,为业务解决安全风险。这句话最关键的是两个点: 安全的用户是公司(公司管理层/老板),以及业务(业务负责人); 创造的价值是控制他们的风险;那么这里面有一个最关键的前提,就是我们所做的所有事情,是不是用户(老板+业务负责人)真正认可的风险和价值。如果是,那么安全创造的是价值,如果不是,安全创造的是负担。所以问题的本质,就回到了我们如何挖掘到公司管理层及业务负责人真正关心和认可的风险,并且与他们达成共识。
我想本周天(6月29日)晚上19:30,花3个小时,好好聊聊我们在各种场景下,安全如何挖掘业务价值,并且赢得业务的认可。所有正在受这些问题困恼的朋友,本周天晚上,我们一起来直播间聊聊。以下是直播预约通道,欢迎提前预约直播:也欢迎大家把关于这场直播的预告,分享给你身边正在从事企业安全工作的小伙伴们,一起来交流和学习。
阅读原文
跳转微信打开
