CXO:我不接受拒绝。安全必须为业务开道!除了你目前的“不,不能干这个”的结论以外,还有什么其他备选项?
安全人员:没什么好办法了。我们做了多次分析,顾问和咨询公司的专业技术分析师都验证了我们的结论。
CXO:记住,“技术要让位于业务”,你不能说“不”,你必须给我想出一个备选方案来。
安全人员:好吧……你可以试试X方案或Y方案,再加上P或Q安全保障措施。
CXO:行,这还差不多。你所说的办法风险有多大?
安全人员:最坏的结果就是天崩地裂,地球毁灭。
CXO:呃……算你狠。但业务有时也必须承受风险的,对吧?毁灭我也认了。
轰!!!
5000年过去了……
一艘外星飞船发现了毫无生机的地球,降落。外星考古学家好奇心发作,决定找出“是什么毁灭了地球?”
飞碟降落后,外星人在一台奇迹般幸存下来的平板设备上找到了CXO与安全人员的谈话记录,于是,一场争论在外星人中展开:是谁灭绝了地球生物 ?业务还是安全?
是安全人员的错,他们明知安全风险却还是给出了引起毁灭的解决方案。
是管理人员的错,他们愚蠢地无视了现有事实和外部专家支持的清晰准确的沟通。
但,哪种认识更接近真相呢?如果有真相这种东西的话。
当然,这不是一篇关于探讨人类灭亡危机的微型科幻小说,这只是一篇关于日常工作中有时不得不越界的寓言故事。作为一名安全技术人员,也许你会被要求去做一些Mission impossible。而实际上不可能完成的任务就是不可能,没有所谓的“备选方案”。如果有的话,那就是“去死吧!”。
比如说:
· 0元打造企业级防高级持续性威胁的安全运营中心……去死吧!
· 无人管理内部运行的安全信息和事件管理(SIEM)……去死吧!
· 在无自动化的脆弱遗留系统上尽可能快地打补丁……去死吧!
· 在员工个人电脑上用公共wifi处理高度机密数据……去死吧!
结论:
有时候,“不”才是正确答案!要不然,就在天崩地裂之前移民到火星,或是逃到太空站上去吧!