CXO:我不接受拒絕。安全必須為業(yè)務(wù)開道!除了你目前的“不,不能干這個(gè)”的結(jié)論以外,還有什么其他備選項(xiàng)?
安全人員:沒什么好辦法了。我們做了多次分析,顧問和咨詢公司的專業(yè)技術(shù)分析師都驗(yàn)證了我們的結(jié)論。
CXO:記住,“技術(shù)要讓位于業(yè)務(wù)”,你不能說“不”,你必須給我想出一個(gè)備選方案來。
安全人員:好吧……你可以試試X方案或Y方案,再加上P或Q安全保障措施。
CXO:行,這還差不多。你所說的辦法風(fēng)險(xiǎn)有多大?
安全人員:最壞的結(jié)果就是天崩地裂,地球毀滅。
CXO:呃……算你狠。但業(yè)務(wù)有時(shí)也必須承受風(fēng)險(xiǎn)的,對吧?毀滅我也認(rèn)了。
轟!!!
5000年過去了……
一艘外星飛船發(fā)現(xiàn)了毫無生機(jī)的地球,降落。外星考古學(xué)家好奇心發(fā)作,決定找出“是什么毀滅了地球?”
飛碟降落后,外星人在一臺奇跡般幸存下來的平板設(shè)備上找到了CXO與安全人員的談話記錄,于是,一場爭論在外星人中展開:是誰滅絕了地球生物 ?業(yè)務(wù)還是安全?
是安全人員的錯(cuò),他們明知安全風(fēng)險(xiǎn)卻還是給出了引起毀滅的解決方案。
是管理人員的錯(cuò),他們愚蠢地?zé)o視了現(xiàn)有事實(shí)和外部專家支持的清晰準(zhǔn)確的溝通。
但,哪種認(rèn)識更接近真相呢?如果有真相這種東西的話。
當(dāng)然,這不是一篇關(guān)于探討人類滅亡危機(jī)的微型科幻小說,這只是一篇關(guān)于日常工作中有時(shí)不得不越界的寓言故事。作為一名安全技術(shù)人員,也許你會被要求去做一些Mission impossible。而實(shí)際上不可能完成的任務(wù)就是不可能,沒有所謂的“備選方案”。如果有的話,那就是“去死吧!”。
比如說:
·0元打造企業(yè)級防高級持續(xù)性威脅的安全運(yùn)營中心……去死吧!
·無人管理內(nèi)部運(yùn)行的安全信息和事件管理(SIEM)……去死吧!
·在無自動化的脆弱遺留系統(tǒng)上盡可能快地打補(bǔ)丁……去死吧!
·在員工個(gè)人電腦上用公共wifi處理高度機(jī)密數(shù)據(jù)……去死吧!
結(jié)論:
有時(shí)候,“不”才是正確答案!要不然,就在天崩地裂之前移民到火星,或是逃到太空站上去吧!