永不停滯的安全性:透過指導初創企業學到的東西
我一直對新穎且具創新性的產品充滿熱情。由於威脅情勢不斷變化,網路安全領域對產品創新的需求幾乎是無窮盡的——這也是過去五年裡它令我如此著迷的原因。我甚至可以說,威脅執行者本身便是最大的創新者之一:每當開發出新工具來遏止威脅執行者時,攻擊者很快便會研發出新策略來繞過這些防禦措施。
作為一家幫助旅行者前往新目的地的公司的 CISO,我有機會在幾家創新公司自身的發展旅程中與它們合作。能夠幫助初創公司完善其產品及產品策略,我深感欣喜——而且,坦白說,擔任導師也有助於我學習保護所在組織的新方法。
我從未刻意尋求成為一名導師,但在 KAYAK 擔任要職後,很多人都向我尋求建議(或許在這個故事傳開後更是如此!)。CISO 很容易陷入這樣的思維陷阱:「我沒時間做這個。」但事實是,每個人都不會有多餘的時間,然而我會為指導他人騰出時間,因為我相信這不僅能帶來更大的益處,還能推動網路安全領域的持續創新。
眾所周知,初創公司對網路安全生態系統(以及整個創新生態系統)至關重要。它們的成長有益於所有公司,能催生新的就業機會並推動經濟增長。這是一個良性循環:作為技術服務的買家,我希望那些擁有優秀想法的網路安全初創公司能夠蓬勃發展,贏得更多客戶,這樣它們就能投入更多資源來改進產品。隨著公司更快地實現財務可行性,其產品也能更快地得到完善。(傳統科技公司並不總是表現出同樣的緊迫性)。
這其中也包含個人的情感因素。我喜歡與充滿熱情的年輕人和公司合作,並見證他們的成長。這有點像養育孩子。我熱衷於尋找新的想法以及尋找改進產品的方法,因此我認為,每天抽出一些時間來幫助這些公司是值得的。
實務中的導師制樣貌
大公司並非不好,但相較於小公司,它們冒險的風險要高出許多。這使得它們在進行創新時更具挑戰性。大公司往往傾向於保護自身既有的業務,而非努力去探索下一個新事物;或者它們乾脆直接收購下一個熱門事物,透過收購來擴展業務。小公司有更多創新的機會,因為員工能夠承擔更大的風險,而且需要經歷的官僚程序也較少。
但初創公司面臨著巨大的挑戰。它們需要的不僅僅是一個好點子。為龐大的客戶群體界定市場(或者進入一個已被大企業佔據的市場領域),這並非只是解決單一客戶的一個問題那麼簡單。初創公司常常難以將其創意提升到一個新的層次,而這時候導師就派上用場了。
我們大多數人都時間緊迫,因此您必須優先考慮指導的方式和人員。在開始一段師徒關係之前,我會問自己三個問題:
他們對自己產品的功能以及預期成長進程是否有清晰的願景?
他們對這個願景是否充滿熱情?
該公司所屬的領域是否讓我感興趣並且令我感到振奮?
對於新的初創公司而言,有許多機會可以擴展規模並打造出一款我未來某天會考慮用於我們公司的產品。例如,目前我看到在身分與存取管理、Zero Trust 網路以及網路微分段方面有很多創新成果,而且我个人對屬於這些領域的專案頗有興趣。見證導師指導對一家公司的命運產生影響,是一件很特別的事情。有一回,我與一家安全公司建立了聯繫,該公司正在解決如何安全地接納並保護獨立承包商身分的問題。他們最初的構想引起了我的興趣,而我們的交流是從分享想法開始的。在三年時間裡,我定期針對產品構想給予回饋,指出他們計畫中的漏洞,並協助提供替代方案。最終,他們的產品演變成了身分威脅偵測回應 (ITDR)。
在每個階段,我都深入瞭解他們試圖達成的目標以及需要改進的地方,包括他們的訊號雜訊比(詳見下文)。雖然我不能把所有功勞都歸於自己,但我們的努力得到了回報:一家《財星》百強公司收購了這家初創公司,而且我至今仍偶爾為他們提供建議。
所有這些互動都有助於我獲得新的視角,而我能將這些視角帶回來,推動我所在組織的創新。
指導的形式會因指導者的時間精力以及被指導者的需求而有所不同。有些公司可能需要持續的建議,而另一些公司可能只需一兩次會面就能走上正軌。這在很大程度上取決於初創公司所處的發展階段,比如它是僅有一個想法,還是擁有一個解決方案的模型,還是擁有一款成熟的產品。無論如何,各種安排應該對所有相關方都有利。
我所見到初創公司面臨的困境
正如沒有兩家公司是完全相同的,也沒有兩次導師指導經歷是一模一樣的。話雖如此,我在這幾年還是為網路安全公司提出了一些需要重點關注的領域:
高訊號雜訊比。安全工具存在的最大問題之一就是雜訊過多。如果訊號雜訊比過高,使用者就會投入人力資源去跟進每一條通知,這樣就有可能導致警示倦怠,從而錯過關鍵警示。能夠發出警示並不意味著就應該發出警示。這條警示是否有效且有價值?還是它只是增加了工作量?這些都是至關重要的問題,因為如果警示過多,人們往往就會對其視而不見。重要的不僅是警示的數量,還有警示的品質。人們希望以簡單的方式收到重要訊號,這樣分析和處理起來就不需要花費太多時間和精力。
易於實施。許多公司在產品實施方面設定了過高的難度。每個人都會告訴你,實施只需要 15 分鐘,但實際上從來都不是這樣。我看到很多公司犯了一個錯誤,那就是期望人們花上好幾個小時坐在圖形使用者介面 (GUI) 前設定他們的產品。這種做法效率極低,尤其是在大規模部署的情況下。公司當然應該專注於利用 API 和自動化來進行初始設定,但也要專注於持續使用。
SOC2 或 ISO 27001 合規性。我知道,對技術比對合規性更感興趣的絕不止我一人。然而,對於處理敏感性資料的雲端型初創公司來說,遵守其中一個標準至關重要。這是贏得企業客戶信任的唯一途徑,而且合規性需要從一開始就納入討論範圍。
雖然我不是行銷人員,但我經常是目標買家。我會促使初創公司明確自身的價值主張。這可能是一個巨大的挑戰,但如果他們的理念能引起我的共鳴,我相信它也會引起其他 CISO 的共鳴。
投之以桃,報之以李
導師指導並非是一種單向的關係。當然,我會提供指導,但我也能透過這個過程而有所收穫。當我遇到有關網路安全的新穎觀點時,這也可能為我所在組織的流程改進帶來潛在機會。
學習是永無止境的,而一些最棒的點子往往源於新的交流。例如,在指導前面所說的那家 ITDR 公司時,我發現我的 IAM 工作階段時長並非我所認為的那樣,從而得以對其進行修正。
我是一個熱衷於資訊的人。與那些和我一樣對相同話題充滿熱情的人交談所帶來的智力激發,令我精力充沛。這也是為什麼我每天都樂於幫助其他領導者推動事業前進。能夠參與到他人的成功之中,也會讓我有一種自豪感。
創始人之所以創造和創新,是因為這是他們所熱愛的事情。然而,經營一家公司並不像跨上自行車那麼簡單,許多初創公司仍然以失敗告終。導師指導為這些公司提供了額外的助力,給予它們將自身構想付諸實踐的機會。
避免利益衝突
KAYAK 擁有強大的合規與道德計畫。如果我認為某個廠商的產品非常適合 KAYAK,那麼與該廠商合作就存在產生利益衝突的風險。為了降低這種風險,我按照 KAYAK 的要求完成了利益衝突披露聲明,並且讓我的團隊就某款產品是否適合我們公司做出最終決定。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
作者
Tom Parker
KAYAK IT 副總裁兼 CISO
重點
閱讀本文後,您將能夠瞭解:
導師制度不僅能帶來更大的益處,還有助於推動網路安全的持續創新
初創公司往往很難將構想提升到新的層級,而這正是導師能夠發揮作用的時候
導師制度為導師提供了改進自身組織流程的機會