技术安全团队:利用威胁建模来改善OKR的安全性

技术安全团队:利用威胁建模来改善OKR的安全性

如果你最近读过任何一篇管理文章、书籍或采访,你很可能遇到 “OKR“这个词。这个术语(和实践)已经成为管理文化的根基,就像它的创始公司英特尔与微芯片一样。

OKR是一种目标设定的方法论,可以被公司、团队和员工使用。OKR 的重点是通过可见性、透明度和一致性来定义和实现 “大而全的大胆目标”。

OKR是 “目标和关键结果 “的缩写。让我们简单地看看这意味着什么。

目标本质上是你想要实现的 “什么”。这是一个抓住你的目标的声明。它应该是前瞻性的,有抱负的和有吸引力的。比如说:

在2021年实现30%的客户订阅量增长

目标很重要,因为它们抓住了你要追求的 “什么”。

虽然 “是什么 “是非常有用的,但如果没有抓住 “如何”,它几乎毫无意义。这就是关键结果的作用。

关键结果与目标相对应,以便能够将目标与一系列需要实现的结果联系起来,从而使目标被认为已经实现。它们是衡量目标进展的指标。例如

将净促进得分从60%提高到80%

为SaaS产品签约3个新的企业客户,每个公司可获得100个订阅

OKRs在一个组织的多个层面上进行,以便能够推动共同的使命感。它们通常提供给组织的所有成员、团队直至CXO和公司。我们的想法是,即使是比CXO低8级的员工,也应该能够为CXO找到OKRs,并有可能为自己创造OKRs,使之与CXO或公司的目标相一致,或有助于他们的关键结果。

像Google、Dun and Bradstreet、Target这样的公司都发誓要用OKRs。我们也引入了OKRs作为衡量我们每季度进展的一种方式。到目前为止,我们很喜欢这个过程,我们相信它是实现集体协调的重要方法。

关于OKRs,我观察到的一件事是,它们在为你的AppSec项目创建目标和结果时也非常有用。让我们面对现实吧。您的AppSec项目是另一个应用程序安全管理系统,为了使其在短期和长期内取得成功,拥有具体的、理想的目标是您一定要考虑的事情。

为此,你需要的是:

  • 目标 ⇒ 一些能推动你的AppSec计划向前发展的目标,它是有理想的,并能吸引你的组织和作为AppSec计划一部分的特定团队。
  • 关键结果 ⇒ 一组指标,让您能够以明确的、可能是量化的指标形式来衡量目标的进展。

然而,自然的问题是:”我们如何定义这些OKR?”我们如何定义AppSec的这些OKRs?” 我们需要思考的是:

  • 我们的Apps和它们的技术堆栈
  • 我们的团队和我们的设置方式
  • 平衡战术需要和战略需要
  • 创造短期和长期影响
  • 让合适的人加入团队

很自然地,我意识到,这些问题的很多答案,不,整个OKR流程本身,都可以从威胁建模中得到。

有效的威胁建模本身就可以确保你的OKR和AppSec项目不仅在战术上处于良好的状态,而且还可以帮助定义你的AppSec项目的战略路线图。

让我试着通过具体领域的例子,总结出OKRs和威胁建模之间的一些相似之处和相关因素。

利用威胁建模实现更好的OKR

目标就是目的。有什么比有效的威胁模型更好的方法来获取目标的数据呢?

假设您的威胁建模显示,您的大部分威胁都与授权和访问控制有关,您可能会创建一个类似这样的目标:

在<你的应用程序/所有项目>中实施一致的访问控制机制。

现在,基于您的威胁模型中确定的控制措施,以及与工程和产品负责人的协作讨论,您可以定义如下的关键结果:

  1. 在2021年第一季度结束前,让80%的开发人员接受访问控制方面的培训。
  2. 实现100%符合OWASP ASVS认证、授权和访问控制模块L1和L2控制。
  3. 通过五测试或重命名来手动测试威胁模型中确定的所有授权场景。
  4. 在2021年第一季度之前,为3款面向消费者的产品实施OAuth和OIDC与O365 IDP。

正如你所看到的,这不仅创建了一个具体的计划,还帮助你定义了一个一致的可衡量的游戏规则,并在工程、QA、安全和产品负责人之间建立了一种协调感。

说他们的语言

我在整个安全行业听到的一个普遍问题(自从我2008年进入安全行业以来,一直听到这个问题)是,安全不知道如何讲管理语言。这是事实,也是一个非常现实的问题。而且还是一个非常现实的问题。管理层不懂Security-Speak,安全人员仍然不知道如何表达对管理层重要的问题。这就造成了比表面上更大的障碍。这不仅给安全团队带来了资金上的挑战,而且还造成了一个更实质的面向流程的鸿沟,使安全团队成为孤岛。虽然DevSecOps确实在一定程度上解决了这种鸿沟,但这里还有很长的路要走。

作为安全人员,我们需要能够更好地将我们的问题框架化,让管理层能够坐下来,注意到我们的问题,并帮助我们实现我们的目标,同时帮助他们实现他们的目标。而OKR是PURRF的最佳选择。

举个例子,假设你的首席收入官(CRO)有一个目标,那就是:

增加业务部门的收入。

现在,作为CISO/应用安全经理,您可以直接创建与CRO的OKR一致的目标关键结果。例如:

通过包含和提供安全功能来增加客户信心

上述目标直接针对收入目标,可以有后续的关键结果,包括如下内容:

  1. 记录的安全功能,并将其纳入网站(建立客户信心)。
  2. 获得ISO-27001、SOC2、PCI等特定认证。

在其他方面…

这种调整清楚地说明了一个多方向的流程,确保管理层清楚地了解 “为什么 “要采取某些安全举措。而其在他们每天使用的系统中。

这种调整清楚地说明了一个多方向的流程,确保管理层清楚地了解 “为什么 “要采取某些安全举措。而其在他们每天使用的系统中。

技术安全团队:利用威胁建模来改善OKR的安全性

平衡战略和战术

安全计划需要不断平衡战略目标和战术目标。

战略目标可以是:

让所有的开发人员与安全目标保持一致

与战术目标,可能是:

prod中没有CVSS4以上的漏洞

深入研究,这两个目标在本质上是相似的,这些目标的关键结果可以通过战略和战术结果指标和行动的结合来实现。例如

让80%的开发人员接受安全要点培训(战略)

可以包含在战术关键结果中:

在Github Actions管道中包含1个静态分析工具和秘密识别工具

这两个关键结果都可以有选择地包含在多个目标中,它们都可以追溯到有效威胁建模的起源。

结论

我相信OKRs和威胁建模之间有很大的协同作用。威胁建模做得好,可以为你的OKRs框架提供大量有用的投入,并随着时间的推移正确地衡量它们。

此外,OKRs还提供了一个框架,在这个框架中,安全部门可以开始有效地与高级管理目标和跨团队目标保持一致和可见性。这增加了协作和可见性。此外,这也为非安全团队提供了一个急需的参考框架,让他们了解安全倡议对其产品、服务和公司的必要性和重要性。

关于 tita.com ®
Tita 通过 OKRs-E 目标设定、管理敏捷项目执行,持续绩效过程反馈,激发员工潜能,实现企业高速增长,带领企业拥抱人员管理新时代!    预约线上《产品演示》


禁止转载,如需转载请通过评论联系作者。

联系我们

400-650-3180

在线咨询:点击这里给我发消息

邮件:kefu@tita.com

工作时间:周一至周五,9:00-18:30,节假日休息

1603943078-400客服

微信