安全团队的目的与运作

关键要点

• 定义安全团队的目的对团队协作至关重要。
• 明确的目标可以提升团队的效率并减少摩擦。
• 通过与业务领导的沟通，明确安全团队需要满足的具体需求。
• 销售团队和安全团队之间的协作可以改善响应效率并节省成本。

如今，安全的目的是什么？

在以往的培训中，我常常让参与者定义“安全”这一概念，我发放了纸条给每位参与者。结果我收回的纸条常常比发出的还要多，因为很多人都有不同的定义。

今天，我们仍然面临着安全领域的混乱和复杂性。

你的安全团队的目的是什么？

我并不想重复这个练习。我现在想问的是，你的安全团队在做什么，或者说应该做什么。

你是否有一个经过深思熟虑并记录下来的答案？

这个问题看似简单——其实并不简单。我与许多合作，但他们在明确团队的使命和目标时常常感到困难。或许因为“降低可接受的风险”这样的说法似乎太明显了，很多人习惯于使用这样的说法。

那这样的说法，企业是否也同样认同呢？

几年前，我与一种安全领导者Todd合作，他在企业合并后加入了团队。这意味着他需要同时处理前首席信息安全官所带来的后遗症，并且还要找到使团队协作的方式。爱德华（Edward），公司首席执行官的支持和倾听，对这一切帮助很大。

为了明确安全的目的，Todd简单地问爱德华：“你对安全的期望是什么？”

爱德华沉思片刻后，描述了他期望的三点：

1. 满足客户需求； 这是一家B2B公司，面临大量的第三方风险尽职调查问卷（DDQ）和其他安全实践的审计请求。
2. 保持领先，避免被惊吓。 爱德华希望安全团队能预见变化，做到在客户之前掌握情况，而不仅仅是“监控信息”来识别潜在风险。
3. 让我们与众不同。 当然，“与众不同”这个目标听起来很简单。我们当时也是这么想的，因此我们请爱德华进一步解释；然后我们又询问了首席运营官（COO）和董事会主席，大家一致认为，尽管任何公司可以在响应时间和费用上竞争，但从一开始就真正融入业务中的安全策略，在未来几年将很难被取代。

爱德华为我们提供了明确的观点来解释安全团队的目的。Todd将这三点用于内部和外部演示，通常会有相应的近期案例进行说明。市场营销团队告知我们，三点在一次网络研讨会上引起了客户的共鸣，甚至促成了一些早期续约和新客户的签约！

在一次研讨会上明确团队的目的并调整其内涵，改变了我们团队的协作方式。我们把过去的章节封闭，开启了新的篇章，专注于实现团队的明确目标。这明白了他们工作的意义，并能够判断自己的工作方向是否正确。

团队与销售部门合作，改进了对DDQ的处理方式。结果是销售团队能更快地给出一致且高质量的答案，节省了每年数百小时的工作时间，并减少了现场检查和审计的请求，总计首次年度节省超过100万美元。

不仅销售团队非常兴奋，这也使安全团队得以专注于新的问题解决。

如果我们不知道目标或者追求的目标不匹配，会发生什么？

摩擦。

令人恐惧的摩擦削弱了价值，破坏了信任，导致员工疲惫不堪。随着摩擦的增加，项目会停滞不前，同时、耗时且昂贵。

如果你感觉到疲惫不堪，请重新审视一下你的目标，检查团队