如何建立安全监护人计划来分配安全所有权

欢迎阅读我们关于 Security Guardians 系列的第二篇文章，这是一种在亚马逊网络服务 (亚马逊云科技) 分配安全所有权的机制，用于培训、开发和授权构建者团队就他们创建的软件做出安全决策。在上一篇文章中，您了解了建立安全所有权文化以扩大组织内部安全的重要性，以及亚马逊云科技如何使用 Security Guardians 计划实现这一目标。从那时起，许多客户询问如何构建自己的类似程序。

在这篇文章中，您将学习为您的组织构建自己的安全监护人计划的步骤，包括如何：

设定计划的愿景、使命和目标
确定可以试点新计划的开发团队
定义这些团队的预期行为
开展培训并创造职业发展机会，让您的团队继续参与该计划

本文中的指导基于我们在亚马逊云科技学到的知识。由于每个组织都不一样，因此您构建的程序的最终版本看起来可能与亚马逊云科技的程序不同。您的计划需要反映组织安全文化的当前状态，并旨在培养对您的组织最重要的安全相关行为。

安全卫士计划机制

正如上一篇文章所讨论的那样，机制构成了我们亚马逊云科技业务的关键部分。图 1 演示了一个机制如何是一个完整的过程或 良性循环 ，它可以在其运行过程中自我加强和改进。它采用可控的输入并将其转换为持续的输出，以应对反复出现的业务挑战。在这种情况下，亚马逊云科技面临的业务挑战是，安全发现是在开发生命周期的后期发现的，这使得修复这些发现的成本更高，包括时间、金钱和精力。这导致我们的安全审查流程出现瓶颈。亚马逊云科技的安全文化，特别是我们的所有权文化，为解决这一挑战提供了支持，但我们需要安全监护人机制才能真正做到这一点。

图 1：亚马逊云科技机制周期

对于大多数机制来说，推动采用是困难的，尤其是当该机制需要人类参与才能成功时。对于 Security Guardians 来说也是如此，您可以利用我们的经验来帮助您避免推动采用所面临的一些挑战和成长中的痛苦。

让所有人保持一致

“如果我有一个小时来解决一个问题，而我的生活取决于解决方案，我会花费最初的55分钟来确定要问的正确问题，因为一旦我知道了正确的问题，我可以在不到五分钟的时间内解决问题。”-阿尔伯特·爱因斯坦

为了满足分配安全专业知识的需求，首先要深入了解需要解决的问题。例如：

产品交付速度是否受到安全审查流程延迟的负面影响？
这些延迟对哪些业务目标或指标产生了负面影响？
这些延迟发生在安全审查过程中的什么地方？
哪些因素导致了这些延误？
是缺乏时间、人员或技能吗？

通过回答这些问题来彻底了解具体问题及其根本原因，可以评估分配安全所有权是否是合适的解决方案。这反过来又使所选方法更容易获得整个组织的一致性和支持。

安全文化的组成部分

建立强大的安全文化需要行政领导层的支持，为组织的其他部门设定方向。行政支持使产品领导者更容易获得安全卫士计划成功所需的资源和资金。为了与组织的领导者保持一致，您可以反思领导者的目标，以及如何建立 Security Guardians 计划以实现这些目标。

例如，如果您的业务目标是将产品交付速度提高25％，请了解Security Guardians的特定资源配置将如何帮助您的组织实现该目标。亚马逊云科技受益于该计划，当涉及安全卫士时，审查新服务或功能的时间减少了26.9％。

我们的经验是，在没有行政支持的情况下建立安全监护人计划是一项艰巨的任务。如果您正在努力寻找业务领导者来赞助该计划并提供有关业务问题的见解，那么您的亚马逊云科技账户团队（包括您的客户经理或解决方案架构师）可以提供帮助。如果你是正在阅读这篇文章的商业领袖或高管，可以考虑自己成为赞助商。

一步一步

实施安全监护人计划的分步方法有助于克服组织挑战，避免可能导致失败的常见陷阱。如图 2 所示，这些步骤是：

设定愿景
选择创新者
定义行为
保持兴趣
衡量成功

这些步骤支持使机制取得成功的活动：采用、检查和工具。

图 2：实施安全监护人计划的步骤

设定愿景

既然您已经确定了业务问题或业务目标，那么从这个问题或目标中向后看，为安全卫士计划设定愿景，以定义计划的目的。例如，亚马逊云科技Security Guardians 的愿景是 “培养安全所有权，在整个开发生命周期中始终通过安全设计使我们的客户满意。”

为您的安全卫士计划制定雄心勃勃的愿景。不局限于轻而易举的局面，专注于为您的组织带来大胆、前瞻性的安全成果。确保愿景的每个要素都与业务问题或目标保持一致。下表是该计划的愿景如何与业务目标保持一致的示例：

业务目标	安全结果	长期目标
更快、更高效地开发产品。	提高开发人员敏捷性，同时降低安全风险。	增加 Security Guardians（而不是应用程序安全工程师）执行的威胁模型的数量。随着时间的推移，这个目标可能会改变为 “提高威胁模型的质量”。降低每月平均安全问题发生率。每季度训练三名新的安全守护者。
减少长期安全支出。	尽早识别和降低安全风险。
增加客户的信任。	通过提高安全门槛来超越客户的安全期望。

下一步是定义明确的使命，并辅之以可衡量的目标。使命和目标必须是可以实现的，并有助于朝着长期愿景迈进。

最后一部分是为您的程序命名。我们选择了 《安全守护者》， 比如漫威的《银河护卫队》。我们还听说过客户使用 “安全倡导者”、“安全倡导者”、“安全创新者” 和 “安全驱动程序”。玩得开心，并确保这个名字能引起尽可能多的参与者的共鸣。

在定义了愿景、未来状态、使命、可衡量的目标和计划名称后，请与安全和业务负责人一起审查。将您的创新者或安全监护人纳入本次审查是有益的，他们将是该计划的早期采用者。在下一节中，您将学习如何识别这些创新者。

选择创新者

正如你为正在开发的产品的早期采用者进行开发和迭代一样，你应该确定将与你一起试点该计划的个人和团队。在亚马逊云科技Security Guardians 计划之前，我们的应用程序安全工程团队通过安全审查与产品团队建立了关系。

这意味着他们已经知道这些产品团队中哪些人对安全感兴趣。这是亚马逊云科技的起点，但您的计划的成功并不取决于您是否已经知道这些人是谁。开发团队将自我识别并从自己的团队中提名安全守护者。图 4 显示了一些示例，可帮助您开始了解哪些开发团队将是您计划的良好早期采用者。

图 3：早期项目采用者的示例产品团队

图 3 中的示例包括：

候选人 A：速胜队伍

早期采用者通常具有共同的关键特征，包括现有的安全措施和指定的安全角色或具有安全专业知识的团队成员。从本质上讲，他们已经在团队层面优先考虑安全性。

候选人 B：高影响力团队

这是受产品开发团队和安全团队之间差异影响最大的团队；对于该团队而言，Security Guardians计划的敏捷性和时间相关优势将是最高的。例如，由于贵组织当前的安全审查流程，该团队在发布产品时可能会面临长时间的延迟。

候选人 C：高风险团队

该团队拥有的产品由于产品的性质而具有很高的安全风险。该团队将从额外的安全审查和提高组织安全门槛中受益最大。例如，该团队可能正在开发一种被视为关键资产、托管敏感数据或执行关键流程的产品。

在确定了一个或多个可能成为该计划早期采用者的团队后，您需要从每个团队中确定至少一个人来担任 “安全卫士”。选择您的安全卫士时，请牢记计划的愿景和目标。您的早期安全监护人应至少具有以下特征：

能够做出明智和果断的判断
维护和展示他们的知识
不怕自己的作品得到独立验证
在内部讨论中倡导他们的安全需求
保持高安全等级
深思熟虑，坚定地将客户安全作为团队的重中之重

就时间投入而言，我们的经验是，每位 Security Guardian 平均每月花费 3.5 小时进行活动，例如回答一般安全问题、确定冲刺所需的安全故事、深入研究安全相关任务以及支持安全相关任务。每次应用程序安全审查大约需要 4 个小时的时间。

本系列的第一篇文章包含有关成为优秀安全卫士的特征的更多细节。

定义行为

一定要设定期望 Security Guardians、开发人员和安全团队在计划背景下表现出哪些行为。这些行为通常与计划的目标直接相关。例如，如果目标之一是增加创建的威胁模型的数量，则 创建威胁建模 将是定义的行为之一。需要对行为进行衡量，并具有一定的灵活性，以便在改进计划时做出改变。

在亚马逊云科技，我们的安全监护人可以访问一份运行手册，其中列出了每位监护人在参与审查时应采取的活动。了解了每一项活动后，项目团队将确保提供适当的培训，以便安全监护人能够完成每项活动。例如，亚马逊云科技安全卫士被要求帮助开发威胁模型。为了支持这一点，项目团队开发并发布了培训材料，教导安全卫士如何创建威胁模型。

通过定义的行为，了解安全卫士和产品开发团队将如何与安全团队互动。尽管我们对行为进行了明确的定义，但这些行为通常不是孤立地完成的，才能成功推出安全产品。在亚马逊云科技，安全监护人和产品开发人员与安全团队在关键合作领域进行互动。如果您不确定从哪里开始定义您的计划行为，图 4 显示了团队如何在亚马逊云科技进行互动的示例，首先是创建初始威胁模型，然后进行审查、补救和测试。考虑创建自己的模型版本，以帮助定义组织的行为和关键合作领域。

图 4：亚马逊云科技的示例行为和合作领域

以威胁模型审查为例，《卫报》和中央安全团队将共同创建和审查威胁模型。具体活动示例包括审查没有记录在案的缓解措施的威胁，以及讨论尚未考虑的其他威胁。

作为鼓励所有权文化的一部分，亚马逊云科技建议允许安全监护人在一系列界限内影响角色。这方面的一个例子是，允许 Security Guardians 参与对计划增长指标的定期审查，积极收集他们的反馈，并鼓励他们举办自己的培训课程。主动安全监护人是该计划成功的关键，允许他们影响该计划将使他们产生主人翁感和包容感。

维持利息

重要的是不要忽视像亚马逊云科技安全卫士计划这样的计划是由志愿者支持的。您的大多数安全监护人将是产品开发人员，他们已经在为您的组织开发产品方面有一份全职工作。如果新的 Security Guardians 因为计划所有者没有保持参与而停止参与，那么寻找和加入新的 Security Guardians 所花费的时间和精力的投资回报率就会很低。留住安全监护人与找到他们一样重要。

在亚马逊云科技，我们投入时间来了解如何与 Security Guardians 建立信任，并通过向后推进 Security Guardians 的需求来提供价值。一些安全监护人加入该计划是为了学习新技能和获得职业发展机会。亚马逊云科技制定了专为安全监护人设计的培训计划，提供的指标用于记录其对经理和领导的影响。

亚马逊云科技Security Guardians 不断告诉我们，他们重视领导层对他们的贡献的认可。我们努力建立机制，不断揭露我们的安全卫士的出色工作。我们还表彰安全卫士通过奖励、礼物和其他激励措施所做的贡献。例如，亚马逊云科技Security Guardians 团队每个季度都会向该组织的高级领导发送一份时事通讯。该信函确定了组织内的监护人，并重点介绍了他们的贡献，包括他们完成的审查的数量和影响。

亚马逊云科技认可我们的安全卫士贡献的另一种方式是通过 “守 护者腰带计划” 。Guardians Belt 计划旨在表彰安全卫士的贡献，并支持他们努力提高安全技能和扩大影响范围。Security Guardians 获得黑色、绿色、黄色和白色腰带，每条腰带都对应于需要持续承诺提高安全标准的重大成就。

为确保 Security Guardians 重视该计划，您的组织应提供并积极促进福利。这些福利必须易于获得，无需安全监护人花费更多时间或精力，从而促进即时和直接的收益。考虑以下权益示例，以维持 Security Guardian 的利益和支持：

专业培训 ：研讨会、游戏日、挑战赛和竞赛。
影响机会 ：通过与组织中的其他团队合作来影响多种产品的能力，帮助定义项目模式、优秀实践和自动化的能力。
社区：与志趣相投的专家和个人进行协作、联系、分享和学习。
所有权机会 ：能够加快流程中的某些步骤。
领导机会 ：积极参与定期的计划或业务审查。

保持利益的优秀方法由组织的文化决定。您的组织最看重什么，该计划将如何为您的安全守护者提供这些价值？有时，回答这些问题的优秀方法是询问您的早期或潜在的安全守护者。

衡量成功

建立成功的 “安全卫士” 计划的最后一步是衡量计划的成功。衡量成功率等同于图 1 中的检查步骤。这可以验证您的预期结果是否已实现，并为迭代提供了一个起点。衡量成功率还使您有机会审计 Security Guardians 计划的产出或结果，并进行更正和改进。

在本文的早些时候，我们讨论了确定业务问题以及为您的安全卫士计划制定愿景和可衡量的目标。示例指标包括：

发布功能的平均时间
每个团队的平均安全问题数量
安全监护人和建筑商在安全工作上花费的平均时间
参加必修和非必修培训的安全监护人百分比

衡量成功与否包括收集反馈和随时间调整程序的步骤，如图 5 所示。

图 5：安全卫士计划的反馈和调整步骤。

收集反馈和调整程序的周期包括：

指标报告
沟通胜利
衡量结果和周期时间
确定趋势
查看目标

收集安全监护人的反馈与向他们提供反馈同样重要。亚马逊云科技从 Security Guardians 那里收集反馈的方式之一是通过年度调查，收集有关他们在计划和工具方面的体验的反馈。为了帮助建设者和安全监护人随着时间的推移不断改进，我们的安全审查工具会收集安全工程师对安全卫士意见的反馈。综合而言，通过这些调查收集的数据有助于我们的安全所有权机制随着时间的推移而得到加强和改进。

图 6 总结了开发程序可以采取的步骤。