MongoDB如何建立一个成功的安全冠军计划
Sarah Wills 2021年11月2日
我们最近采访了MongoDB的安全战略运营负责人Amy Berman,了解了安全卫士在其组织中的作用。对于那些刚接触这个概念的人来说,安全卫士是对安全感兴趣的开发人员,可以促进开发和安全团队之间的合作。
继续阅读,了解更多关于Berman在MongoDB建立一个成功的安全卫士项目的见解,以及他们如何能够鼓励人们转变观念,拥抱而不是逃避应用安全。
招募高度参与的安全倡导者
当MongoDB第一次开始建立其安全冠军计划时,该公司有一个关键的目标在心中。Berman问道。"我们如何在早期影响开发者并教育他们,而不是在事件发生时?"MongoDB的安全战略运营团队知道,建立这个计划的第一个挑战是招募安全卫士和促进对该计划的强烈参与。以下是Berman所说的一些行之有效的方法。
透明度
Berman的团队认识到,在招募各部门的安全卫士时,行政人员的支持是至关重要的。"沟通部分是巨大的,"伯曼说,"所以我们解释了所涉及的承诺,如整个季度的正式会议和其他要求,并让高管在公司全体员工会议上谈论该计划。"由于开发人员需要得到他们的经理的签字才能参与,所以了解成为安全卫士的承诺程度是至关重要的。
独占性
除了对安全卫士的期望的透明度外,伯曼的团队还关注参与该计划的排他性因素。"我们总是确保与安全卫士合作,并首先给他们消息,"伯曼解释说。安全卫士不仅能感觉到他们是一个专属团体的一部分,而且他们对于获得新的安全举措的早期反馈至关重要,在向非技术团队解释这些新的努力时也是非常宝贵的。伯曼补充说:"在安全团队在全公司范围内开展工作之前,你可以获得洞察力并帮助他们提供反馈。
激励措施
虽然许多安全卫士计划仅通过提供免费赠品就获得了成功,但伯曼的团队决定把重点放在选择上,这也是一个关键的激励措施。那些参与安全卫士计划的人可以选择他们每个季度要参加的安全相关活动。"伯曼解释说:"当人们选择他们想参加的主题时,他们会更感兴趣并投入其中,"所以我认为选择是有力量的。MongoDB确实有一个积分系统,可以通过发现漏洞或分享有用的安全见解来获得奖励,但这是次要的,因为我们要让安全倡导者自由参与他们最感兴趣的事情。
创建一个积极的安全文化
据伯曼说,有两种类型的安全文化:积极和消极。"我们正试图创造一种积极的安全文化,"伯曼解释说。"所以我们想成为一个真正的合作伙伴的安全团队。"这就是为什么MongoDB的安全冠军计划的一个关键方面是让开发人员、产品经理和其他个人影响未来的安全路线图。这在开发人员中创造了共同的所有权和责任,以改善他们应用程序的安全状况。
伯曼说,传播安全意识和责任的一个巨大好处是在一个大型和不断增长的组织中扩大安全团队的规模。"我们没有足够的资源来处理所有的事情,"伯曼解释说,"但来自安全冠军的反馈帮助我们确定工作的优先次序。"伯曼还认为,安全团队不能仅仅依靠技术,所以通过积极的安全文化来减轻人的风险因素,从长远来看,对扩大网络安全规模至关重要。
今天MongoDB的安全冠军计划
在过去的一年里,MongoDB的安全卫士计划已经发展到90名成员,遍布25个地方的45个不同部门。为了确保该计划是可持续的,并继续推动安全意识,MongoDB有一个特定的角色来管理和建立该计划的未来发展。
更具体地说,MongoDB的计划专注于非安全团队的网络安全教育和宣传。这个安全倡导者计划在全公司范围内的规模和深度意味着安全现在是组织所有领域的一个关键考虑因素。
要了解有关这些项目的更多信息,请阅读我们最新的白皮书,内容包括 如何建立一个安全卫士计划.如果你想听听另一个安全冠军的成功故事,请查看我们最近的 与邓白氏公司和Shutterstock的圆桌会议.
SnykCon 2021已经结束了!
重温你喜欢的所有会谈,并查看你未能参加的现场会谈。
