研发团队保密意识强化策略
我跟很多研发团队的负责人聊过保密这个话题。他们普遍有一个困惑:研发人员学历高、素质好,为什么保密意识反而最薄弱?这个问题其实不难回答。研发人员的思维方式是追求效率、追求创新,而保密工作需要的是谨慎、约束、按流程办事。这两种思维天然有冲突。加上很多研发人员有一种技术自信,觉得自己有技术能力,不会被别人窃取,这种自信恰恰是最大的风险。
我辅导过好几家科技企业做研发团队的保密意识强化,总结了几个行之有效的策略。
第一个策略,把保密融入研发流程,而不是外挂在研发流程上。很多单位的做法是在研发流程之外另搞一套保密要求,研发人员觉得麻烦,能绕就绕。正确的做法是把保密要求嵌入研发的各个环节。比如说,代码管理系统中设置权限分级,不同级别的研发人员只能看到自己权限范围内的代码。代码评审环节增加保密检查,评审人除了看代码质量还要看有没有泄露敏感信息。版本发布前做一个保密合规检查,确认没有把不该带出去的东西带出去。这些要求本身是研发流程的一部分,研发人员不会觉得是多出来的负担。我见过做得最好的一家企业,他们的研发人员已经形成习惯,每次提交代码前先过一遍保密检查清单,就像出门前检查有没有带钥匙一样自然。
第二个策略,用研发人员能理解的语言讲保密。给研发人员讲保密,不能用给行政人员讲的那套语言。研发人员不信空洞的口号,他们相信逻辑和数据。我给他们讲保密的时候,开场第一句话就是,今天我不跟你们讲大道理,我给你们讲几个真实的因为研发泄密导致企业破产的案例。然后用数据分析:百分之多少的泄密事件来自内部、研发部门在内部泄密中占比多少、每种泄密方式的平均损失是多少。研发人员一听数据就认真了。再用技术语言讲防泄密技术原理,他们更加容易接受。有一次我给一个研发团队讲完课,一个工程师课后专门来找我,说原来他自己以为安全的技术手段,在专业防泄密面前漏洞百出。这种触动才是真正有效的。
第三个策略,建立研发场景的专门培训模块。通用的保密培训对研发人员不够用,因为他们面临的风险场景跟普通员工完全不同。研发人员的核心风险集中在几个方面:源代码泄露、算法泄密、技术文档外流、第三方合作中的数据泄露、使用开源代码引入的安全风险。这些场景需要专门的培训和针对性的防范措施。我在给一家AI公司做培训时,专门设计了一个AI模型训练数据保密的模块,里面讲到了数据标注外包的风险、训练日志的清理、模型参数的加密存储。培训后研发负责人跟我说,这些内容才是研发人员真正需要的。
第四个策略,树立研发内部的保密榜样。研发团队的文化很大程度上受技术领头人的影响。如果研发总监在保密上很严格,整个团队就会跟进。如果总监觉得保密是浪费时间,下面的工程师更不会当回事。所以在研发团队做保密意识强化,一定要先说服技术负责人,让他成为保密的代言人。我曾经动员一家企业的技术VP在全员保密大会上做分享,他讲了自己在上一家公司因为保密疏忽差点导致核心技术泄露的经历,全场鸦雀无声。他讲完之后,研发团队的保密意识有了显著提升。榜样的力量比一百次培训都管用。
实操建议方面,我给出几个具体的行动。一是在研发部门设置保密联络员,由研发内部人员兼任,负责日常的保密提醒和问题收集,比外部保密办的人更了解研发实际情况。二是研发部门的保密培训频次建议比普通部门高一倍,每季度至少一次专题培训加一次日常提醒。三是在研发工具链中嵌入保密提示,比如代码提交时自动弹窗提醒检查敏感信息。四是对于关键研发项目,在项目启动时做一次保密风险专项评估,而不是等项目做了一半才发现问题。
研发人员不是保密工作的对立面,他们只是需要用不一样的方式去引导。只要方法对路,研发人员完全可以成为保密工作最坚定的支持者。毕竟,他们是最不希望自己的劳动成果被泄露的人。保护好他们创造的价值,就是对他们最好尊重。
北京企密安信息安全技术有限公司 培训专线:010-87562232 / px@baomiwang.com
