公司即代码 – 作者:Daniel Rothmann
上周,当我坐在我们家对面时 ISO 27001 信息安全审核员,看着他们努力完成我们的文档,我突然想到: 我们是一家软件公司,几乎所有业务都在互连的数字系统中运行,但我们业务的核心——我们的政策、程序和组织结构——是 基本的 文件收集。 只是感觉很讽刺。我们使用先进的工具来自动执行合规性检查,将代码存储在版本控制的存储库中,并将基础设施作为代码进行管理。然而,在描述和管理我们的公司时,我们求助于数字纸张和分布在大楼内人员之间的信息花絮。 当我反思我们的日常流程时,这种脱节变得越来越明显:我们 90% 的产品、文档、沟通和决策都在数字渠道中进行。这就是数据。它存在于云中,分布在专门处理单个工作流程的 SaaS 解决方案中——所有系统都具有强大的 API 和编程访问能力。 在这一切的中心是一座孤岛式的文件:我们的雄心、目标、政策和正式结构。我认为这些非常重要。 在我们考虑 ISO 27001 之前,我们的安全状况就已经很稳固了,因为我们已经努力满足客户的要求。在收集控制证据、争论和更新政策措辞、文件审查和实际审计之间, 我们额外花费了数百个工时 否则这些钱本来可以用来为我们的用户创造出色的产品。 如果我们希望运营数据如此丰富,为什么我们接受组织数据如此稀疏?我们彻底改变了使用基础设施即代码 (IaC) 处理基础设施的方式、使用 GitOps 管理部署的方式以及使用策略即代码处理安全性的方式。 我们看到了好处。 但在代表我们的组织(我们运营的核心)时,我们采用了老式方法。 想象一下,如果我们能够以编程方式表示我们的整个组织结构,而不是静态图片,而是我们公司的活生生的数字表示,可以进行版本控制、查询、测试和自动验证。在这个系统中,可以将策略更改作为代码更改进行跟踪,可以持续监控合规性,并且可以明确映射和理解人员、流程和技术之间的关系。 HRIS 系统等现有解决方案可管理人员数据,但难以处理政策关系。 GRC 工具跟踪合规性,但很少与组织结构有意义地联系起来。我建议我们想得更远大一些。它是关于创建一个整体的、程序化的表示 全部的 组织:作为组织结构、政策和运营的单一事实来源的“公司清单”。 考虑一下这可能有多大帮助: 合规审核: 审计人员无需手动拼凑来自各个系统的证据,而是可以直接查询公司清单,并在政策及其实施之间具有清晰的可追溯性。 政策变化: 更新可以进行版本控制,自动影响分析可以显示哪些团队和流程会受到影响。 组织设计: 领导者可以在实施之前在“阶段环境”中对结构变化进行建模,从而更好地了解变化如何在整个公司产生连锁反应。 当这个想法在我脑海中盘旋时,我发现的问题多于答案。 有人尝试过吗?如果没有,为什么不呢? 是因为组织本质上太复杂和动态而无法用代码表示吗? 如果是这样,这似乎与法规和标准不一致,我们期望企业活动如此统一和程序化,以便我们能够可靠地将它们标记为合规、不合规、合法或非法。 是因为我们还没有找到正确的抽象级别——相当于“基础设施即代码”为系统管理所做的那样吗? 工具和概念已经存在:用于表示组织关系的图形数据库、用于描述业务规则的特定于领域的语言以及用于集成的 API 优先架构。 也许缺少的是一个框架,以一种足够强大、足够有用、足够简单、可以使用的方式将这些想法整合在一起。 让我们考虑一下这是如何运作的。 在本节中,我将幻想我想要从“公司即代码”中得到什么。然后,我会将其映射到一些可以满足这些需求的系统组件。 作为一名工程师和企业利益相关者,我希望公司模式是: […]