作者:朱模卿,15年以上企业网络安全管理经验,曾担任阿里巴巴集团安全团队运营负责人、艺龙网和VIPKID等公司网络安全负责人,在网络安全攻防、安全产品研发、数据安全、安全合规和审计等方面有一定的经验。
最近应邀参加一个小型的行业聚会,本着开放交流的目的,组织者希望我能够分享一些在日常企业信息安全工作中的体会和经验,如果能够针对某些具体问题提出一些解决思路或方法,起到抛砖引玉的作用,那就更好了。其实细想之后,我自己现在每年、每天还还会遇到很多问题,困惑也很多,很多事情也没有思考的很清楚,处理的效果也不是很好,更谈不上什么解决经验和方法,相反,如果有一些所谓的经验,也只不过是在工作中经历的事情,遇到的“坑”、“坎”多一些而已,教训多了,经验自然也就来了,哪里会有什么“灵丹妙药”,只有“以身试毒”之后,才知道方法合适不合适。
不管怎么说,既然这是一次工作交流嘛,沟通过程中保持坦诚、自然一些,不过于追求所谓的完整、完善,互动的效果可能更好一些,本来每个人工作中遇到的环境、条件、问题都不一样,如果本文为大家在某些事情、场景提供了新的思考角度,有共识、有触动、有启发,交流的目的也就基本达到了。所以本文就是这次交流整理之后的文字内容。
首先,开局一张图,下面听我编。
本文结构将按照如下4个章节分别进行阐述。
一、目前现状是什么样
二、有哪些问题或需求
三、需要我们做什么
四、具体行动怎么做
举几个例子来讲,既有老问题,也有新问题。
>技术对抗:老生常谈了,攻防层面的恶意攻击、内外部演练、内部人员、黑灰产,以及公司业务变化可能导致的IT系统迁移、业务系统调整、办公地点变更等等,都将导致安全运营工作形式和内容的巨大变化,如何保证实施过程中、完成后安全管理水准的不变。
>数据安全:不用多说了,大家只要知道最近几年数据安全方面出了多少标准和规范就明白,从上到下(治理策略、管控要求(分类分级等)、技术支撑、监督评估等要求),从左到右(采集、传输、存储、使用、销毁等环节)涉及多少业务部门、研发人员、审计要求,如何保证数据管理标准和技术规范的落地推广、持续有效,如何在数据创造业务价值的过程中,保持合理管控和流程顺畅。
>数据出境:如果公司有这方面的业务需求,那么就得恭喜安全团队了,只要了解一下目前国外上市和数据出境的相关流程和要求,就知道对相关材料内容的准确性、完整性、及时性的要求了,并非一个安全团队或某几个团队就能简单完成的。
>安全合规:比如这几年APP安全合规导致的整改情况很多,对业务也有一定影响,而且随着新技术的发展,也会不断出现新的合规要求,比如算法备案、针对行业的业务备案等
>业务调整:伴随公司之间合作形式的灵活性和多样性,使得IT系统更复杂、安全事情更多了,不幸的是,往往这个时候安全人员和安全预算会变得更少了。
>未来的安全行业是什么样子:目前风险类型和形式越来越多,如果没有清晰、可描述的远景规划和行动路线,安全人员怎么给企业领导们讲,怎么获得他们的认可和资源,这个问题需要的洞察力,以及思考过程的难度和结果呈现的难度可想而知。
>未来的安全人才是什么样子:安全行业发展的每个阶段,对不同安全岗位的人员要求和技能要求都是不一样的,在创新中求发展,如何让自己和团队能够适应未来的工作需求,解决未来的安全问题。
>未来的甲方安全是什么样子:具体到每个企业内部,如何对各项安全工作的重要性和优先级进行排序,让工作能够真正落地,得到合作方的配合,得到监管方的认可,考验着每个安全团队的智慧和能力。
企业信息安全问题是一个涉及层面广、变化速度快、业务关联强的复杂性问题,针对上面的行业现状,我们简单分析就可以发现整件事情中,既有技术的问题,也有管理的问题,既有内部的问题,也有外部的问题,既有当下的问题,也有长期的问题,那么如何应对和解决呢,通过归纳和总结,我们认为可以细分为四"力"问题:
我们的防攻击能力、响应能力、处置能力、合规能力等核心安全能力到底怎么样?
我们对最终客户、企业领导、内外部合作方、安全团队内部等人员的沟通、互动是否高效、有价值?
如何长期管理好安全团队的士气、能力,以持续稳定的应对未来的安全挑战和风险?
在资源不利等情况下,如何调整工作策略和行动,改变现状,赢得大家的信任和支持?
针对四"力"问题,结合当前现状,我们明确了十“不”痛点,也就是说,通过聚焦和解决这十个痛点,我们可以改进和提升四"力"问题。
资源不足(安全体系)
目标不清(安全战略)
团队不顺(安全团队)
信心不够(高管团队)
创新不多(技术团队)
动力不强(运营团队)
人员不稳(业务团队)
沟通不畅(合作团队)
地位不牢(个人发展)
绩效不好(安全成绩)
每个痛点可以分为四招,如果每招展开来讲,篇幅会比较长,而且琐碎和具体,反而可能局限了我的表达和您的理解,我相信如果您有兴趣看到这里,那么在信息安全工作中已经是有一定经历和经验的管理者,所以这里我只对每招简单阐述一下就够了,对不对的,还请您多多包涵和指正。
第一招:阐明利害
安全人员一般是技术背景,脸皮薄,涉及管理类问题往往不敢说,这个时候一定要逆向思维,安全能做到哪些,做到什么程度,要敢说会说,丑话说前面,不要怕老板们不理解,我们要相信企业领导们经多见广,都是风险管理达人。
第二招:内部合作
和运维团队合作、法务团队等相关部门合作,这些部门都是有费用的团队,安全项目可以纳入到他们的工作目标和需求里,甚至可以考虑在业务开展中把安全项目做成收费项目。
第三招:借助乙方
一个好汉三个帮,谁还不认识几个优质的供应商,在项目紧急、承受压力等时刻,可以灵活调用和配置乙方资源,出事真上、真顶得住才是好乙方。
第四招:依靠商务
项目都是谈出来的,安全人员毕竟不是商务人员,对风险、成本、质量的考虑往往不周全,可以借助公司内的专业商务同学,往往有意想不到的收获。
第五招:专业偏好
不同领导有不同的行业或专业背景,有人喜欢管理宏观,有人喜欢管理细节,有人喜欢技术流,有人喜欢方法论,有人喜欢快猛,有人喜欢稳健。战略就是定位,战略就是选择,领导们自身的信息和压力往往和安全团队有差距,所以安全目标需要根据实际情况调整。
第六招:企业文化
不同行业、规模、阶段的企业,其管理文化肯定是不一样的,而文化往往决定了什么事情可以干,什么事情怎么干,什么是鼓励的,什么是禁止的,目标状态是什么,所以安全目标对应的成本、形式、节奏也是需要考虑和企业管理文化的兼容。
第七招:业务发展
安全是保障和促进业务发展的,而业务发展过程中,必然有场地的变化、人员的变化、系统的变化、流程的变化、权限的变化,所以安全的力度、粒度都需要紧紧跟随业务的变化而变化,红线(底线)以上、安全需求(上线)以下才是我们安全的发展空间。
第八招:竞争分析
业务竞争越来越激烈,安全风险越来越高,所以安全是一个动态的过程,我们需要持续跟进同行或外部环境并进行调整,大家可以想一个例子,为什么很多APP应用和网站现在需要登录才能使用?不是业务操作应该越简单越好吗?企业这样做的道理在哪里?
第九招:行业对比
安全团队需要HC是不是比较困难,这个时候需要安全管理者主动了解同行业、同规模、同风险的标杆企业安全团队组织架构和人员配置、工作目标,这样才能比较顺利的申请HC,而且岗位设置才会比较合理,考虑到了团队架构的前瞻性和有效性。
第十招:专业合理
有了好的安全团队架构,就需要招聘合适的人员开展工作,分为两种情况,成熟岗位和新兴岗位,如果是新兴岗位,需要对岗位目标和职责进行认真考虑,内部培养怎么培养,外部招聘怎么招聘,总之安全岗位都是比较专业的岗位,只有专业的人才能干好专业的事,为结果负责。
第十一招:职责共识
虽然都是做安全,每个人的专业特长、职业目标、工作状态都是不一样的,所以需要每个人对自身工作的内容、工作结果负责,需要认可和理解团队对自身的要求,这样才能减少误解和矛盾,才能合作愉快和共同成长。
第十二招:严进序出
安全人才不是永远储备富裕的,安全团队也是动态演变的,从长远考虑,建议安全管理者辛苦一些,尽量做到人才严进,对岗位需求和人才能力考虑非常清楚再决定,很多时候一个优秀的人能顶三个人,同时,做到人才有序流出,不至于对安全工作造成大的影响,这也是安全管理者自身价值之一吧。
第十三招:架构思维
领导们担心我们的管理视野不全,管理层次不够,所以需要我们和领导们沟通的时候,既要在专业上借鉴业界优秀的架构和方案,也要在工作沟通和管理上有良好的逻辑思维和全局思维、抽象思维等,这些技能可以通过读书、培训、交流获得。
第十四招:职业素养
会议、写作、沟通、项目等都是各个岗位的必备技能,作为安全人员,在很多时候不仅要体现自己的技术能力,更应该在这些方面有良好的表现,才能对自己职业发展有更大帮助,其实,很多时候,我们身边的领导们就是最好的学习对象。
第十五招:事件驱动
这个最简单了,安全行业的发展和安全事件密不可分,每隔1~2年,就会出一次大的安全公共事件,对安全技术发展和企业安全建设提出新的挑战和要求,这样的事情发生时,即是安全团队表现之时,毕竟养兵千日用兵一时,又是提升领导们安全意识的良好时机。
第十六招:及时反馈
这通常是技术人员的短板,什么时候沟通、怎么沟通等事情都是痛点,而安全问题往往不是领导们日常工作的关注重点,所以需要我们建立比较好的沟通机制和沟通方法,比如能不能做到“电梯演进”,沟通内容是不是领导们需要关注的点。及时反馈其实特别重要,能够增强彼此的工作信任。
第十七招:紧跟需求
目前安全技术领域的有效创新越来越困难,但是安全团队的技术能力又不错,那就说明安全团队对需求的把握和理解还不够深,我相信一点,市面上所有成型的商业产品不可能百分百的适配所有企业所有场景,所以这就是我们安全团队的技术创新领地,而且有内部合作的得天独厚的优势。多说一点,这里不仅仅是技术创新,管理创新也是很重要的,举个例子,多地的等保合规怎么做才高效?数据采集环节的合规怎么做?多云的权限怎么统一管理?权限异常怎么及时发现?只要你能解决大家还没有解决的难点或问题,就属于一种创新。
第十八招:合规监管
合规工作是必选项,都会得到公司和业务的支持,在这方面进行创新是最容易出成绩的地方,举个例子,安全团队可以自研APP合规检查工具,既可以节省成本,又可以提高业务满意度,提前发现风险和处置风险,减少业务损失。针对网络安全评估和数据安全评估,可以自研评估工具箱,通过自动填写和生成合规报告,减少安全和内控团队的工作量,同时可以保证合规报告的质量。
第十九招:开源精神
当安全团队技术思路枯竭的时候,开源社区里海量的产品都是我们学习和参照的对象,我们不应该仅仅是考虑代码层面的学习,更主要的是理解这些创新产品的理念,解决了什么问题,达到了什么效果,和我们实际情况怎么结合。反过来讲,我们制作的好的产品和解决方案也可以提供给开源社区,既可以打磨产品,也可以体现团队技术实力。
第二十招:产品文化
以前,安全团队主要强调的是反入侵、攻防等技术能力,团队内的产品化和研发思维比较淡薄,只有形成稳定的、成熟的产品,才能将安全技术能力转化为更大的持久化的安全防护实力。
第二十一招:工作氛围
人都是迷茫期、疲惫期,如果团队节奏和个人节奏相互匹配,那么共振效果才最强,当然,这都是理想情况,所以平等意识、共识文化、结果驱动等管理方法,让团队有良好的工作氛围和沟通空间,才能发挥出每个人员的主动性和创造力。
第二十二招:结果驱动
“以终为始”,为每个人制定一个工作目标,不论是从绩效考核和个人成长来讲都是很有必要的,有方向才有奔头,有结果才有价值,不积跬步无以至千里,小结果积累出大成果。
第二十三招:成长路径
一个人的职业生涯是长久的、需要的技能是多样的,每个阶段的诉求也是不一样的,如果团队每个人都有清晰的成长路径和目标,安全管理者能够提供一些有益的辅导,那么团队才是有朝气和活力的,才是能战斗力的。
第二十四招:资源配给
有的事情想干没干成,为什么?要么是人的配合,要么是技术的难度,要么是成本的投入,这些都是资源,我们要为能干活的人提供资源而不是阻力,在动力、目标都没有问题的情况下,有了资源的加持,人才能把事干成,才会心甘情愿,全情投入。
第二十五招:安全合作
业务团队人员的变动,可能会导致我们的安全制度和措施变样,从两个方面考虑,一个是安全团队在业务团队有专职或兼职的接口人,加强部门间的工作沟通,另一个是在业务管理过程中,融入的安全措施能够提供良好的用户体验,使得业务人员能够主动积极的拥抱安全,为安全站位。
第二十六招:流程建设
安全流程目前有很多工具和平台能够自动化实现,比如产品采购的管理、系统账号的同步、数据使用的申请、权限管理的变更等都可以通过平台化工具进行灵活配置和发布,保证了安全流程执行的及时性、全面性和数据化。
第二十七招:虚拟组织
为了在企业内部推动各项安全工作开展,快速获得更多的合作方,可以成立一些长期或临时的虚拟组织,比如数据安全委员会、上市合规小组、APP应用治理小组等,通过虚拟组织的工作章程和沟通机制,将安全责任落实到位,安全支持执行到位。
第二十八招:系统集成
研发团队人员的变动,可能会导致安全技术措施失效,为了统一收口,可以将技术工作左移,比如常见的两项措施,一个是SDL体系建设,将各项安全工具和流程嵌入到公司整体的研发管理平台,做到事前的风险识别和管控,减少事中和事后问题,一个是威胁建模建设,让安全团队时时刻刻掌握业务需求和上线信息,将宝贵的安全资源和精力投入到高价值项目和高风险项目上。
第二十九招:分工合理
合作团队主要指和安全相关的职能团队,比如法务团队、公关团队、内控团队、审计团队等,每个团队都是高度专业化的团队,每个团队都应该展现自己优秀的专业实力,明确自己的分工和价值,五个手指头握成拳头才有力量。
第三十招:补位精神
没有完人,也难有完美的解决方案,但是有完美的团队。在事物动态变化中不断修正和调整,该亮剑的时候就亮剑,在时间、专业、精力等方面积极配合,通过快速协调之后,三个臭皮匠顶个诸葛亮。
第三十一招:项目合作
在重大项目,关键时刻上,可以通过项目管理的方式开展工作,通过项目不仅能够获得资源,减少投入,明确收益,加快进度,关键是每个人都有成就感,而且通过一次次的项目合作,也是增进同事之间感情的很好方式,战斗的友谊是最坚固的。
第三十二招:利益相关
最后一步,OKR大家都知道,绩效管理大家也知道,在重要目标和价值上,可以形成共同的绑定,形成你中有我,我中有你的局面,确保你忘不了我,我忘不了你,保证事情能够顺利推进和完成。当然具体的比例和优先级需要大家提前沟通好。
第三十三招:提升影响
职业生涯不可能永远是一帆风顺的,需要我们时刻提升自己的专业技能、业务能力,比如架构设计能力,汇报能力,PPT能力等细节,同时,应该建立和业务部门、职能部门的良好合作关系和口碑,关键时刻,同事们的认可很重要,安全永远不是安全部门自己内部的事。
第三十四招:同行助力
在工作中遇到困难的时候,可以多和做企业信息安全的兄弟们聊聊,聊着聊着思路也许就来了,资源就来了,世界上不可能就你一个人遇到这个问题,也许别人早就解决了。
第三十五招:行业关系
多关注行业动态,多建立行业知识库,既可以对安全工作规划有指导,比如下一阶段监管重点,下一阶段的技术爆发点、下一阶段的优秀解决方案等,也可以对个人的职业发展提供更广泛的参考,哪些方向更适合自己,哪些领域需要继续提升。
第三十六招:角色变换
安全行业每隔一段时间,变化也很大,不要一遇到困难就放弃,我们应该能上能下,该换就换,拥抱变化,调整心态,在不同新环境下,先取得一定成绩,慢慢建立信任,时刻准备着,要相信前途是光明的,是金子总会发光的。
第三十七招:安全可视
通过大屏、通过产品、通过项目、通过会议、通过事件等一切方式,都可以,展示安全团队的成果和内容,酒香也怕巷子深,一定要安全相关方对安全有认知、有感受,能量化的量化(比如网络攻击、数据使用等),能定性的定性(比如认证、合作等),将无形的安全状态变成管理系统化、体验专业化、效果可视化、能力口碑化。
第三十八招:成本投入
就算安全做到位了,如果成本过高也是很难接受的,所以需要我们对安全方案的采购成本、使用成本、防护效果、运营压力等多方面成本进行评估和行业对比,及时和领导们沟通,在成本和收益之间找到最佳契合点,确保公司的资源没有浪费,都花在了刀刃上。大家想想,在行业发展到今天,该有的产品也基本都有了,为什么Gartner提出了入侵与模拟攻击(BAS)的概念。
第三十九招:个人品牌
如果资源实在有限,有时间的情况下,可以出出书、写写文章、安全会议上进行一些演讲,加强与行业和伙伴们的沟通,提升个人品牌影响力的同时,多吸取同行的经验,增强自己的专业信心。
第四十招:目标对齐
绩效不好,有时候是因为和领导们的期望值不一样。所以预期管理要做好,与领导们做到目标对齐,语言对齐、理念对齐,消灭工作中的不确定性和盲目性,为安全团队赢得宝贵的资源和信心,不动则已,动则雷霆万钧。
综上所述,本次交流的内容,也仅是本人工作过程中的一些感悟和思考,是在不断摸索、迂回前进中的陋见总结,既不能做到面面俱到,也不能做到如何有效,如果在遇到某些情况时,提供了一点点的思路和方向,就善莫大焉。我相信在解决问题的方式和方法上,每个人都有自己的独到见解和精妙高招,如有机会,还请不吝赐教。
安全技术是日新月异的,不断变化的,而安全管理永远是和各种人打交道的学问,有些管理问题也是跨行业、跨周期的共性问题,值得总结和思考,同时,本文也希望对今后的新人有一定的帮助作用。
仅举一列,第二十五招“安全合作”。我在不同公司,都遇到一个场景,有一天,有一个业务同事走到我的工位,主动问我:“咱们公司在XXX事情上,安全管理是怎么要求的”。各位兄弟,此时此刻,他说的XXX事情已经不重要了,反正之后有的是时间沟通,我只知道,他能够走到我的面前,是我多大的荣幸啊。互联网行业公司什么最难,获客啊,为了获客,花了多少钱,想了多少心思,而现在一个同事都现场走到你的座位了,面对面的和你沟通了,带着问题和希望来了,这样的人,我一定要教的明明白白的,做到高接远送,在正事聊完之后,我一般都会说:“兄弟,你对网络安全了解的很专业啊,XXX事情上你能想到安全,真是一个有责任心、为公司负责的人啊”,在后续安全培训和活动中,这样的同事都是优秀案例和获奖人选。
遇到问题怎么办?
四十招里看一看。
日常工作怎么干?
四十招里有方案。
一家之言,请勿见笑。