目录:
篇一:浅谈root账号安全管理
篇二:供应商及人员安全管理
篇三:职业欠钱理解的安全运营
篇四:测试环境安全管理漫谈
篇五:流量层检测的未来何去何从?
篇六:安全资产管理
篇七:操作系统补丁管理与代码扫描工具探讨
篇八:矛与盾,攻与防杂谈集锦
篇九:如何进行有效的安全规划与汇报?
篇十:小议数据安全场景应对之道
篇十一:众说纷纭聊安全弹性与韧性
![金融实践群精华回顾之九-如何进行有效的安全规划与汇报?]( "金融实践群精华回顾之九-如何进行有效的安全规划与汇报?")
管理领域有个话题,如何管理你的上级,将上级作为你工作的资源之一,是非常有趣的话题。安全汇报是管理好你的上级非常非常重要的一环,也是我们安全人员最不擅长的。企业安全负责人在职业生涯面临无数的安全汇报,如何让每一次汇报取得预想的结果?如何让安全汇报成为企业安全建设的强力助推器?
1 汇报要点
1.1 汇报对象
根据汇报对象的不同,需要建立面向监管层、公司经营管理层、跨业务和IT的跨部门,以及IT部门和总经理、安全团队内部的汇报机制。
首先要明确自己的汇报对象,是来自于供给侧还是需求侧。针对不同的对象,报告的内容、重点都会有区别。对于不懂技术和懂技术的领导要有不一样的讲述方式,要接地气,贴合实际和具体的业务。例如在预算缩减了50%的情况下,围绕现有的人要具体做什么事,哪些要严防死守等。
其次报告人是否需要对结果负责?是尽责的角度还是尽职的角度?如果负责,核心的重点工作是什么?需要提前想清楚。
总的来说,针对不同的汇报对象,需要达成的目标、使用的汇报语言、材料的精细度等等,差异巨大。对这些问题的思考结果体现在报告上的写法是不一样的。
1.2 汇报内容
汇报的形式,包括正式会议、正式报告、正式流程阅签、邮件,甚至非正式汇报(电话、微信,吃饭和路边交流)。汇报材料可以是PPT,也可以是Word,以及邮件和短信、微信等一切可以传递交流信息的载体工具。汇报的内容一般围绕四个目标展开:进展和问题报告(沟通信息、取得理解)、结果和成果(讲成绩也讲问题)、要资源和支持、推动工作(表扬先进督促后进)。
1.3 汇报经验
汇报线的不同通常会影响协调工作,理论上汇报层级越高,越能拿到“令牌”,管理权限越大,推动一些基础安全措施时会更顺利一些。安全汇报一定要聚焦和围绕目标来,根据汇报对象不同,满足汇报对象的利益诉求和关切。重大汇报前,要熟悉每一个数据,提前练习,一定要取得汇报结论。
有大佬分享双周报、月报,各种newsletter。月报给CEO和各种领导机构,双周报内部分享,还有项目周报,年度有安全白皮书,半年度有安全委员会报告,还有月度给下属公司的评估报告。newsletter给各相关利益方,主要是表工作效果和表功的,让分摊费用的老板们知道钱没有白花。
1.4 汇报总结
![金融实践群精华回顾之九-如何进行有效的安全规划与汇报?]( "金融实践群精华回顾之九-如何进行有效的安全规划与汇报?")
2 规划要点
2.1 规划的高度
横向上,要与行业情况进行对比。例如规划安全人员规模时,需要了解所在行业IT 技术在公司里占比多少?制造业,可能就1%-2%之间,但如果是高密度行业应该大于3%。如果IT技术人员占比增长时,安全人员占比却没有增长,就需要反思是哪里出了问题。同时,在现有比例下我们应该做些什么?
纵向上,要对技术或趋势具备前瞻性,考虑其对IT架构变化带来的影响,要思考如何提前应对这些技术变化带来的安全影响。举个例子,2020年 SolarWinds事件,从研发人员到供应链,如果我们遇到应该如何处理?网络安全只做常规的事情是不够的,我们应该做一些超越常规的事情,敢于挑战。
2.2 规划的方法论和框架
编写规划的过程中,通常可以按照以下步骤进行展开:
-
-
-
-
-
-
在每一个步骤中都有通用的分析框架可以参考。借助成熟的框架开展系统化梳理,避免遗漏重要内容。针对规划的不同环节,有不同的分析框架。例如定目标时可以使用“网络安全滑动标尺模型”,做风险评估时可以参考ISO27001、NIST RMF,在做攻防对抗能力建设时可以参考ATT&CK,做纵深防御可以参考PPDR。框架繁多,要清晰的认识到,所有的模型、框架都是我们用来完整呈现自己思路的工具,能够逻辑自洽即可。
2.3 现状和差距分析
这就绕不开信息安全驱动力的问题了。通常情况下,信息安全的驱动力来自于四个方面:
在做现状分析时,大家往往是基于合规和事件的视角,对业务视角分析不多。例如,某份规划中,从讲述中得知分行似乎有自己独立开发的业务,但材料中对分行业务发展的理解没有展示,那么安全对业务支撑有哪些?需要将这些支撑点予以展开,把工作做实做细。对于分支机构,在合规工作上,要将必做的事情和总部予以区分。
在做差距分析时,很多时候问题的落脚点是人员不足。某大型制造业公司,整个安全团队只有6个人,安全团队人数不但没有随着业务增长,反而在缩减。要去分析一下为什么是这个现状,和公司管理层要有沟通,确定是否是领导层没有认知到问题的严重性。
2.4 规划实施路径
通过比对发现了差距,识别出一系列信息安全任务,接下就需要设定可行的实施路径。对于路径,可以按年为周期,在内部细分出半年度、季度、月度等。也可以年为单位,进行滚动更新。这其中要注意,规划的任务项中要添加top级的工作任务,然后配置相应的资源来集中解决,例如成立攻击战队。同时,这个滚动表需要向上抽象出一些任务,便于内部汇报。
3 常见问题
3.1 高度与深度
从20年的诊断会内容来看,对技术或趋势的发展,对IT架构变化带来的影响,还缺乏前瞻性。在规划编制中,要思考如何提前应对这些技术变化带来的安全影响,否则安全工作将会持续处于被动状态。
在具体规划内容中,汇报人给出了部分网络拓扑、安全防护方案,这里举两个存在问题的例子:
例1:某单位给出了网络拓扑。首先测试业务出口太重载,可能无法落地;其次边界实现不太清楚,例如公有云接入后你是否会参与管理?如果核心的一些数据上传到云上,那么架构应该如何做?
例2:某单位的分模块规划中有多项问题。比如有一项工作重点是抗DDoS。提到了购买抗D设备,但其实这个效果是递减的,花大力气在抗D上可能不太值得;再比如,在工控上的举措投入产出比可能也不是很理想,防火墙之类起到的作用有限,对主机可能有用,但是服务器不一定,需要一些其它安全防护策略。
3.2 规划内容过于技术化
多位汇报人的材料,一上来就谈到各个具体的模块,进入技术点的陈述。没有事先建立一副全局视图,从多个维度介绍规划的总体目标,尤其是缺乏业务需求的驱动点。
3.3 心态问题
对资源不足的无奈。如公司薪酬不具备竞争力,无法吸引到优秀人才,或者无法留住优秀人才。
认为领导不够重视。如公司在流程制度建设方面不重视,导致某些工作推进困难。
在汇报过程中一定要采取正面的情绪,否则只能得到更糟糕的结果。
3.4 逻辑性问题
逻辑是汇报的“纲”。纲不举,目不张。如果汇报材料逻辑混乱,很可能遭受领导挑战。例如:某份规划在开篇部分提到了2020年成果,其中重点提到了抗疫工作。但是后文中,抗疫和业务贴合得并不紧,这中间逻辑不连贯。
3.5 集团内部规划对齐
对于集团公司的子公司,报告中缺乏顶层规划,你的安全团队、子公司的安全团队、总部安全团队的整个分工没有交代清楚。
3.6 规划的内容过于理想化
对于某些目标的设定,因为缺乏经验,可能导致难以达成。举个例子:某公司设定的度量指标中,微软补丁更新率为100%。要知道,即便微软公司自己,补丁更新率也只有90%。更新率100%不是不能达到,要看情况,服务器和应用少可以。例如工控补丁是打不上的,这类又应该如何处理,可能需要用别的策略规避。
3.7 规划内容太虚
画了一个大饼,看起来目标很远大,但是怎么达成呢?语焉不详。对于领导、听众来说,具体的安全工作与他们本身工作之间找不到锚点。例如:某单位计划安全团队在2023年要达到B、B-,即二线安全公司的攻防能力水平。但是如何实现,需要多少资源投入,如何度量能力水平等,却没有进行细化。与此同时,前面汇报的内容给人感觉就是,以现有的人力、公司政策,很难实现。
3.8 忽略团队内部诉求
规划是讲给“上面”的,也是写给“下面”的。在做好向上管理、业务诉求管理的同时,更不要忽略了团队成员的“需求”,毕竟团队的每一个人与你,才是最终的执行者。规划的内容明显超出了团队的承受能力,在执行过程中势必会怨声载道。规划的内容明显低于团队承受能力,会让团队得不到充分锻炼,也可能让成员觉得负责人不思进取,或者业务不精、视野狭隘。
最后,欢迎各位读者畅所欲言,您可以在留言区写下您的想法和建议,我们一起讨论。同时,小编也会在后续的群精彩话题中,尽可能结合您的建议来组织编辑,并会将您的问题向强大的群组织请教解题之法,期望能为您带来最大的帮助。
如何进群?
原文始发于微信公众号(君哥的体历):金融实践群精华回顾之九-如何进行有效的安全规划与汇报?
评论