CSO说安全 | 胡广跃:证券行业之“小镖局”修炼

  • A+
所属分类:云安全

CSO说安全 | 胡广跃:证券行业之“小镖局”修炼


由安在新媒体策划并主办的首届超级CSO研修班,于2021年1月圆满结营。18位CSO学员,历时5个月,完成16节次课程的研修学习,经历名企参访、课堂作业和私董会,更有期末3000字/每篇的毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。


首届超级CSO研修班学员分布广泛,包括银行、证券、保险、运营商、能源、传媒、物联网、咨询服务等多个领域,在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。


超级CSO研修班不仅是一届课程,更是契机和起点,希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。




CSO说安全:证券行业之“小镖局”修炼



CSO说安全 | 胡广跃:证券行业之“小镖局”修炼
胡广跃
硕士研究生学历,10余年来,一直深耕于网络安全,始终保持一颗低调务实风格。获得了CISSP、CISA、ISO 27001 Auditor、RHCE、OCP、CCSK、Security+、等级测评师(中级)等十多项知名认证,用自己的知识和能力为网络安全添砖加瓦。
CSO说安全 | 胡广跃:证券行业之“小镖局”修炼



1.

我眼中的安全


安全是个江湖,山外有山、人外有人,并不断的动态变化,没有绝对值。尤其是做企业安全好比镖局“押镖”,无法预知啥时遇到劫镖的、有多强大、什么手段……,时刻面对范围广、低门槛的众多未知威胁,只能提前开展自以为的全面准备和应对策略,个人总结行走江湖核心:“修内功、拼人品”。


2.

证券行业特点浅析


随着信息化的不断发展,证券业务种类和交易的手段也不断丰富,金融科技赋能成为证券行业争抢的重要风口之一,网络安全面临的形式也水涨船高。


目前,证券行业主要具有以下几个主要特点:

1)强监管行业。作为传统金融行业,也是国家关注的重点行业之一,也成为越来越多的多种安全审计、自查、抽查的聚集地,“安全合规”是重要前提之一。

2)证券交易系统对集中时段的可用性要求极高,可谓“分秒必争”。

3)业务和IT系统存在较大的共性。虽然可能会由于需求的不同,耦合或者分离,但其常见业务和系统主要功能仍然是太多的大同小异。

4)越来越高度依赖信息技术,以及越来越高的网络安全要求,对网络安全的预期和要求也越来越高。


3.

辩证开展安全工作


3.1了解组织

充足的信息收集对安全工作很重要,所以首先要认识自己、了解企业、了解业务、也要了解技术。始终要保持安全工作与组织的发展目标保持高度一致,并获得认可及支持。


在目前的证券行业里,大部分情况下,安全是非赚钱的职能因子,是成本中心。在集约化管理的主旋律下,安全的资源投入会被慎重的考虑,安全专业人员数量和资源依然处于相对稀少状态。


然而,安全是个涉猎非常广泛的一个交叉学科,具有庞大的知识面需求,尤其是做企业安全,涉及安全管理制度、流程控制、安全项目建设、安全运维保障、安全审计、安全意识教育、安全漏洞挖掘、安全合规、安全风险管理、配合监管安全检查等等。相对较少的安全从业者成为“多合一”小超人,不仅要会各种计算机和安全技术,也要会管理体系优化,还要懂得项目管理、带团队、安全合规、人际沟通等等。


3.2确定安全需求和目标


作为传统的金融行业之一,“合规”堪称主要生命线之一,组织眼中的安全需求和目标通常就是 “不出事情”,看似简单的亘古不变的几个字其实并不那么简单,尤其在当今安全形势日益严峻的动态格局下,小目标蕴含着高要求。


对于一个企业来说,通常首要目标是发展、是赚钱,组织的发展主要体现在业务。据此,安全工作的首要目标应该围绕如何让企业安全稳定的赚钱,“不出事情”(关键时刻能顶得上、能救得下火、控制得住火情,不出大事情)。


3.3资源用在刀刃上


随着IT的不断发展,网络安全的监管要求、自身需求和目标也在不断的演进,赋予了时代的含义。当今的网络安全的已经演变成业务安全和传统网络安全的结合体,无法靠传统套路进行安然走镖。


作为“小镖局”,团队人员编制和资源非常有限,尤其在愈加严格的高要求背景下,依然成为“看似有选择,其实没选择”。在几千人甚至上万人的金融组织中,安全团队仅有几个人甚至更少的情况下,要求也必须将宝贵的资源时刻用在刀刃上。


如何把非常有限的精力和资源用在刀刃上,保证组织能够最大的成本效益?

1、有取舍。资源不太充分的情况下,资源一定不能平均,一定要有所取舍,不能什么都想抓,往往什么都抓不住,容易贪多嚼不烂。

2、抓重点。需要清晰的知道当下的关键是什么、主要矛盾是什么。

3、得治本。对发现的潜在安全风险,要及时找到根源,确认是个别还是一类,对以类型的一定要辨析根因,开展治本工作,及时控制增量、逐步消化存量,进行安全风险控制。

4、会容忍。“安全”就是不断的博弈、控制风险的过程,需要严格控制不可接受风险,容忍可接受风险,而不是消灭所有风险。

5、争资源。将稀少的宝贵资源用在刀刃上往往趋向于雪中送炭;只要条件有可能的情况下,尽可能的争取更多的资源,实现更全面、更精细化的安全管理,实现锦上添花。


3.4团结一切可以团结的力量


安全作为团体作战,需要团结一切可以团结的力量。清醒的知道组织和业务的各个环节均可能出现风险,风险无处不在。安全不是一个人或固定几个人的事情,需要人人为安全负责、人人参与安全,安全是一起协作的过程。


在组织中,尤其在“小镖局”的情况下,团结一切可以团结的力量是安全工作非常重要的准则,范围不限于组织成员、合作伙伴、监管部门和上级主管部门、以及江湖朋友等。当然这些是要目标一致的或至少目标不是冲突的。


团队内,及时了解团队成员,尽可能提供能够“持续的学习平台”或机会,要将团队认知、目标保持方向性的一致。同时,既要自己拼命干,又要带节奏,身先士卒前先考虑分工是否得当,及时调整优化,保持团队具有前行的活力。


3.5必要的红线管理


“三分技术、七分管理”,完备的安全管理体制是进行良好的信息系统建设的基石。对于任何企业的安全风险管理而言,仅发现安全风险不是最终目的,须从发现安全风险到控制安全风险形成闭环,有效管理、消除不可接受风险。尤其在公司不断壮大后,一定要建立安全考核机制,把工作落到实处、权责对等,设置并严格执行安全高压线,严控不可接受风险是安全发展的必要条件之一。对于推动不可接受风险的整改、保证安全质量,仅从技术和沟通仍显得势单力薄,需要划定风险接受度的管理红线,作为强制性的标准要求,是安全管控机制中不可或缺的部分。


CSO说安全 | 胡广跃:证券行业之“小镖局”修炼


4.

自身修炼


小镖局走镖,面对动态不确定的未知,自身“本领”和“心态”很重要,修炼永远在路上。


4.1始终保有兴趣与目标


1)兴趣。深耕“钉钉子”的专注精神,保持高昂的兴趣和当初的热情,兴趣可以在某种程度上可以帮助克服人的惰性,一旦缺乏兴趣或无法在其中找到成就感,那么这场修行将是非常乏味甚至痛苦的旅程。


2)目标。既要有团体规划方向,也要有个人发展目标,防止走到哪算到哪,坚持自己心中的那份当初的倔强,并为之付出努力。


4.2会学习


主动学习,增强本领、不断提升。


1)会阅读

知识的摄取,很大一部分通过阅读而来,但现在的文档非常的多,需要我们学会阅读,才能有效的获取有用的知识。


学会并提升阅读的能力,引用学来的知识:基础阅读(读懂文字的意思)、检视阅读(系统化的略读,通过要点,判断是否值得细读)、分析阅读(咀嚼与消化、寻求理解、提出问题;变成自己的东西)、主题阅读(比较阅读,读很多相关的文献,“能够架构出一个可能在哪一本书里都没有提过的主题分析”;高于作者的认识)。


2)会取经

“三人行必有我师”,保持谦虚学习的姿态,通过“取其精华去其糟粕”的辩证学习观及时获得可取之处。


3)多了解

不能故步自封,要多了解行业、了解业务、了解技术、了解江湖、知己知彼,少走弯路,武功精进。


4.3保持好身体、好心态


“没有伤痕累累,哪来的皮糙肉厚,英雄自古多磨难”。既然前人已替我们进行了非常好的总结,要能挺过多磨难,需要有好的身体、好的心态。既然选择这条路,就要有十年磨一剑的恒心,甘坐冷板凳的平和。


CSO说安全 | 胡广跃:证券行业之“小镖局”修炼


5.

总结


“一百个人眼中有一百个哈姆雷特”,安全,不同的阶段选择不同的应对方式,没有统一绝对的答案,处境各不相同,需要我们不断根据时代、各个场景进行辩证理解。


 “修内功、拼人品”,“虽在江湖混,但也只是小混混”。保持住低姿态、务实作风、勤修苦练、积攒人品,为团体目标和个人目标添砖加瓦,实现符合自身组织的安全治理之道。





首届超级CSO研修班已圆满结营,第二届超级CSO研修班正在筹备,按照计划,2021年中会正式开营。如果你是企业或机构的CSO/CISO/信息安全总监/信息安全主管,如果你想进一步拓展知识、提升眼界、广结人脉、突破自我,想更好地胜任CSO职位并探索更高阶职业发展,那么,超级CSO研修班绝对是你不二之选!


CSO说安全 | 胡广跃:证券行业之“小镖局”修炼

早报道早抢位,有意向者,请洽

椰子

CSO说安全 | 胡广跃:证券行业之“小镖局”修炼




推荐阅读




网络安全“黄埔军校”——超级CSO研修班重磅首发

超级CSO研修班首发,听CSO说CSO

不惧“黑天鹅”,超级CSO研修班重启,报名请进

最强导师团,超级CSO,奠基网络安全“黄埔军校

CSO领航企业安全,网安业者如何火力全开?

我为什么要参加超级CSO研修班?

超级CSO研修班:开营了!

“无限可能,成就有你”,超级CSO研修班揭幕开营!

超级CSO|谭晓生:洞察产业,创新网安

超级CSO|黄承:规划策划,重在人事

超级CSO | 马民虎:网安发展,法律必行

超级CSO | 季昕华:宁做“备胎”,无畏创业

超级CSO | 陈建:治理先行,管控落地

超级CSO | 宋琳:面面俱到?简单粗暴!

超级CSO | 杜跃进:对抗实战,机遇挑战

超级CSO | 段海新:好奇求真,务实创新

超级CSO | 胡洪涛:安全投资,面向未来

超级CSO | 潘立亚:红蓝对抗,攻防实战

超级CSO | 周斌:业务安全,风控要强

超级CSO | 刘新凯:数据安全,合规挑战

首届超级CSO研修班结营:无限可能,成就有你

超级CSO | 杨哲:商业秘密,隐私防护

超级CSO|贺嘉:多讲故事,拨动情绪

CSO说安全 | 向阳:物联网安全现状与展望

CSO说安全 | 廖位明:信息安全建设思考

CSO说安全 | 张永刚:信息安全规划之我见

CSO说安全 | 郑太海:中小型金融机构 CSO 修炼指南


CSO说安全 | 胡广跃:证券行业之“小镖局”修炼
CSO说安全 | 胡广跃:证券行业之“小镖局”修炼

齐心抗疫 与你同在 CSO说安全 | 胡广跃:证券行业之“小镖局”修炼



CSO说安全 | 胡广跃:证券行业之“小镖局”修炼

点【在看】的人最好看


CSO说安全 | 胡广跃:证券行业之“小镖局”修炼

本文始发于微信公众号(安在):CSO说安全 | 胡广跃:证券行业之“小镖局”修炼

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: