写给安全高管,或CSOs的10个忠告

admin 2024年9月28日09:22:24评论2 views字数 1415阅读4分43秒阅读模式
点击蓝色
写给安全高管,或CSOs的10个忠告
关注我们

大家好, 我是《Burpsuite实战指南》的作者,正在着手2024版的修订稿编写,欢迎关注我。

写给安全高管,或CSOs的10个忠告

声明:本文仅是戏言,不当之处请一笑而过。

1/ 想要了解全面的网络安全现状,要相信自己的判断,而不是他人的报告。

作为安全的负责人,必须清楚了解整个安全体系的目标和进展。

想要及时掌握安全的整体状况,切忌道听途说,他人的报告往往不够准确,甚至可能被夸大。

企业各不相同,安全措施的评估标准不尽相同,标准的制定和尺度必须自己把握。

2/ 时刻了解可用的安全资源

安全的资源包括硬件、软件、人员、时间和预算等。

只有真正掌握的资源才是可用的,口头承诺往往不可靠。

3/ 至少制定三套计划:针对上级或客户、针对团队成员、针对自己。

对上级或客户的安全计划需要留有余地,对自己的计划也应适度宽松,对团队成员的实施计划则应严格,几乎不留余地。

因为人在时间充裕时容易拖延。因此,你最后的选择是利用自己的富余计划补救团队的拖延。

宁可让团队成员提前庆祝成功,也不要在拖延的气氛中通宵加班。

 4/ 如有条件,一定要配备一名专业副手。

安全负责人是整个安全体系的核心,直接影响安全策略的成败。

如果你常常在日常的计划、统计和工作中耗费大量时间。不如配备一名能力出众的安全专家,帮你同时管理多个重要安全工作。

5/ 了解团队成员的能力、特长、喜好、缺点和厌恶。

毕竟,人不是机器,不能简单地通过开关来控制。

团队成员的特点直接影响到网络安全工作的效率和质量。

了解他们感兴趣的任务,这是一个人性化的管理原则。

6/ 分配安全任务时,从简单到复杂。

难度较大的安全任务,往往需要经验丰富的人来完成,而简单的任务则适合任何人。

这种分配方式,并没有错,但需要的是:自底向上分配安全任务,先将简单的任务分配给能力较低的团队成员,同时在时间安排上优先处理事项。

7/ 并非所有的安全措施,都能在规定时间内完成。

安全是一项复杂的工作,无法像流水线生产那样精确计算完成时间。因此,在任何时候,对于复杂的安全任务都应预留替代方案。

8/ 对于中庸派成员,绩效与奖罚并不一定有效。

对于那些在表现平平、既不突出也不差的员工,传统的绩效管理方式,可能不会产生预期的效果。比如通过奖励优秀员工,惩罚表现不佳的员工,这你得有自己的心理预期。

9/ 牢记安全管理的最高宗旨:风险控制。

任何不考虑成本的管理都是不切实际的。

增加安全投资、技术成本、培训成本等是能提高安全性,但安全管理必须在不增加预算或在可承受范围内控制风险。

因此,永远记住:抓住主要矛盾,控制关键风险。

10/ 你是一个有职业修养的人

安全行业,牛鬼蛇神太多。

企业安全高管,与厂商、与管理部门、甚至与灰黑,互惠互利,坑内部员工,坑高管、坑VP,并不少见。

不管别人怎么做,记住,你是有职业修养的。

写给安全高管,或CSOs的10个忠告

推荐阅读

如果让你推荐3~5个安全从业人员必考的证书,你推荐哪些?为什么?

一图看懂《生成式人工智能预训练和优化训练数据安全规范 》

以安全行业为例,那些在行业里,持续拿到过结果的打工人(一线100w,二线80w,3年+),他们做对了什么?又凭什么可持续拿到?

我是刚毕业不久的安全新人,女生,作为前辈,你们能给我一些职业上建议或者避坑指南么?
大型互联网企业如果开展网络安全建设,是安全管理重要还是安全技术重要?

关注【Burpsuite实战教程】,每天给自己加一点油👇
分享、点赞、在看,3连3连!写给安全高管,或CSOs的10个忠告

原文始发于微信公众号(BurpSuite实战教程):写给安全高管,或CSOs的10个忠告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月28日09:22:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   写给安全高管,或CSOs的10个忠告https://cn-sec.com/archives/3216784.html

发表评论

匿名网友 填写信息