大家好, 我是《Burpsuite实战指南》的作者,正在着手2024版的修订稿编写,欢迎关注我。
声明:本文仅是戏言,不当之处请一笑而过。
1/ 想要了解全面的网络安全现状,要相信自己的判断,而不是他人的报告。
作为安全的负责人,必须清楚了解整个安全体系的目标和进展。
想要及时掌握安全的整体状况,切忌道听途说,他人的报告往往不够准确,甚至可能被夸大。
企业各不相同,安全措施的评估标准不尽相同,标准的制定和尺度必须自己把握。
2/ 时刻了解可用的安全资源
安全的资源包括硬件、软件、人员、时间和预算等。
只有真正掌握的资源才是可用的,口头承诺往往不可靠。
3/ 至少制定三套计划:针对上级或客户、针对团队成员、针对自己。
对上级或客户的安全计划需要留有余地,对自己的计划也应适度宽松,对团队成员的实施计划则应严格,几乎不留余地。
因为人在时间充裕时容易拖延。因此,你最后的选择是利用自己的富余计划补救团队的拖延。
宁可让团队成员提前庆祝成功,也不要在拖延的气氛中通宵加班。
4/ 如有条件,一定要配备一名专业副手。
安全负责人是整个安全体系的核心,直接影响安全策略的成败。
如果你常常在日常的计划、统计和工作中耗费大量时间。不如配备一名能力出众的安全专家,帮你同时管理多个重要安全工作。
5/ 了解团队成员的能力、特长、喜好、缺点和厌恶。
毕竟,人不是机器,不能简单地通过开关来控制。
团队成员的特点直接影响到网络安全工作的效率和质量。
了解他们感兴趣的任务,这是一个人性化的管理原则。
6/ 分配安全任务时,从简单到复杂。
难度较大的安全任务,往往需要经验丰富的人来完成,而简单的任务则适合任何人。
这种分配方式,并没有错,但需要的是:自底向上分配安全任务,先将简单的任务分配给能力较低的团队成员,同时在时间安排上优先处理事项。
7/ 并非所有的安全措施,都能在规定时间内完成。
安全是一项复杂的工作,无法像流水线生产那样精确计算完成时间。因此,在任何时候,对于复杂的安全任务都应预留替代方案。
8/ 对于中庸派成员,绩效与奖罚并不一定有效。
对于那些在表现平平、既不突出也不差的员工,传统的绩效管理方式,可能不会产生预期的效果。比如通过奖励优秀员工,惩罚表现不佳的员工,这你得有自己的心理预期。
9/ 牢记安全管理的最高宗旨:风险控制。
任何不考虑成本的管理都是不切实际的。
增加安全投资、技术成本、培训成本等是能提高安全性,但安全管理必须在不增加预算或在可承受范围内控制风险。
因此,永远记住:抓住主要矛盾,控制关键风险。
10/ 你是一个有职业修养的人
安全行业,牛鬼蛇神太多。
企业安全高管,与厂商、与管理部门、甚至与灰黑,互惠互利,坑内部员工,坑高管、坑VP,并不少见。
不管别人怎么做,记住,你是有职业修养的。
如果让你推荐3~5个安全从业人员必考的证书,你推荐哪些?为什么?
以安全行业为例,那些在行业里,持续拿到过结果的打工人(一线100w,二线80w,3年+),他们做对了什么?又凭什么可持续拿到?
我是刚毕业不久的安全新人,女生,作为前辈,你们能给我一些职业上建议或者避坑指南么?
大型互联网企业如果开展网络安全建设,是安全管理重要还是安全技术重要?
原文始发于微信公众号(BurpSuite实战教程):写给安全高管,或CSOs的10个忠告
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论