实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享

  • A+
所属分类:云安全
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享


【分享题目】


让内卷更卷——

内卷时代科技内部的1-2道防线工作分享


【分享人简介】


石头,银行信息安全与科技风险普通工作老人。(我只能说这么多……


【分享形式】


群内分享,图文穿插形式。


嘉宾将会在「金融业企业安全建设实践」和「企业安全建设实践」2个微信群,就“内卷时代科技内部的1-2道防线工作分享”进行个人经验的分享。


群秘会同步转播分享内容至企业安全建设实践3群、华南分会群以及2个读者群。


【分享内容梗概】


目录:


1. 分享适用范围及局限

2. 1.5道防线的意义及作用

3. 如何开展工作

4. 1.5道内卷的价值输出

5. 经验分享


【分享时间】


6月24日晚上7点30分准时开始,总时长60分钟,包含20分钟的问答环节。

-------------------------------------------------------------


以下为实录:


各位大佬、专家,在下厚颜,在聂总推举下来做一次分享。跟群里这么多大佬相比,我这最多算是叨唠几句,叨唠完了,各位要有啥启发的算是意外收获,要是什么都没有,就骂两句,发泄一下情绪就算是收获。之前群秘联系分享时,我列了好几个题目,最后,我定了这个估计没有多少人会分享的毫无技术含量的题目。下面就献丑了。

 

科技风险管控的1-2道防线,是指介于1道和2道之间的一种机制,以下就叫1.5道,简单来说,1.5道就是在科技部门内部做2道、3道防线一些事情,本质上是用“问题”角度来推动科技发展。


1.这个分享的适用范围及局限


首先,机构相对比较庞大,才会相对出现1.5道这种机制,机构相对比较小的,一般不会这么明显。另外,不同单位管理思路不一样,1.5具体怎么干,干什么肯定是有差异的,而且出现的方式也没有固化形态,可能是科技内部一个独立的小组、也可能是一个独立的处室级别单位,或者在一些偏管理性质团队兼职相关职责。

所以,这个分享主要适合于以“问题”角度推进风险管控的角色,也不仅仅是直接作为1.5的人员。

 

2. 1.5道防线的意义及作用?


先简单扯几句,在风险管理上,银行基本是标配“三道防线”(业务主控+风险监管+审计稽查),设置多防线是用相对独立、制衡、加码的职责形式来解决风险防控问题。

 

“业务主控”指一道防线,包括科技、各个业务部门都是一道防线,主要负责自身管辖范围内的风险自主管控,我简称业务“主控”,比业务“自控”看起来更有主动性,另外如果出了事,也是自主承担,二、三道是基本不会担当的。

 

“风险监管”是二道防线,现在银行基本都有风险管理部门,多数叫风险管理部,有些可能在合规部门承担部分职责。二道防线主体职责是对一道防线风险管控工作的监督,典型工作包括风险评估、风险监测、风险报告。多数是监督性,个别可能能力强的带少量操作性工作。按我了解的各同业机构情况,二道防线的管控力度是比较弱的,多数是偏建议性质。现在很多互联网企业也有风控部门,以做业务风控为主,应该说还是属于一道防线的范畴。

 

“审计稽查”是三道防线,是独立的审查单位,按照公司治理结构,审计部门的汇报路线是直达董事会、监事会。现在很多情况下,审计发现的问题可能会跟问责等一系列处置有关,在单位内部来说力度是很大的。

 

回到正题上,随着这几年很多单位科技人力的迅速扩张,最近这3年,特别是股份制银行科技人力增长是比较快的,翻1番、翻2番以上的不少。但是,不管是行业内还是单个银行内,业务的增效曲线与人力增长曲线的差距越来越小,甚至重合或被反超的时候,再叠加监管等加持的内卷力度,配合二道防线在科技风控的弱势等因素,“内卷”就越发明显。于是1.5道防线在很多地方出现,科技部门内部开始干二道、三道的部分工作,其实有些大行早就这样干了。当然1.5不是机构独立性的,从公司治理结构上不会产生取代2、3道的问题。

 

“内卷”的1.5道核心是“发现问题、监督处置”,做到科技的风险防控,至于用什么形式,就不一定了,评估、检查、测试等都一样。内卷时代,减少犯错也是增长。不管怎样,不足和问题总是客观存在的,通过1.5的督促性作用,某种程度上可以成为组织内部的一种自愈性发展补充机制。

 

拿群里大佬多数专长的安全来说,比如对安全部门,自身职责是建防御、监测、响应的安全体系,1.5对安全部门来说,可以给安全部门纠错纠偏:安全建设有啥问题,为啥这个角落不部署IDS?渗透测试做得够不够全不全,为啥哪个需要key登录的系统你们从来没测过?为啥监测发现的问题,没有实地去核实的工作机制?报警以外的没有过问过,都咋办呢?先不论这些问题的缘由,鞭子总是得有的。

 

1.5的作用:


(1)站在科技内部以独立视角及时发现问题隐患,并督促处置


(2)尽可能减少外部检查发现问题

 

1.5的价值:


(1)1.5是绝对的一把手工程,要帮一把手管住让一把手提心吊胆的问题


(2)挖掘问题要体现一把手管理思路


没有一把手的支持,1.5的团队就养老吧。

 

1.5难以回避的


(1)“幸存者偏差”永远存在,问题和事件永远会发生


(2)一把手有太多渠道能知道各种问题


(3)没有人愿意别人来指指点点,人情世故(这方面不作讨论)

 

1.5的衡量指标


(1)发现问题数量、处置率


(2)与外部检查比较数量,问题数量比例、提前发现率、重复发现率、额外发现率


(3)成效指标:事件或处罚减少量等


(4)发展指标:自动化率、规范化率


(5)外部衡量指标:评级或其他方面的得分

 

3.如何开展工作


“一把手、温和独立、客观”,我觉得是1.5的干事核心。


(1)“一把手”是指紧贴并积极响应领导关注点,并且在一把手支持下,获得更多的资源,包括绩效考核、甚至问责等。如果涉及绩效考核,要考虑用正向激励方式,把这种良性循环建起来。


(2)“温和独立”,是指不要把自己完全作为1.5,不是风险管理部、也不是审计部,所以工作方式需要适当温和,并保持独立性,需要考虑实际情况,协作而不是指手画脚。


(3)“客观”,是指“问题”要客观,不能是想当然的,问题要充分。

 

1.5的工作模式:


(1)英雄主义,以独立的身份去开展检查、测试等。


(2)平台合作,以建平台、提供工具的模式,组织大家一起开展。比如建一个测试平台、提供扫描工具,由对应的团队去应用。


(3)管理体制,以建组织、建机制体系、安排任务、监督执行为主,最终由一道去落地。


1.5一般是混合这几种模式工作,不是1.5的,这几种模式一般分布在不同职责的团队。

 

另外就是常规思维的检查库建设,主要是知识积累、知识转移及操作规范。本身是鸡与蛋的问题。


常规思维,搞检查的都要做检查库(风险库之类名词)建设,而且对“外行”来说一般看得见。当然本身还是有价值的,主要是知识积累、知识转移及操作规范。但从某种意义上来说,这本身是鸡与蛋的问题,如果问题和经验全部预设化了,那应该是没有问题的。


实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享

在我们这个大概有800多项,需要花很多精力维护。


检查自动化手段是必须的,工具化、平台化。比如漏洞类、配置检查类、用户检查类等,相对容易实现,还有一些是交叉检查。上面那个800多项,大概有60%基本是系统化的。


问题挖掘的角度:


(1) 降维打击,站在高一层级维度来看问题。比如用成熟度来看,如果还是在工具建设阶段,那机制方面,完整性方面、自动化方面等肯定存在很多问题。还在搭IDS的,场景分析肯定不足;还在做系统日志分析的,肯定数据库日志分析基本没有;还没有团队的,那分析、响应机制肯定不行; 

 

(2) 切片细节、PDCA环等。比如变更投产流程管控,把全过程切片,每个环节的控制点,流程工具上硬控制如何、文件传输全链条完整性、审批流程和数据流能不能匹配、工具流防不防篡改、变更能不能控制时间和终端、如何审查。

 

(3) 盯住新的、还没有的。比如等保2.0的新要求、个人数据规范等新出的要求,肯定短期都有问题。

 

(4) 我知道难,所以肯定难。比如渗透测试测得够不够,公司网银要测就得开公司户、银企直连要测得有专线(不然得拉控制)等等。

 

(5) 某些监管看重的问题不是1.5的重点,特别是跨业务部门的难点,比如外包管理、业务部门的系统管控等。


1.5道内卷的价值输出

 

有哪些价值:本质上所做的事都是后台的,不是跟开发、安全一样,属于他们的后面。所以,价值输出除了自身“发现及解决问题,弥补存在的不足” 以外,尽可能需要向前靠。比如:


(1)推动业务系统的功能进一步完善,用系统化的处置导向去解决部分问题,如敏感数据的落地问题。


(2)跟一线内卷。如安全架构、设计等,不仅仅是提建议,而是操作性方案,把握处置的管控。


(3)豁出去拼,跟审计和XX领导。这个注意预期,要跟风险损失赔偿金一样,保留托底。


---------------------------------------------------

问答环节:

Q1:我提个问题,石头老师,在施行1.5道防线后,内部安全质量,是否有明显的提升?安全能否自证?有什么方式自证安全上了一个台阶呢?

A:衡量指标,是自证的多个角度。另外,提升是必然的,当然因为问题数量的动态的,用简单想法来说,如果问题数量是有上限的,1.5做的正好是赶着去上限。另外这里的1.5是比较泛的,更多是风险层面,安全只是其中的一部分,当然是主要部分,可能在60%左右。

---------------------------------------------------

Q2:石头老师,权限监控方面,1.5道防线有没有有效的手段呢?

A:我们目前还是用的配置分析和比对分析两种,前者主要是系统自动化,后者人工处理,没有事前性的。

---------------------------------------------------

Q3:石头老师好,安全风险库的维护会面临更新,合并,甚至删除一些风险项和控制项,到一定规模的时候维护起来会非常头疼,有什么好的办法吗?

A:没有太好的捷径,跟知识库一样。可以用一些拓扑、图谱的方式。

---------------------------------------------------

Q4:石头老师,长期来看,1、1.5、2甚至3从检查要点库的角度,如果检查要点最后大家都一致了,那1.5还是否需要存在?

A:爽总,理想情况下检查要点才会一致,实际是不可能的,因为基本不会完全共享。包括问题,毕竟1.5的重要作用就是要让2、3道尽可能少。

---------------------------------------------------

Q5:请教下石头老师,看了您对1.5的描述后和“信息安全内审”这种岗位有哪些区别和相同?

A:“信息安全内审”主要是看信息安全的定义,1.5偏风险,可能有80%是重叠的。


---------------------------------------------------


Q6:1.5道防线本质上属于风控管理机制的前移,和安全左移思路是类似的,这是风控管理的必然趋势,那顺着这个趋势,请教石头老师,这种1.5道防线会不会继续前移到各个团队?毕竟团队自身才更了解他自身的业务和问题。或者有无比较好的机制促使各团队主动发现问题?


A:说的非常对。深度内卷就会进一步前移。“促使各团队主动发现问题”,多数就是绩效、惩罚,以及平台支持性。我们目前有正向激励措施,就是主要报问题的,会加分。这个得看团队自身的衡量,到底是要绩效还是要面子。


---------------------------------------------------


Q7:个人理解 业务,科技,安全每个条线都可以有一二三道防线。这个1.5道应该是和单位权力制衡需要,组织架构设置密切相关,像一部两中心,对于数据中心本身里面来说的安全团队就是1.5,2道风险,3道审计很难深入到科技工作里面。


A:是的,1.5可以是一个虚的,集合在很多不同职责团队里面,也可以是实的,独立的。机构越大,实的越多,同时虚的也会越多,有了1.5,也会有1.25,1.125。所以是内卷时代。


---------------------------------------------------


Q8:看来大家都很厌恶这种“你自己查了风险报给我”的二道。


A:以我个人理解,如果真有1.5的,应该不要去做成2道的样子,本身是科技内部的,一把手通常不会喜欢单纯的2道贩子。比如我们这边有一些问题,直接奔着业务系统去了,跟着开发直接和业务打交道。


---------------------------------------------------


Q9:1道不足够了解风险,2道不足够了解业务,所以1.5道是不是两方面都得了解才能做好。


A:这是必然的,而且要做的事还得比别人经验丰富一点,不然怎么能提出问题来。


---------------------------------------------------


Q10:石头老师,我看您提到正向激励措施,能具体说下除了自己主动报告问题能获取积分外,还有哪些措施吗?另外如何引导被检查单位正面看主动报告问题,而不是宁愿不要积分也不报告问题?


A:这方面不要完全依赖,没人愿意自暴的,如果是考核有几个指标可以考虑,比如外部问题提前自查数量、比例,配合处罚,实地检查。


---------------------------------------------------


Q11:个人觉得“一把手”和“温和独立”这两点很多时候是矛盾的,这个度很难把控,甚至本来就顾此失彼的。既然要向大领导汇报问题,那势必会让被写问题的领导不爽,除了把发现问题先“处理”下,还有其他比较好的手段么?


A:所以要借力,通过一把手把这个机制传递落下去。初期肯定不爽,需要更温和的方法,有2、3次汇报,大家都习惯了。要看管理模式和文化,有的可能需要前期直接强硬,后期温和,有的可能后面逐步强化才行。


---------------------------------------------------


Q12:举个例子,以前没CMDB靠excel维护,提建议建CMDB,后建CMDB已2年,很多信息不全、资产不全,提出建议完善,对方领导直接说以前没有CMDB还没问题,现在有了你又挑各种毛病,是我建错了咯。这种1.5道防线还有必要做下去么,还怎么做下去?这降维降不下去啊


A:你说这个我觉得不会存在。因为没有CMDB的时候,会有更多更严重的问题,可能连基本的环境都管控不住,不管是测试还是生产,这直接可能产生生产故障。每个阶段肯定遇到的问题不一样。


---------------------------------------------------

 

Q13:1.5道防线检查你们会写正式报告或发文或提交某某会议审议么?


A:我个人不太注重报告形式,除了文档性基本工作。目前我处理的基本都是PPT。因为1.5不是治理架构中的环节,审议性形式不重要。重点是和相关责任人直接和一把手汇报。


拓展阅读:金融企业IT内控合规管理建设与实践


END.


——群内分享往期精彩——

实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享

--------------------------------------

实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享

关注本公众号,实践出真知。





——群内分享往期精彩——


实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享

--------------------------------------

实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享

关注本公众号,实践出真知。

本文始发于微信公众号(君哥的体历):实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: