本文2019年首发于“安全村”,本次发表时略有修改。在创作过程中,得到好友唐勤、姚飞、杜宏保、王军军的指正,在此一并谢过。
想写这个话题很久了。自己以前有很长时间的大团队工作经验,看各位大佬探讨交流大公司的信息安全架构和运作方法,总是有很多共鸣;前2年在一家高科技企业负责信息安全,团队最多时4人、最少就2个人(虽然少,但还是得说,老板算是很给力了),于是就一直思考小团队应该如何开展信息安全工作,应该如何基于大团队运作的方式做优化和剪裁。同时也看到,能够构建信息安全大团队的中国企业应该是少数,大量科技企业还是在小团队运作,甚至有可能团队负责人还不是安全专业出身。于是,总结提炼、共享交流小团队的信息安全工作经验成为一种必然。业内既然鲜有提及,咱就斗胆抛砖引玉。
1、专职信息安全总人数少于等于3人,或占企业人员比例小于千分之二(经验数据)。据了解,甚至会存在1个人的 “信息安全团队”。
2、企业年信息安全投入(不含人力投入)少于200万,或占企业年营业额比例少于千分之一(经验数据)。
3、通常没有独立的实体部门或行政编制。大概率是IT部门的几个人,或者是某个靠近管理层的管理部门的一部分。
4、团队成员普遍身兼多职,或多个岗位的工作内容。有可能是一人兼多个信息安全岗位的工作内容,有可能还会兼任合规、风控、运维等岗位。
1、有短期、明确需要解决的信息安全问题,但缺乏长远的信息安全路线图。
既然有专职信息安全人员,说明老板或者主管已经意识到了信息安全风险的重要性,或者曾经出过事,所以通常短期之内有明确需要解决的信息安全问题。但是由于工作职责(组织架构相关)、资源、能力等问题,对于信息安全人员(或团队)未来应该干什么、解决什么问题,要么不清晰、要么缺少一个路线图,导致信息安全工作总体上偏被动、偏事件驱动型或合规驱动型。
2、资源少。
这是最典型的特征之一,“事多人少钱不够”。究其原因,可能
(1)信息安全在企业业务中的重要性还不够突出,伤的还不够痛,领导的专业能力不足,导致领导认知不到位、投入不够;
(2)企业经营和盈利能力不强,虽然领导重视、但是手里能花的钱都得精打细算,但凡花点钱都想一分钱掰成2分钱用;
(3)信息安全人员和领导对于“资源”一词的认知不一致。在我以前的文章中提到,信息安全人员往往把“资源”等同于“人、钱”,但实际上资源还包括“物、政策,内部支持者、供应商&合作商资源以及管理层在信息安全事务上投入的时间精力”;
(4)信息安全人员自身追求职业发展和企业经营需要之间的落差。作为一个摸爬滚打了十几年的业内人士,我深刻理解一个专职人员希望年年做事、做新鲜事情的感受,于是不断地发现和解决新风险、期望做新项目、希望扩大团队,但是企业经营需要的只是把风险控制在可接受程度、而不是彻底消灭,这时往往就会产生落差;
3、人员流动大、留人难。
如果是大公司、小团队,有一个较好的事业平台或薪资待遇支撑,那可能这个问题还不够突出。如果是小公司、小团队,本身的平台和事业空间有限,薪资待遇很大可能也就中等水平,做几年估计就差不多了,想留住人非常困难。
4、自己能力不够,或者面临挑战多、漏洞多、问题复杂。
基于问题3,小规模团队大概率就会遇到人员能力不足或者人数不够,“事多人少钱不够”;或者由于信息安全工作在内部的职责、定位、协作关系不清晰,手里也缺乏足够的资源使得话语权不够,看上去就会挑战多、问题复杂。
大概率的情况下,一个公司设立专职信息安全人员之前,其实信息安全并非从0起步,多少还是推行过一些信息安全要求、部署了一些IT工具,但一定在执行中遇到这样那样的问题。那么,设立专职人员之后,如何整合、优化这些信息安全要求和工具,如何堵住漏洞、控制风险,也使得问题更加复杂。
问题分析完了,那么如何解决这些问题?谈谈我的思路。
1、挑个好的团队带头人。
不管是1个人的团队,还是2-3个人的团队,事以人成,这个带头人极其重要,也是开展工作的最重要一步。兵熊熊一个,将熊熊一窝的道理大家都懂。这个带头人必须(1)热爱信息安全,承压能力强或者热爱接受挑战;(2)具备信息安全专业领域资深经验;(3)既能向上沟通,也能向下管理;有全局视野;(4)具备动手能力,毕竟小团队工作的时候,不能只动口、不动手。
对于这个带头人,首先是找人,其次是留人。这个就得看老板的功夫了,当然说到底无非“事业留人、感情留人、待遇留人几招。
2、做个规划,明确2-3年内重点解决的问题、架构、路线图。
这是我解决问题的一贯套路,先从全局着眼、把整体布局做好。规划中要明确信息安全工作的价值、定位、目标,和2-3年内需要重点解决的问题(风险)、信息安全架构和路线图。尤其是小规模信息安全团队的工作,可能和IT团队就整个IT基础设施的架构达成一致就非常非常重要。推荐采用EA的方法论去分析和搭建。
这当中尤其需要注意和IT部门、人力资源、行政部门、法律合规部门达成目标、分工合作机制的一致,IT部门与IT基础设施的建设和运营相关,人力资源和员工培训、奖惩相关,行政部门和物理安全管控相关,法律合规部门提供法律手段和专业判断的支撑。必要的话,可以采用联席会议(温和的沟通机制)、绩效考核(强硬的保障机制)等手段保证目标一致。
如果领导的想法特别多,但是又不太愿意(或不能)投入更多的资源,其实这时蛮考验团队负责人的沟通能力。常规的做法,就是把信息安全风险仔细做个风险评估,可以自己做,也可以请外部咨询公司或安全公司做,然后跟领导一起把最重要的风险挑出来、定下来。也可以借用第4步中提到的“事件驱动”的方法,把风险和危害揭示出来,进而驱动领导把风险识别、分析、排序出来。
3、80%投入解决“点”的问题,站稳脚跟。
虽然大家都说新官上任三把火,但是感觉不适用于信息安全小团队的运作。我们的第一件事情是站稳脚跟。如何站稳?就是首要解决管理层关注的重点问题、紧迫问题,比如科技创新型企业老板关注的核心技术资料的泄漏问题,比如互联网金融企业中存在的客户数据保护问题,比如金融行业中普遍存在的外包人员风险问题。用1-2年时间(当然,这个时间要和老板沟通)、投入80%的资源把问题解决掉,不贪大求全、让老板放心,我称之为“解决核心问题”(有人称之为“止血”,我觉得更形象)。做到这个样子,才有立足之地、才能未来横向拓展。这当中有几个注意点:
(1)总体上遵循IT架构。这里主要说的是IT基础架构,这样可以保证安全控制措施的协调性、有效性;但是各个部分的推进可以根据实际情况、尤其是IT部门自身的业务规划来调整。比如,架构上确定要上终端接入控制措施,但根据IT的部署,对终端的改进措施希望在明年上,那经过沟通、只要符合整体架构,可以做计划调整。
(2)与核心干系人保持密切沟通,获得管理层和业务部门的支持。通常来说,这个阶段的信息安全核心问题往往是跟核心业务相关的,如果不相关,老板也不会这么重视嘛!所以,与这个问题的核心干系人保持密切沟通、汇报进展,不但可以展现成绩、暴露问题、推动问题的解决,还可以持续对管理层和业务部门主管进行意识教育。要知道,他们真正愿意倾听信息安全工作的机会并不多,要抓住每一个机会对他们进行教育。同时,与核心干系人保持良好的关系,也为后续的信息安全工作开展找到了更加有力的支持者,而这也是我所说的“资源”之一!
当然,强烈建议在花钱方面要谨慎、科学、注重效果。信息安全人员应该以帮助公司解决问题、控制风险为己任,不应该以花了多少钱为成功与否的评判标准。
(3)以制度(长期)+通知(短期)形式配合,先把关键的立法做好。为什么这么说呢?因为信息安全工作执行过程中,必然面临质疑和挑战,那就必须把执行工作所需的制度、立法工作先做到位。基于ISO27001或者其他标准体系的文件制度太多,一时半会用不上、也就没必要做,先把关键的制度完成就好,比如员工入职应接受信息安全培训后才能转正、离职必须接受信息安全审计,比如把信息安全奖惩规定定好、把奖惩权抓在手里,就有调动内部资源的一个抓手。其他临时性要求以内部通知的形式发布,两相配合。制度完备了,业务部门也沟通过了,老板也审批、决策了,执行起来大家也就没那么挑战。
(4)做到PDCA。重点问题基本解决之后,要通过运营、检查、审计等综合措施运行一个阶段(一般是半年到一年),并定期汇报,以实现PDCA的循环。这样既可以保证问题真正得到解决,又可以让老板、业务主管等核心干系人放心,他们会觉得你靠谱,后续对信息安全工作的支持力度也会更好。千万不要一股脑做项目、做建设,不管运营、不看效果,这是最最忌讳的事儿。
4、20%投入到审计,以“面”上问题的解决。
刚才提到了核心的“点”的问题,下面谈谈如何解决“面”上的问题。一般来说,除了核心问题之外,多少还是有其他一些信息安全风险需要面对和控制。资源投入还是要关注,但不建议超过20%;从解决方式来看,我认为这些问题用“事件驱动型”方式来解决,效果和效率更好。
以我所见,即便是对信息安全很重视的领导,也通常是优先解决能看到的风险、已经发生了安全事件的漏洞,毕竟资源都是有限的。因此,通过持续的审计找出问题,通过响应和处理安全事件,以这些“事件”来驱动一个一个小问题的解决。逐步积累之后,就会连点成面,有点类似“农村包围城市”、“积小胜为大胜”的味道;同时,通过一个一个事件的处理和改进,不断地对员工、主管进行安全意识的教育,刷安全的存在感,也是非常有效果的。再反过来想,如果信息安全工作的上级领导要去驱动同级的其他部门领导,他是不是也需要“事件”这个武器?你给领导提供资源,领导才能给你支持嘛。
当然,这些审计点的选择,要结合当期管理层的关注、结合信息安全团队对公司业务的理解,保持至少每季度一次的频度,持续地抓典型案例、采取奖惩和改进措施,达成以上目的。比如可以策划模拟真实的钓鱼邮件等社会工程学的攻击,看看到底有多少人中招,然后把数据摆在领导面前,让领导真实感受到触目惊心的结果;比如可以集中资源抓2个月的上网数据分析,把互联网出口造成的信息泄露结果呈现在管理层面前。
不建议一开始就搞举报漏洞的奖励,因为信息安全建设的初期可能漏洞太多,根本来不及补,员工、主管也很容易漏洞疲劳,反而对信息安全工作的形象有负面影响;但是可以开展举报违规违法行为的奖励。等大的漏洞补的差不多了,再搞举报漏洞的奖励,事半功倍,既补漏洞、改善信息安全的形象,又提升员工意识。
5、逐步组建和建设团队。
组建团队不能太着急,要持续关注、找合适的人。小团队的人,我认为要招喜欢信息安全的、学习能力强的,经验不一定要太多,这样相对稳定、有忠诚度,成本也不高。招聘次序上来说建议先招审计,做策略、技术、意识宣传的按需补充,最后招运营人员。
小团队就不要招渗透测试的人了,还是用外部专业力量好,虽然看着价格高,但是综合算起来成本并不高。如果遇到疑难杂症需要解决,找咨询公司或者大牛咨询一下,其实基本就解决了,不必招大牛。
团队负责人平时要特别注重团队建设,总得在事业平台、团队氛围、薪资待遇的某个方面让员工有成长和收获吧?平时还要注意学习业务知识,让团队成员逐步树立“信息安全要为业务服务”的意识。
6、尽量用标准化、商业化的技术产品。
在信息安全建设过程中,尽量采用标准化、商业化的技术和产品,少定制化、少自己开发,少用开源工具。大量经验表明,把工具用足用好最重要,不要想着买最好的工具。对于小团队来说,实用是第一位的,应尽量选择架构简单、学习成本低的工具,那种需要投人进去琢磨、研究的工具平台看着美好,但不适用小团队。开源工具虽然免费,但是需要时间琢磨研究、非标准化的做法也会带来架构上的风险漏洞,搞不好还会引入供应链风险。
不要一开始搭太多工具平台,成本高、项目多,效果还不一定好。我建议在团队初创期间,人均负责运营的工具平台不超过2个。但同时,我认为也要敢于打破旧的束缚,对于以前部署的工具、平台,在保证投资收益比的前提下,该废止就要废止,能利旧还是要利旧,千万不要在这方面有束缚。
7、中后期的团队管理。
等到团队成员达到4个人左右的规模,就可以逐步形成这样的分工:团队负责人主管向上沟通协调、资源协调和团队管理,A负责项目管理、制度文件管理、意识教育,B负责IT基础架构的建设、项目评审,C负责审计、事件响应和调查,运营的工作可以根据实际情况让每个人都承担一部分。ABC的工作还要注意形成互相备份,这样不至于在人员流失的时候耽误工作。同时想办法把琐碎、低价值的工作交给公司内部的低价值岗位(比如文员、行政前台),或者尝试利用一些工具提升这些琐碎工作的处理效率、降低对团队人员的时间精力占比。
有些公司会考虑在某些业务部门也设立兼职的信息安全管理员,辅助做一些部门内部、更靠近业务的安全工作,比如培训、检查、督促改进等。这个工作建议在专职安全团队大于等于3个人的时候做,因为对这些兼职人员的管理也是需要投入资源的,而且需要一定的管理手段和技术手段支撑,不建议在一开始就铺开摊子做这件事情。
时间久了之后,团队成员不免面临流失的风险,因此仍要保持对可用人才的关注,可通过校招等途径适当补充。随着团队人员价值的逐步实现,在安全专业平台上的发展空间已经不大,可以考虑这几种方式(1)公司内部轮岗,安全的人去干运维,运维的人来干安全,横向扩展团队成员的技能和视野;(2)努力提升团队成员的薪酬待遇水平,以更好地保留人员。经验数据表明,安全人员的薪酬上限和公司的人均产出是基本相当的,这时就需要团队负责人多想想办法了;(3)对于团队负责人来说,去从事和安全相关的工作内容(比如合规,比如业务风控),可能也是一个选择。
8、逐步地过渡到关注和解决业务安全问题,找到更大的价值空间。
当信息安全团队的短期目标实现,就要考虑下一步发展的问题。从情理上来说,都希望扩大团队、争取更多的资源、实现更大的价值,但我还是建议团队负责人能够以务实的态度看待这件事情,毕竟这个必须建立在企业发展和盈利的基础上,不要盲目追求扩大团队和资源。
如果希望找到更大的价值空间,那必须要结合企业经营战略,在与安全密切相关的方向上整合资源和能力,着力帮助公司业务的提升,比如合规、风控、产品安全。但其核心思想依然是我之前提到的,“保企业增长,保企业核心竞争力”。如果找不到,该功成身退也就退吧,把机会留给其他人。
truebasic,当过开发、项目经理、创业者、大学老师,“误入”信息安全行业十多年,科技创新型企业甲方经历为主,金融行业新兵。希望成熟的甲方共同带动整个安全市场的健康成长。期望安全同行多交流、共成长、互帮扶。
科技强大的根本在于企业创新,创新过程中需要确保信息安全工作。专刊汇集了安全工作者的经验、教训、心得、体会、思路、方法、架构、方案,希望搭建一个创新型企业信息安全交流的平台,推动行业的信息安全工作交流、共享、提升。
![科技企业的小规模安全团队怎么开展工作|科技创新型企业专刊·安全村]( "科技企业的小规模安全团队怎么开展工作|科技创新型企业专刊·安全村")
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:[email protected]
原文始发于微信公众号(SecUN安全村):科技企业的小规模安全团队怎么开展工作|科技创新型企业专刊·安全村
评论