Hi,分享一个今天去客户现场做桌面演练的工作故事(shigu)。
今天应某单位的要求,我和同事去做一场模拟大规模数据泄露安全事件的桌面演练。
桌面演练,大家都知道,每个公司都是有自己的模板的,我们按照公司模板写好剧本,准备大家一起读剧本,拍拍照,写个总结报告,完事。
这样的桌面演练做多了,我已经有点“麻木”了,反正就是既定流程做啰,客户没要求创新,我们也不用自己加戏。整个演练脚本是我同事写的,我客串主持。
到了现场,我感觉自己还是要打起精神来,认真读一下剧本,把这个工作做做好,尊重并珍惜每一个工作“舞台”,发挥自己的价值。
于是,我字正腔圆的对我的部分进行“朗诵”。不认真还好,一认真反而感觉自己紧张了起来,说话也有点不够流畅和轻松随意。
“下面我们进行第一个环节,请XXX宣布演练开始。” 我说。
轮到甲方工作小组副组长的台词了,他发话了:“我们不用按照这个剧本一个个读了,读剧本也没什么意思。我们重点是要看看这个步骤有没有什么问题,大家按照这种方法整改有没有困难。”
听到这里,我首先是感受到被否定,然后又有点担心他们讨论没有根据,不知道他会怎么进行这个桌面演练。
接着,他按照剧本继续说了下去,嗯,貌似还是根据剧本进行的,只是说去掉了诸如“收到!”还有一些非重点的台词。然后他也问了一些简单的问题。相当于是把演练后的讨论提到演练中来进行了。然后也不需要主持,就让大家按照流程一个个往下说。
桌面演练进行到一半,甲方工作小组组长进来了,她简单的浏览了一下剧本,轮到她的台词时,她没有说台词,而是以一种权威的语气和气势发挥了起来,主要是强调了特权账号人员离职后的注销、应急流程固化成制度、如何控制其他安全问题的风险、各方责任共担、追责的问题。
于是,甲方工作小组副组长就转头给我们说:“你们把追责的加进去吧。”
我想说:“应急演练主要是提高应急响应能力、检验和完善应急预案,不强调在这个过程中如何追责。”但我没说话,默认了这个要求。
接着,甲方就一些系统功能的安全加固问题和开发单位做了讨论,比如数据下载要做二次验证、限制外网下载数据等等。
讨论了一下,甲方工作小组副组长宣布演练结束。
我们这边把该签字的材料收集了一圈,我们也撤了。
回去的路上,我回味了一下:“合着没俺啥事儿啊?我的主持被副组长接管了,我也没啥台词了。卯足劲儿想好好“主持”一下,结果成了一个木偶摆件,还是无人关注的摆件。” 而且,甲方还对我的主持小小否定了一下,有点像一场我心目中的工作shigu。
于是,我开始有挫败感了,事情没有按照我的预期发展,我失去把控感,也失去了发挥价值的舞台,主要今天自己也没啥获得感,挫败感倒是挺浓。
凭着自己惯有的思维直觉分析了原因,估计是自己这个主持风格被甲方认为过于死板而否定,于是又emoji起来,对着老天长叹一口气:“为啥我老是这么死板啊?难道是因为我不够专业,才不够灵活吗?”
图片源自网络
打住...........................我这样复盘好像有点不理性。咋滴啥剧本都往自己没能力方向写呢?
于是,我换了一个方向复盘。
回想了我今天这个工作故事,主要有我自己对演练流程的麻木、甲方的即兴干预、以及我对演练目的的一些误解:
-
演练准备与现实需求的差距:我们公司的桌面演练有固定的模板和流程,一开始我也觉得这种演练过于简单,好像没啥用处,但是因为做了几次都这样,一些甲方也没有提出啥反对意见,我就有点把这个工作当形式来走了。
反正就是完成任务呗,再说这个工作又不是我负责,脚本都是同事写的,这可能导致演练变得形式化,缺乏针对性和实用性。而这次甲方的会上干预实际上反映了他们对演练有更实际的需求和期望。
-
演练的灵活性:甲方工作小组副组长提出不完全按照剧本读,而是更关注步骤的问题和整改困难,这实际上是一种更贴近实际的演练方式。这种灵活性可以提高演练的效果,使其更有意义。但我当时主要的感受是我被否定了,没有站在局外人的角度想到他这个方式其实更好,我可以学习并用到下一次的演练中。
-
紧张与表现:我在认真读剧本时感到紧张,是因为我太在意自己的表现,而没有将重点放在演练的目的上。究其原因,是因为我最近将个人价值与工作表现联系在一起了,认为表现好会提升自我价值,从而带来一些心理上的自信和满足感。但这个想法会带来关注点的失焦问题,也就是我会过于关注工作的“坐姿”是否挺拔,而忽略了工作本身。然后我把工作价值也拔得太高了。
-
甲方的主导:甲方工作小组副组长和组长的介入和对剧本的即兴发挥,显示了他们在演练中的主导地位。我感到自己的角色被边缘化,但这是客户参与和投入的表现。我应该感觉高兴啊??怎么反而不开心??角色被边缘化,不一定是我能力不行啊,本来这个就是他们的主场啊!退一步说,就算是我能力不行,那就不行呗,慢慢改进呗,何必emoji。
-
追责的讨论:甲方提出将追责加入演练,这与演练的主要目的有所偏离。演练应该更侧重于提高应急响应能力和完善预案,而不是追责。在这种情况下,我可以选择在适当的时候提出自己的观点,以确保演练的目标不被混淆。但我没有做任何的委婉的观点提出,是因为我在准备这个应急演练投入就不够,也不想更广泛的参与到讨论中,伤脑细胞。
毕竟,我还是想完成手里那堆比较繁重的文档工作"交差"为先。没想到文档工作的本质目的不是为了我司销售回款,而是真正提升网络安全能力。
-
角色的转变:我的角色从主持人转变为可有可无的参与者,让我感到有些失落。但是,这也是一个机会,可以让我了解客户的实际需求,在下一次的工作中提供更有针对性的建议。
总的来说,我觉得虽然是桌面演练,但也应该是一个灵活、互动和以目标为导向的过程。作为演练的组织者和参与者,我们需要不断适应和调整,以确保演练能够真正提高应急响应能力,并满足客户的实际需求。而不是认为读读剧本就完事儿的流于纸上谈兵的事情。我也不应该认为这个就是那个同事的事情,我其实可以更多的参与一下。
然后,我又思考了一下应急演练桌面演练容易产生的问题有哪些?
应急演练桌面演练本来就有自己的局限性,因为毕竟是读剧本,又不演,也不真正操作。常存在的问题主要有剧本内容太简单、针对性不强,可操作性差,以及演练流于形式等问题。
首先在写剧本时候,我们对甲方的组织架构和流程不清楚,再加上甲方应急预案本身就不完善,日常工作缺乏职责分工,缺乏流程和制度化,所以我们写的东西针对性不强,诸如一些上报启动应急预案这些东西本来没有落地,我们写的东西看上去就有点没啥用。
然后,我们写的一些整改建议,并不一定会被甲方和外包开发运维接受,因为这个整改措施可能成本太高(比如做数据安全风险评估),或者业务部门不愿意接受(比如双因素验证和限制数据下载权限),或者甲方觉得工作繁琐(比如对日志进行溯源,定期更换密码,进行人员安全意识培训)。
有哪些改进措施呢?
加强预案内容的针对性:我觉得我们这次的编制主要是我把任务直接扔给同事做了,没有和他讨论可能出现突发事件的特点、事件影响程度等情况,也没有讨论防控的具体措施。更没有搜索资料或者内部积极与安全技术专家沟通,发挥他们在安全技术等方面的优势,实现应急预案内容的针对性。下次,可以多讨论一下,然后多搜集一些资料,写得更有针对性。
-
强化应急预案的可操作性:应急预案编制完成后,我也没在内部找人对预案进行评审。或者组织有关专家、相关部门对预案进行评审,对评审专家提出的意见及时进行修改完善,切实增强预案的可操作性。在编制演练脚本的时候,也只是简单的和第三方外包团队进行了沟通。
下次,可以多沟通一下,看看他们能做到什么程度,并给予一定的安全措施指导,然后多琢磨,多吸收好的经验,并把脚本内部评审一下。
这样复盘完,心情平静了,感觉也有了一些长进。
果然,换了一个方向复盘,风格一下子就变了,emoji从哭唧唧
变成了斗战星矢
最后,发现写的内容和题目没啥关系。
那我点一下题,工作中“不能要脸”,风格被别人否定了,否定就是啰,别觉得自己面子很重要。
发现当中蕴藏的机会,学习并下次改进。难道不更好吗?
THE END
原文始发于微信公众号(透明魔方):如何“不要脸”的做好应急演练桌面演练
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论