【分享题目】
让内卷更卷——
内卷时代科技内部的1-2道防线工作分享
【分享人简介】
石头,银行信息安全与科技风险普通工作老人。(我只能说这么多……
【分享形式】
群内分享,图文穿插形式。
嘉宾将会在「金融业企业安全建设实践」和「企业安全建设实践」2个微信群,就“内卷时代科技内部的1-2道防线工作分享”进行个人经验的分享。
群秘会同步转播分享内容至企业安全建设实践3群、华南分会群以及2个读者群。
【分享内容梗概】
目录:
1. 分享适用范围及局限
2. 1.5道防线的意义及作用
3. 如何开展工作
4. 1.5道内卷的价值输出
5. 经验分享
【分享时间】
6月24日晚上7点30分准时开始,总时长60分钟,包含20分钟的问答环节。
-------------------------------------------------------------
以下为实录:
各位大佬、专家,在下厚颜,在聂总推举下来做一次分享。跟群里这么多大佬相比,我这最多算是叨唠几句,叨唠完了,各位要有啥启发的算是意外收获,要是什么都没有,就骂两句,发泄一下情绪就算是收获。之前群秘联系分享时,我列了好几个题目,最后,我定了这个估计没有多少人会分享的毫无技术含量的题目。下面就献丑了。
科技风险管控的1-2道防线,是指介于1道和2道之间的一种机制,以下就叫1.5道,简单来说,1.5道就是在科技部门内部做2道、3道防线一些事情,本质上是用“问题”角度来推动科技发展。
1.这个分享的适用范围及局限
首先,机构相对比较庞大,才会相对出现1.5道这种机制,机构相对比较小的,一般不会这么明显。另外,不同单位管理思路不一样,1.5具体怎么干,干什么肯定是有差异的,而且出现的方式也没有固化形态,可能是科技内部一个独立的小组、也可能是一个独立的处室级别单位,或者在一些偏管理性质团队兼职相关职责。
所以,这个分享主要适合于以“问题”角度推进风险管控的角色,也不仅仅是直接作为1.5的人员。
2. 1.5道防线的意义及作用?
先简单扯几句,在风险管理上,银行基本是标配“三道防线”(业务主控+风险监管+审计稽查),设置多防线是用相对独立、制衡、加码的职责形式来解决风险防控问题。
“业务主控”指一道防线,包括科技、各个业务部门都是一道防线,主要负责自身管辖范围内的风险自主管控,我简称业务“主控”,比业务“自控”看起来更有主动性,另外如果出了事,也是自主承担,二、三道是基本不会担当的。
“风险监管”是二道防线,现在银行基本都有风险管理部门,多数叫风险管理部,有些可能在合规部门承担部分职责。二道防线主体职责是对一道防线风险管控工作的监督,典型工作包括风险评估、风险监测、风险报告。多数是监督性,个别可能能力强的带少量操作性工作。按我了解的各同业机构情况,二道防线的管控力度是比较弱的,多数是偏建议性质。现在很多互联网企业也有风控部门,以做业务风控为主,应该说还是属于一道防线的范畴。
“审计稽查”是三道防线,是独立的审查单位,按照公司治理结构,审计部门的汇报路线是直达董事会、监事会。现在很多情况下,审计发现的问题可能会跟问责等一系列处置有关,在单位内部来说力度是很大的。
回到正题上,随着这几年很多单位科技人力的迅速扩张,最近这3年,特别是股份制银行科技人力增长是比较快的,翻1番、翻2番以上的不少。但是,不管是行业内还是单个银行内,业务的增效曲线与人力增长曲线的差距越来越小,甚至重合或被反超的时候,再叠加监管等加持的内卷力度,配合二道防线在科技风控的弱势等因素,“内卷”就越发明显。于是1.5道防线在很多地方出现,科技部门内部开始干二道、三道的部分工作,其实有些大行早就这样干了。当然1.5不是机构独立性的,从公司治理结构上不会产生取代2、3道的问题。
“内卷”的1.5道核心是“发现问题、监督处置”,做到科技的风险防控,至于用什么形式,就不一定了,评估、检查、测试等都一样。内卷时代,减少犯错也是增长。不管怎样,不足和问题总是客观存在的,通过1.5的督促性作用,某种程度上可以成为组织内部的一种自愈性发展补充机制。
拿群里大佬多数专长的安全来说,比如对安全部门,自身职责是建防御、监测、响应的安全体系,1.5对安全部门来说,可以给安全部门纠错纠偏:安全建设有啥问题,为啥这个角落不部署IDS?渗透测试做得够不够全不全,为啥哪个需要key登录的系统你们从来没测过?为啥监测发现的问题,没有实地去核实的工作机制?报警以外的没有过问过,都咋办呢?先不论这些问题的缘由,鞭子总是得有的。
1.5的作用:
(1)站在科技内部以独立视角及时发现问题隐患,并督促处置
(2)尽可能减少外部检查发现问题
1.5的价值:
(1)1.5是绝对的一把手工程,要帮一把手管住让一把手提心吊胆的问题
(2)挖掘问题要体现一把手管理思路
没有一把手的支持,1.5的团队就养老吧。
1.5难以回避的
(1)“幸存者偏差”永远存在,问题和事件永远会发生
(2)一把手有太多渠道能知道各种问题
(3)没有人愿意别人来指指点点,人情世故(这方面不作讨论)
1.5的衡量指标
(1)发现问题数量、处置率
(2)与外部检查比较数量,问题数量比例、提前发现率、重复发现率、额外发现率
(3)成效指标:事件或处罚减少量等
(4)发展指标:自动化率、规范化率
(5)外部衡量指标:评级或其他方面的得分
3.如何开展工作
“一把手、温和独立、客观”,我觉得是1.5的干事核心。
(1)“一把手”是指紧贴并积极响应领导关注点,并且在一把手支持下,获得更多的资源,包括绩效考核、甚至问责等。如果涉及绩效考核,要考虑用正向激励方式,把这种良性循环建起来。
(2)“温和独立”,是指不要把自己完全作为1.5,不是风险管理部、也不是审计部,所以工作方式需要适当温和,并保持独立性,需要考虑实际情况,协作而不是指手画脚。
(3)“客观”,是指“问题”要客观,不能是想当然的,问题要充分。
1.5的工作模式:
(1)英雄主义,以独立的身份去开展检查、测试等。
(2)平台合作,以建平台、提供工具的模式,组织大家一起开展。比如建一个测试平台、提供扫描工具,由对应的团队去应用。
(3)管理体制,以建组织、建机制体系、安排任务、监督执行为主,最终由一道去落地。
1.5一般是混合这几种模式工作,不是1.5的,这几种模式一般分布在不同职责的团队。
另外就是常规思维的检查库建设,主要是知识积累、知识转移及操作规范。本身是鸡与蛋的问题。
常规思维,搞检查的都要做检查库(风险库之类名词)建设,而且对“外行”来说一般看得见。当然本身还是有价值的,主要是知识积累、知识转移及操作规范。但从某种意义上来说,这本身是鸡与蛋的问题,如果问题和经验全部预设化了,那应该是没有问题的。
现在我们这个大概有800多项,需要花很多精力维护。
检查自动化手段是必须的,工具化、平台化。比如漏洞类、配置检查类、用户检查类等,相对容易实现,还有一些是交叉检查。上面那个800多项,大概有60%基本是系统化的。
问题挖掘的角度:
(1) 降维打击,站在高一层级维度来看问题。比如用成熟度来看,如果还是在工具建设阶段,那机制方面,完整性方面、自动化方面等肯定存在很多问题。还在搭IDS的,场景分析肯定不足;还在做系统日志分析的,肯定数据库日志分析基本没有;还没有团队的,那分析、响应机制肯定不行;
(2) 切片细节、PDCA环等。比如变更投产流程管控,把全过程切片,每个环节的控制点,流程工具上硬控制如何、文件传输全链条完整性、审批流程和数据流能不能匹配、工具流防不防篡改、变更能不能控制时间和终端、如何审查。
(3) 盯住新的、还没有的。比如等保2.0的新要求、个人数据规范等新出的要求,肯定短期都有问题。
(4) 我知道难,所以肯定难。比如渗透测试测得够不够,公司网银要测就得开公司户、银企直连要测得有专线(不然得拉控制)等等。
(5) 某些监管看重的问题不是1.5的重点,特别是跨业务部门的难点,比如外包管理、业务部门的系统管控等。
1.5道内卷的价值输出
有哪些价值:本质上所做的事都是后台的,不是跟开发、安全一样,属于他们的后面。所以,价值输出除了自身“发现及解决问题,弥补存在的不足” 以外,尽可能需要向前靠。比如:
(1)推动业务系统的功能进一步完善,用系统化的处置导向去解决部分问题,如敏感数据的落地问题。
(2)跟一线内卷。如安全架构、设计等,不仅仅是提建议,而是操作性方案,把握处置的管控。
(3)豁出去拼,跟审计和XX领导。这个注意预期,要跟风险损失赔偿金一样,保留托底。
---------------------------------------------------
Q6:1.5道防线本质上属于风控管理机制的前移,和安全左移思路是类似的,这是风控管理的必然趋势,那顺着这个趋势,请教石头老师,这种1.5道防线会不会继续前移到各个团队?毕竟团队自身才更了解他自身的业务和问题。或者有无比较好的机制促使各团队主动发现问题?
A:说的非常对。深度内卷就会进一步前移。“促使各团队主动发现问题”,多数就是绩效、惩罚,以及平台支持性。我们目前有正向激励措施,就是主要报问题的,会加分。这个得看团队自身的衡量,到底是要绩效还是要面子。
---------------------------------------------------
Q7:个人理解 业务,科技,安全每个条线都可以有一二三道防线。这个1.5道应该是和单位权力制衡需要,组织架构设置密切相关,像一部两中心,对于数据中心本身里面来说的安全团队就是1.5,2道风险,3道审计很难深入到科技工作里面。
A:是的,1.5可以是一个虚的,集合在很多不同职责团队里面,也可以是实的,独立的。机构越大,实的越多,同时虚的也会越多,有了1.5,也会有1.25,1.125。所以是内卷时代。
---------------------------------------------------
Q8:看来大家都很厌恶这种“你自己查了风险报给我”的二道。
A:以我个人理解,如果真有1.5的,应该不要去做成2道的样子,本身是科技内部的,一把手通常不会喜欢单纯的2道贩子。比如我们这边有一些问题,直接奔着业务系统去了,跟着开发直接和业务打交道。
---------------------------------------------------
Q9:1道不足够了解风险,2道不足够了解业务,所以1.5道是不是两方面都得了解才能做好。
A:这是必然的,而且要做的事还得比别人经验丰富一点,不然怎么能提出问题来。
---------------------------------------------------
Q10:石头老师,我看您提到正向激励措施,能具体说下除了自己主动报告问题能获取积分外,还有哪些措施吗?另外如何引导被检查单位正面看主动报告问题,而不是宁愿不要积分也不报告问题?
A:这方面不要完全依赖,没人愿意自暴的,如果是考核有几个指标可以考虑,比如外部问题提前自查数量、比例,配合处罚,实地检查。
---------------------------------------------------
Q11:个人觉得“一把手”和“温和独立”这两点很多时候是矛盾的,这个度很难把控,甚至本来就顾此失彼的。既然要向大领导汇报问题,那势必会让被写问题的领导不爽,除了把发现问题先“处理”下,还有其他比较好的手段么?
A:所以要借力,通过一把手把这个机制传递落下去。初期肯定不爽,需要更温和的方法,有2、3次汇报,大家都习惯了。要看管理模式和文化,有的可能需要前期直接强硬,后期温和,有的可能后面逐步强化才行。
---------------------------------------------------
Q12:举个例子,以前没CMDB靠excel维护,提建议建CMDB,后建CMDB已2年,很多信息不全、资产不全,提出建议完善,对方领导直接说以前没有CMDB还没问题,现在有了你又挑各种毛病,是我建错了咯。这种1.5道防线还有必要做下去么,还怎么做下去?这降维降不下去啊
A:你说这个我觉得不会存在。因为没有CMDB的时候,会有更多更严重的问题,可能连基本的环境都管控不住,不管是测试还是生产,这直接可能产生生产故障。每个阶段肯定遇到的问题不一样。
---------------------------------------------------
Q13:1.5道防线检查你们会写正式报告或发文或提交某某会议审议么?
A:我个人不太注重报告形式,除了文档性基本工作。目前我处理的基本都是PPT。因为1.5不是治理架构中的环节,审议性形式不重要。重点是和相关责任人直接和一把手汇报。
拓展阅读:金融企业IT内控合规管理建设与实践
END.
关注本公众号,实践出真知。
关注本公众号,实践出真知。
本文始发于微信公众号(君哥的体历):实录 | 石头:让内卷更卷——内卷时代科技内部的1-2道防线工作分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论