小规模团队如何开展信息安全工作?(1)科技创新型企业

想写这个话题很久了。自己以前有很长时间的大团队工作经验,看各位大佬探讨交流大公司的信息安全架构和运作方法,总是有很多共鸣;这2年在一家高科技企业负责信息安全,团队最多时4人、现在就2个人,于是就一直思考小团队应该如何开展信息安全工作,应该如何基于大团队运作的方式做优化和剪裁。同时也看到,能够构建信息安全大团队的中国企业应该是少数,大?#31185;?#19994;还是在小团队层面上运作。于是,总结提炼、共享交流小团队的信息安全工作经验成为一?#30452;?#28982;。业内既然鲜有提及,咱?#25237;?#32966;抛砖引玉。

在创作过?#35752;校?#32463;好友唐勤、姚飞、杜宏保、王军军的指正,发现不同行业的小规模团队的成因、工作思路和关注点还是有显著差别的。因此本篇侧重科技创新型企业的小规模团队,下一篇写金融、互联网金融和游戏行业。

一、小规模信息安全团队的特征

1、专职信息安全总人数少于等于3人,或占企业人员比例小于千?#31181;?#20108;。(经验数据)据了解,甚至会存在1个人的 “信息安全团队”。

2、企业年信息安全投入(不含人力投入)少于200万,或占企业年营业额比例少于千?#31181;?#19968;。(经验数据)

3、通常没有独立的实体部门或行政编制。大概率是IT部门的几个人,或者是某个靠近管理层的管理部门的一部分。

4、团队成员普遍身兼多职,或多个岗位的工作内容。有可能是一人兼多个信息安全岗位的工作内容,有可能?#22815;?#20860;任合规、风控、运维等岗位。

二、小规模信息安全团队常见的困境

1、有短期、明确需要解决的信息安全问题,但缺乏长远的信息安全路线图。

既然有专职信息安全人?#20445;?#35828;明老板或者主管已经意识到了信息安全风险的重要性,或者曾经出过事,所以通常短期之内有明确需要解决的信息安全问题。但是由于工作职责(组织架构相关)、资源、能力?#20219;?#39064;,对于信息安全人?#20445;?#25110;团队)未?#20174;?#35813;干?#35009;础?#35299;决?#35009;?#38382;题,要么不清晰、要么缺少一个路线图,导致信息安全工作总体上偏被动、偏事件驱动型或合规驱动型。

2、资源少。

这是最典型的特征之一,“事多人少钱不够”。?#31185;?#21407;因,可能

(1)信息安全在企业业务中的重要性?#20849;?#22815;突出,伤的?#20849;?#22815;痛,领导的专业能力不足,导致领?#26082;现?#19981;到位、投入不够;

(2)企业经营和盈利能力不强,虽然领导重视、但是手里能花的钱都得精打细算,但?#19981;?#28857;钱都想一分钱掰成2分钱用;

(3)信息安全人员和领导对于“资源”一词的?#29616;?#19981;一致。在我以前的文章中提到,信息安全人员往往把“资源”等同于“人、钱?#20445;?#20294;实际上资源还包括“物、政策,内部支?#32456;摺?#20379;应商&合作商资源以及管理层在信息安全事务上投入的时间精力?#20445;?/p>

(4)信息安全人员自身追求职业发展和企业经营需要之间的落差。作为一个摸爬滚打了十几年的业内人士,我深刻理解一个专职人员希望年年做事、做新鲜事情的感受,于是不?#31995;?#21457;现和解决新风险、期望做新项目、希望扩大团队,但是企业经营需要的只?#21069;?#39118;险控制在可接受程度、而不是彻底消灭,这时往往就会产生落差;

3、人员流动大、留人难。

如果是大公司、小团队,有一个较好的事业平台或薪资待遇支撑,那可能这个问题?#20849;?#22815;突出。如果是小公司、小团队,本身的平台和事业空间有限,薪资待遇很大可能也就中?#20154;?#24179;,做几年估计就差不多了,想留住人非常困难。

4、自己能力不够,或者面临挑战多、漏洞多、问题复杂。

基于问题3,小规模团队大概率就会遇到人员能力不足或者人数不够,“事多人少钱不够?#20445;?#25110;者由于信息安全工作在内部的职责、定位、协作关系不清晰,手里也缺乏足够的资源使得话语权不够,看上去就会挑战多、问题复杂。

大概率的情况下,一个公司设立专职信息安全人员之前,其实信息安全并非从0起步,多少还是推行过一些信息安全要求、部署了一些工具,但一定在执行中遇到这样那样的问题。那么,设立专职人员之后,如何整合、优化这些信息安全要求和工具,如何堵住漏洞、控制风险,也使得问题更加复杂。

三、小规模信息安全团队的工作思路

问题分析完了,那么如何解决这些问题?#21051;?#35848;?#19994;?#24605;路。

1、挑个好的团队带头人。

?#36824;?#26159;1个人的团队,还是2-3个人的团队,事以人成,这个带头人极其重要,也是开展工作的最重要一步。兵熊熊一个,将熊熊一窝的道理大家都懂。这个带头人必须(1)热爱信息安全,承压能力强或者热爱接受挑战;(2)具备信息安全专业领域资深经验;(3)既能向上沟通,也能向下管理;有全局视野;(4)具备动手能力,毕竟小团队工作的时候,不能只动口、不动手。

2、做个规划,明确2-3年内重点解决的问题、架构、路线图。

如我以前的文章所述,这是我解决问题的一贯套路,先从全局着眼、把整体布局做好。规划中要明确信息安全工作的价值、定位、目标,和2-3年内需要重点解决的问题(风险)、信息安全架构和路线图。尤其是小规模信息安全团队的工作,可能和IT团队就整个IT基础设施的架构达成一致就非常非常重要。推荐采用EA的方法论去分析和搭建。

这当中尤其需要注意和IT部门、人力资源、行政部门达成目标、分工合作机制的一致,IT部门与IT基础设施的建设和运营相关,人力资源和员工培训、奖惩相关,行政部门和物理安全管控相关。必要的话,可以采用联席会议(温和的沟通机制)、绩效考核(强硬的保障机制)等手段保证目标一致。

如果领导的想法特别多,但是又不太愿意(或不能)投入更多的资源,其实这时蛮考验团队负责人的沟通能力。常规的做法,就?#21069;?#20449;息安全风险仔细做个风险评估,可以自己做,也可以请外部咨询公司或安全公司做,然后跟领导一起把最重要的风险挑出来、定下来。也可以借用第4步中提到的“事件驱动”的方法,把风险和危害揭?#22659;?#26469;,进而驱动领?#21450;?#39118;险识别、分析、排序出来。

380%投入解决“点”的问题,站稳脚跟。

虽然大家都说新官上任三把火,但是感觉不?#35270;?#20110;信息安全小团队的运作。我们的第一件事情是站稳脚跟。如何站稳?就是首要解决管理层关注的重点问题、紧?#20219;?#39064;,比如科技创新型企业老板关注的核心技术资料的泄漏问题,比如互联网金融企业?#20889;?#22312;的?#31361;?#25968;据保护问题,比如金融行业中普遍存在的外包人员风险问题。用2-3年时间(当然,这个时间要和老板沟通)、投入80%的资源把问题解决掉,不贪大求全、让老板放?#27169;页?#20043;为“解决核心问题?#20445;?#36825;当中有几个注意点:

1)总体上遵循架构。这里主要说的是IT基础架构,这样可以保证安全控制措施的协调性、有效性;但是各个部分的?#24179;?#21487;以根据实?#26159;?#20917;、尤其是IT部门自身的业务规划来调整。比如,架构上确定要上终端接入控制措施,但根据IT的部署,对终端的改进措施希望在明年上,那经过沟通、只要符合整体架构,可以做计划调整。

2)与核心干系人保持密切沟通,获得管理层和业务部门的支持。通常?#27492;担?#36825;个阶段的信息安全核心问题往往是跟核心业务相关?#27169;?#22914;果不相关,老板也不会这么重视嘛!所以,与这个问题的核心干系人保持密切沟通、汇报进展,不但可以展现成绩、暴露问题、推动问题的解决,还可以?#20013;?#23545;管理层和业务部门主管进行意识教育。要知道,他们真正愿意倾听信息安全工作的机会并不多,要抓住每一个机会?#36816;?#20204;进行教育。同时,与核心干系人保?#33267;己?#30340;关系,也为后续的信息安全工作开展?#19994;?#20102;更加有力的支?#32456;擼?#32780;这也是我所说的“资源”之一!

当然,强烈建议在花钱方面要谨慎、科学、注重效果。信息安全人员应该以帮助公司解决问题、控制风险为己任,不应该以花了多少钱为成功与否的评判标准。

3)以制度(长期)+通知(短期)形式配合,先把关键的立法做好。为?#35009;?#36825;?#27492;的兀?#22240;为信息安全工作执行过?#35752;校?#24517;然面临质疑和挑战,那就必须把执行工作所需的制度、立法工作先做到位。基于ISO27001或者其他标准体系的文件制度太多,一时半会用不上、也就没必要做,先把关键的制度完成就好,比如员工入职应接受信息安全培训后才能转正、离职必须接受信息安全审计,比如把信息安全奖惩规定定好、把奖惩权抓在手里,就有调动内部资源的一个抓手。其他临时性要求以内部通知的形式发布,两相配合。

4)做到PDCA重点问题基本解决之后,要通过运营、检查、审计等综合措施运行一个阶段(一般是半年到一年),并定期汇报,以实现PDCA的循环。这样既可以保证问题真正得到解决,又可以让老板、业务主管等核心干系人放?#27169;?#20182;们会觉得你?#31185;祝?#21518;续对信息安全工作的支?#33267;?#24230;也会更好。

420%投入到审计,以“面”上问题的解决。

刚才提到了核心的“点”的问题,下面谈谈如何解决“面”上的问题。一般?#27492;担?#38500;了核心问题之外,多少还是有其他一些信息安全风险需要面对和控制。资源投入还是要关注,但不建议超过20%;从解决方式来看,我认为这些问题用“事件驱动型”方式来解决,效果和效率更好。

以我所见,即便是对信息安全很重视的领导,也通常是优先解决能看到的风险、已经发生了安全事件的漏洞,毕竟资源都是有限的。因此,通过?#20013;?#30340;审?#26222;页?#38382;题,通过响应和处理安全事件,以这些“事件”来驱动一个一个小问题的解决。逐?#20132;?#32047;之后,就会连点成面,有点类似“农村包围城?#23567;薄ⅰ?#31215;小胜为大胜”的味道;同时,通过一个一个事件的处理和改进,不?#31995;?#23545;员工、主管进行安全意识的教育,刷安全的存在感,也是非常有效果的。再反过来想,如果信息安全工作的上级领导要去驱动同级的其他部门领导,他是不是也需要“事件”这个武器?你给领导提供资源,领导才能给你支?#33268;鎩?/p>

当然,这些审计点的选择,要结?#31995;?#26399;管理层的关注、结合信息安全团队对公司业务的理解,保?#31181;?#23569;?#32771;?#24230;一次的频度,?#20013;?#22320;抓典型案例、采取奖惩和改进措施,达成以上目的。比如可以策划模拟真实的钓鱼?#22987;?#31561;社会工程学的攻击,看看到底有多少人中招,然后把数据摆在领导面前,让领导真实感受到触目惊心的结果;比如可以集中资源抓2个月的上网数据分析,把互联网出口造成的信息泄露结果呈现在管理层面前。

不建议一开始就搞举报漏洞的奖励,因为信息安全建设的初期可能漏洞太多,根本来不?#23433;梗?#21592;工、主管也很容易漏洞疲劳,反而对信息安全工作的形象有负面影响;但是可以开展举报违规违法行为的奖励。等大的漏洞补的差不多了,再搞举报漏洞的奖励,事半功倍,既补漏洞、改善信息安全的形象,又提升员工意识。

5、逐步组建和建设团队。

组建团队不能太着?#20445;?#35201;?#20013;?#20851;注、找合适的人。小团队的人,我认为要招?#19981;?#20449;息安全的、学习能力强?#27169;?#32463;验不一定要太多,这样相对稳定、有?#39029;?#24230;。招?#22797;?#24207;上?#27492;到?#35758;?#26085;?#23457;计,做策略、技术、意识宣传的按需补充,最后招运营人员。

小团队就不要招渗透测试的人了,还是用外部专业力量好。如果遇到疑难杂症需要解决,找咨询公司或者大牛咨询一下,其实基本就解决了,不必?#20889;?#29275;。

团队负责人平时要特别注重团队建设,总得在事业平台、团队氛围、薪资待遇的某个方面让员工有成长和收获吧?#31185;?#26102;还要注意学习业务知识,让团队成员逐步树立“信息安全要为业务服务”的意识。

6、尽量用标准化、商业化的技术产品。

在信息安全建设过?#35752;校?#23613;量采用标准化、商业化的技术和产品,少定制化、少自己开发,少用开源工具。大量经验表明,把工具用足用好最重要,不要想着买最好的工具。对于小团队?#27492;担?#23454;用是第一位?#27169;?#24212;尽量选择架构简单、学习成本低的工具,那?#20013;?#35201;投人进去琢磨、研究的工具平台看着美好,但不?#35270;?#23567;团队。开源工具虽然免费,但是需要时间琢磨研究、非标准化的做法也会带来架构上的风?#31456;?#27934;,搞不好?#22815;?#24341;入供应链风险。

不要一开始搭太多工具平台,成本高、项目多,效果?#20849;?#19968;定好。我建议在团队初创期间,人均负责运营的工具平台不超过2个。但同时,我认为也要敢于打破旧的束缚,对于以?#23433;?#32626;的工具、平台,在保证投资?#25214;?#27604;的前提下,该?#29616;?#23601;要?#29616;梗?#33021;利旧还是要利旧,千万不要在这方面有束缚。

7、中后期的团队管理。

等到团队成员达到4个人左?#19994;?#35268;模,就可以逐步形成这样的分工:团队负责人主管向上沟通协调、资源协调和团队管理,A负责项目管理、制?#20219;?#20214;管理、意识教育,B负责IT基础架构的建设、项?#31185;?#23457;,C负责审计、事件响应和调查,运营的工作可以根据实?#26159;?#20917;让每个人都承担一部分。ABC的工作还要注意形成互相备份,这样不至于在人员流失的时候耽误工作。同时想办法把琐碎、?#22270;?#20540;的工作交给公司内部的?#22270;?#20540;岗位(比如文员、行政前台),或者尝试利用一些工具提升这些琐碎工作的处理效率、降?#25237;?#22242;队人员的时间精力占比。

有些公司会考虑在某些业务部门也设立兼职的信息安全管理?#20445;?#36741;助做一些部门内部、更靠近业务的安全工作,比如培训、检查、督促改进等。这个工作建议在专职安全团队大于等于3个人的时候做,因为对这些兼职人员的管理也是需要投入资源?#27169;?#32780;且需要一定的管理手段和技术手段支撑,不建议在一开始就铺开摊子做这件事情。

时间久了之后,团队成员不免面临流失的风险,因此仍要保持对可用人才的关注,可通过校招等途径?#23454;?#34917;充。随着团队人员价值的逐步实现,在安全专业平台上的发展空间已经不大,可以考虑这几种方式(1)公司内部?#25351;冢?#23433;全的人去干运维,运维的人来干安全,横向扩展团队成员的技能和视野;(2)努力提升团队成员的薪酬待遇水平,以更好地保留人员。经验数据表明,安全人员的薪酬上限和公司的人均产出是基本相当?#27169;?#36825;时就需要团队负责人多想想办法了;(3)对于团队负责人?#27492;担?#21435;从事和安全相关的工作内容(比如合规,比如业务风控),可能也是一个选择。

8、逐步地过渡到关注和解决业务安全问题,?#19994;?#26356;大的价值空间。

当信息安全团队的短期目标实现,就要考虑下一步发展的问题。从情理上?#27492;担?#37117;希望扩大团队、争取更多的资源、实现更大的价值,但我还是建议团队负责人能够以务实的态度?#21019;?#36825;件事情,毕竟这个必须建立在企业发展和盈利的基础上,不要盲目追求扩大团队和资源。

如果希望?#19994;?#26356;大的价值空间,那必须要结合企业经营战略,在与安全密切相关的方向上整合资源和能力,着力帮助公司业务的提升,比如合规、风控、产品安全。但其核心思想依然是我之前提到?#27169;?#20445;企业增长,保企业核心竞争力”。如果?#20063;?#21040;,该功成身退也就退吧,把机会留给其他人。

4条评论 on "小规模团队如何开展信息安全工作?(1)科技创新型企业"


  1. 其实不太同意3.5讲的不找厉害的技术,建设初期我们事件驱动从漏洞入手会更加轻松,业务系统、内部系统、新上线系统这个都会有很大的问题,如果?#19994;?#19977;方和自己找一个,第三?#20132;?#22686;加60%的成本


    1. 从实?#24335;?#24230;来看,首先庙是否能留得住厉害的人;其次从漏洞入手你准备用?#35009;?#26679;的形式去向上管理和阐述价值?;

      从?#19994;?#35282;度来看,春哥落地可能性会高一些。


  2. 这个和?#32771;?#20844;司的环?#24120;?#20027;要是资源、领导对安全和风险的?#29616;?#20197;及团队人员的个人能力)有关。我说的也只是相对通用的方法,只要在自己公司能够有效就好。
    我之所以那?#27492;担?#20027;要考虑是小公司的职业空间有限,大牛待不住。

发表评论