[{"@context":"http:\/\/schema.org","@type":"WebSite","about":"\u4fe1\u606f\u5b89\u5168\u60c5\u62a5\u7ad9","dateModified":"2019-10-28 01:00:08.000000","description":"\u4fe1\u606f\u5b89\u5168\u60c5\u62a5\u7ad9","encoding":"UTF-8","headline":"\u5b89\u5168\u6751","inLanguage":"zh-CN","name":"\u5b89\u5168\u6751","publisher":{"@type":"Organization","name":"\u5b89\u5168\u6751"},"url":"https:\/\/www.chlzjq.tw"},{"@context":"http:\/\/schema.org","@type":"Article","author":{"@type":"Person","name":"truebasic","url":"https:\/\/www.chlzjq.tw\/author\/truebasic\/"},"commentCount":"2","dateModified":"2019-07-28T11:48:13","datePublished":"2019-03-26T08:58:06","description":"\u63a5\u4e0a\u7bc7\u3002\u53d1\u73b0\u91d1\u878d\u3001\u4e92\u8054\u7f51\u91d1\u878d\u3001\u6e38\u620f\u884c\u4e1a\u5c45\u7136\u4e5f\u5927\u91cf\u5b58\u5728\u5c0f\u89c4\u6a21\u4fe1\u606f\u5b89\u5168\u56e2\u961f\uff08\u6709\u65f6\u751a\u81f3\u53ea\u67091\u4e2a\u4eba\uff09\uff0c\u56e2\u961f\u5f62\u6210\u6210\u56e0\u3001\u5de5\u4f5c\u601d\u8def\u548c\u5173\u6ce8\u70b9\u8fd8\u662f\u6709\u663e\u8457\u5dee\u522b\uff0c\u56e0\u6b64\u5728\u4e0a\u7bc7\u57fa\u7840\u4e0a\u518d\u5199\u4e00\u7bc7\u3002\u6709\u4e9b\u6bb5\u843d\u548c\u4e0a\u7bc7\u5dee\u4e0d\u591a\uff0c\u53ea\u662f\u4e3a\u4e86\u4fdd\u8bc1\u6587\u7ae0\u5b8c\u6574\u6027\u7684\u9700\u8981\u3002\u540c\u65f6\u672c\u4eba\u5e76\u672a\u4ece\u4e8b\u8fc7\u91d1\u878d\u3001\u4e92\u91d1\u548c\u6e38\u620f\u884c\u4e1a\uff0c\u53ea\u662f\u8bd5\u56fe\u505a\u4e00\u4e9b\u603b\u7ed3\u548c\u6982\u62ec\uff0c\u4ee5\u98e8\u8bfb\u8005\uff1b\u6587\u4e2d\u89c2\u70b9\u5982\u80fd\u8ba9\u8bfb\u8005\u53c2\u8003\u6216\u5f15\u53d1\u601d\u8003\uff0c\u76ee\u7684\u4e5f\u5c31\u8fbe\u5230\u4e86\u3002\u8bf7\u5404\u4f4d\u540c\u884c\u6307\u6b63\u3002\u672c\u6587\u521b\u4f5c\u8fc7\u7a0b\u4e2d\u5f97\u5230\u4e86\u4e1a\u5185\u4eba\u58eb\u5510\u52e4\u3001\u59da\u98de\u3001\u675c\u5b8f\u4fdd\u3001\u738b\u519b\u519b\u3001\u91d1\u6587\u4f73\u3001\u8463\u9ece\u6ce2\u3001\u8c22\u6d9b\u7684\u6307\u6b63\uff0c\u4e00\u5e76\u8c22\u8fc7\u3002","headline":"\u5c0f\u89c4\u6a21\u56e2\u961f\u5982\u4f55\u5f00\u5c55\u4fe1\u606f\u5b89\u5168\u5de5\u4f5c\uff1f\uff082\uff09\u91d1\u878d\u3001\u4e92\u91d1\u3001\u6e38\u620f\u884c\u4e1a | \u5b89\u5168\u6751","image":{"@context":"http:\/\/schema.org","@type":"ImageObject","height":420,"url":"https:\/\/www.chlzjq.tw\/wp-content\/uploads\/\u5b89\u5168\u6751-\u6587\u7ae0\u5c01\u9762-07.jpg","width":700},"mainEntityOfPage":"https:\/\/www.chlzjq.tw\/%e5%b0%8f%e8%a7%84%e6%a8%a1%e5%9b%a2%e9%98%9f%e5%a6%82%e4%bd%95%e5%bc%80%e5%b1%95%e4%bf%a1%e6%81%af%e5%ae%89%e5%85%a8%e5%b7%a5%e4%bd%9c%ef%bc%9f%ef%bc%882%ef%bc%89%e9%87%91%e8%9e%8d%e3%80%81%e4%ba%92\/","name":"\u5c0f\u89c4\u6a21\u56e2\u961f\u5982\u4f55\u5f00\u5c55\u4fe1\u606f\u5b89\u5168\u5de5\u4f5c\uff1f\uff082\uff09\u91d1\u878d\u3001\u4e92\u91d1\u3001\u6e38\u620f\u884c\u4e1a","publisher":{"@type":"Organization","name":"\u5b89\u5168\u6751","logo":{"@type":"ImageObject","url":"https:\/\/secure.gravatar.com\/avatar\/?s=96&d=mm&r=g","height":60,"width":60}},"thumbnailUrl":"https:\/\/www.chlzjq.tw\/wp-content\/uploads\/\u5b89\u5168\u6751-\u6587\u7ae0\u5c01\u9762-07.jpg","url":"https:\/\/www.chlzjq.tw\/%e5%b0%8f%e8%a7%84%e6%a8%a1%e5%9b%a2%e9%98%9f%e5%a6%82%e4%bd%95%e5%bc%80%e5%b1%95%e4%bf%a1%e6%81%af%e5%ae%89%e5%85%a8%e5%b7%a5%e4%bd%9c%ef%bc%9f%ef%bc%882%ef%bc%89%e9%87%91%e8%9e%8d%e3%80%81%e4%ba%92\/"}] 网球比分格式怎么看

小规模团队如何开展信息安全工作?(2)金融、互金、游戏行业

围观次数:3,320 views

接上篇。发现金融、互联网金融、游戏行业居然也大量存在小规模信息安全团队(有时甚至只有1个人),团队形成成因、工作思路和关注点还是有显著差别,因此在上篇基础上再写一篇。?#34892;?#27573;落和上篇差不多,只是为了保证文章完整性的需要。同时本人并未从事过金融、互金和游戏行业,只是试图做一些总结和概括,以飨读者;文中观点如能让读者参考或引发思考,目的也就达到了。请各位同行指正。本文创作过程中得到了业内人士唐勤、姚飞、杜宏保、王军军、金文佳、董黎波、谢涛的指正,一并?#36824;?/p>

一、小规模信息安全团队的特征

1、不算可支配的外包人?#20445;?#19987;职信息安全总人数少于等于3人,或占企业人员比例小于千分之二(经验数据;IBM很久以前给出的建议比例是千分之2.7,但现在也?#20063;?#21040;可类比的数据了)。据了解,甚至会存在1个人的 “信息安全团队”。

2、企业年信息安全投入(不含人力投入)少于200万,或占企业年营业额比例少于千分之一。(经验数据:金融企业IT年投入通常是年营业额的1-3%,安全类投入通常是IT投入的10%左右。)

3、通常没有独立的实体部门或行政编制。大概率是IT部门的几个人,更大可能落在IT运维部门。

4、团队成员普遍身兼多职,或多个岗位的工作内容。有可能是一人兼多个信息安全岗位的工作内容,有可能还会兼任合规、风控、运维等岗位,甚至还可能干文员的活。

二、小规模信息安全团队常见的困境

1、有?#21776;凇?#26126;确需要解决的信息安全问题,但缺乏长远的信息安全路线图。

既然有专职信息安全人?#20445;得?#20225;业管理层已经意识到了信息安全风险的重要性,或者曾经出过事,所以通常?#21776;?#20043;内有明确需要解决的信息安全问题。但是由于工作职责(组织架构相关)不清晰、资源能力不足等问题,对于信息安全人?#20445;?#25110;团队)未?#20174;?#35813;干什么、解决什么问题,要么不清晰、要么缺少一个路线图,导致信息安全工作总体上偏被动,属于事件驱动型或合规驱动型。

2、资源少。

“事多人少钱难要”是典型特征之一,有时也仅仅是“人少?#20445;?#26377;时仅仅是“事多”。究其原因,可能

(1)信息安全在企业业务中的重要性还?#36824;?#31361;出,伤的还?#36824;?#30171;,领导的专业能力不足,导致领?#26082;现?#19981;到位、投入?#36824;唬?/p>

(2)金融行业由于监管或编制原因,往往有专职的安全人?#20445;?#20294;是正编较少、外包人员多;据称很多城商?#23567;?#20114;金企业都存在“1人信息安全团队”的情况。这时管理外包商、内外部的沟通可能就会耗费大量精力,反而无法集中精力开展建设,有可能会出现供应商管理风险,或者是核心能力丧失的问题。

(3)企业经营和盈利能力不强,虽然领导重视、但是手里能花?#37027;?#37117;得精打细算,但?#19981;?#28857;钱都想一分钱掰成2分钱用。比如这些年的互金行业、游戏行业活的其实挺艰难,除?#24605;?#20010;巨?#20998;?#22806;,其他企业能活下来都挺不容易,在安全上的投入是真的紧张。

(4)信息安全人员和领导对于“资源”一词的?#29616;?#19981;一致。在我以前的文章中提到,信息安全人员往往把“资源”等同于“人、钱?#20445;?#20294;实际上资源还包括“物、政策,内部支持者、供应商&合作商资源以及管理层在信息安全事务上投入的时间精力?#20445;?/p>

(5)信息安全人员自身追求职业发展和企业经营需要之间的落差。作为一个摸爬滚打了十几年的业内人士,我深刻理解一个专职人员希望年年做事、做新鲜事情的感受,于是不断地发现新风险、期望做新项目、希望扩大团队,但是管理层需要的只是把风险控制在可接受程度、而不是?#27807;?#28040;灭,这时往往就会产生落差;

(6)监管部门这些年逐步加强了互金、游戏行业的监管力度,从等保、客户信息保护、网络舆情安全等等各种传达要求、开会、检查、整?#27169;?#20174;银保监、央行到网监、网信办,虽?#31561;?#23454;提高了行业的安全水平、控制了行业风险,却也给这些企业带来不小的管理成本,相比就容易感觉到资源不足。

3、人员流动大、留人难。

如果是大公司、小团队,有一个较好的事业平台或薪资待遇支撑,那可能这个问题还?#36824;?#31361;出。如果是小公司、小团队,本身的平台和事业?#21344;?#26377;限,薪资待遇很大可能也就中?#20154;?#24179;,做几年估计就差不多了,想留住人非常困难。

4、自己能力?#36824;唬?#25110;者面临挑战多、漏洞多、问题复杂。

基于问题3,小规模团队大概率就会遇到人员能力不足或者人数?#36824;唬?#20107;多人少钱难要?#20445;?#25110;者由于信息安全工作在内部的职责、定位、协作关系不清晰,手里也缺乏足够的资源?#27807;没?#35821;权?#36824;唬?#30475;上去就会挑战多、问题复杂。

大概率的情况下,一个公司设立专职信息安全人员之前,其实信息安全并非从0起步,多少还是推行过一些信息安全要求、部署了一些工具,但一定在执行中遇到这样那样的问题。那么,设立专职人员之后,如何整合、优化这些信息安全要求和工具,如何解决这些问题,如何保障内外部?#27809;?#20307;验?#37027;?#25552;下?#34892;?#25511;制风险,也使得问题更加复杂。如果公司的信息安全是从0做起?#27169;?#37027;么从哪里入手呢?

三、小规模信息安全团队的工作思路

问题分析完了,那么如何解决这些问题?#21051;?#35848;?#19994;?#24605;路。

1、挑个好的团队带头人。

?#36824;?#26159;1个人的团队,还是2-3个人的团队,事以人成,这个带头人极其重要。兵熊熊一个,将熊熊一窝的道理大家都懂。这个带头人必须(1)热爱信息安全,承压能力强或者热爱接受挑战;(2)具备信息安全专业领域资深经验,在行业内有较好的人脉资源;(3)既能向上沟通,也能向下管理;有全局视野;(4)具备动手能力,毕竟小团队工作的时候,不能只动口、不动手。在金融、互金、游戏行业里面,我觉?#27809;?#24517;须具备一定的技术能力,虽然不一定要很专业,但像CISSP/CISP那样的知识宽?#28982;?#26159;要有?#27169;?#33267;少可以保证不会被忽悠。

2、做个规划,明确2-3年内重点解决的问题、架构、路线图。

如我以前的文章所述,这是我解决问题的?#36824;?#22871;路,先从全局着眼、把整体布局做好。规划中要明确信息安全工作的价值、定位、目标,和2-3年内需要重点解决的问题(风险)、信息安全架构和路线图。尤其是小规模信息安全团队的工作,尤其在金融、互金、游戏行业里面,安全团队极大可能就是IT团队的补一份,因此就整个公司IT基础设施的架构达成一致就非常非常重要。推荐采用EA的方法论去分析和搭建,这样可以保证安全项目的实施效果不会偏差太远。如果自身能力还不足以做这个架构和路线图,可以找大牛或咨询公司。

这当中尤其需要注意和IT部门、人力资源、行政部门达成目标、分工合作机制的一致,IT部门与IT基础设施的建设和运营相关,人力资源和员工培训、奖惩相关,行政部门和物理安全管控相关。必要的话,可以采用联席会议(温和的沟通机制)、绩效考核(强硬的保障机制)等手段保证目标一致。如果这样还是做不到,可以争取在公司现有的管理机制(比如经营例会、风险例会)?#38505;?#21462;一个议题,每次都能讲十几分钟、半个小时,通过不断地宣讲来统一思想、统一目标。

如果领导的想法特别多,但是又不太愿意(或不能)投入更多的资源,其实这时蛮考验团队负责人的沟通能力。常规的做法,就是把信息安全风险仔细做个风险评估,可以自己做,也可以请外部咨询公司、安全公司做(大部分时候外面的人说话管用),或者是带着领?#26082;?#21442;观学习同行标杆企业,然后跟领导一起把最重要的风险识别出?#30784;?#23450;下?#30784;?/p>

3、以合规驱动为主,提纲挈领地解决核心问题

虽然大家都说新官上任三把火,但是感觉不?#35270;?#20110;信息安全小团队的运作。我们的第一件事情是站稳脚跟。如何站稳?就是首要解决管理层关注的重点问题、紧?#20219;?#39064;(?#39029;?#20026;“核心问题?#20445;?#22914;何解决呢?#35838;业?#35266;点是以合规驱动为主,一边解决核心问题、一边搭建架构。当然,做起来肯定不是面面俱到,而是要提纲挈领。具体怎么做呢?

就“合规驱动”而言,就是利用监管机构出具的?#39144;?#25351;引,或等保测评标准,从制度体系、IT基础架构到安全组织、人员意识逐步、?#26377;?#21040;实地做起?#30784;?#36825;些“规”都非常体系化,所以合规的过程本身就是一个体系化的建设过程;同时由于“合规”这个动作对于金融、互金、游戏行业?#27492;?#20063;是一个强制性要求、必须要被满足,因此可以在这个阶段,借助合规驱动的机会,顺带着把架构性的问题基本解决,还能获得资源支持。

那么什么?#23567;?#25552;纲挈领”呢?还是围绕前面提到的“管理层关注的重点问题、紧?#20219;?#39064;”这些核心问题,在解决问题的过程中逐步地实现整体架构的改进。比如要优先解决“保护客户数据不泄漏”的问题,那可能就需要实现终端安全的基础防护+数据防泄漏+准入控制,网络要划分安全域并设置访?#22763;?#21046;策略,互联网边界先做到可以应对普通攻击,应用要分级、隔离、做到数据不落地,这几个大方面的改进完成了,基本?#38505;?#20010;架构就搭起来了,即便在?#24179;?#36807;程中遇到阻力,也会因为这些任务是为“核心问题”服务而化解。做完之后,再逐步?#24179;?#25968;据分类分级脱敏审计、应用系统开发标准和代码审计、NTA分析、应对APT、攻防对抗、部署蜜罐、态势感知等高阶动作。

这当中有几个注意点:

1)总体上遵循架构。这里主要说的是IT基础架构,这样可以保证安全控制措施的协调性、?#34892;?#24615;;但是各个部分的?#24179;?#21487;以根据实际情况、尤其是IT部门自身的业务规划来调整。

2)可以先把制度体?#21040;?#31435;起来,完成立法。为什么这么?#30340;兀?#22240;为首先需要合规、满足监管要求;同时也可以在建立制度体系的过程中,对照业内标杆或者最佳实践,把企业自身的差距识别出来,形成后续改进的依据。对于工作推动所需的资源抓手(比如硬性的培训要求,对员工的奖惩权),务必在这个过程中搞定。当然,制度体系的落地需要较长的时间,这个下面再说。建制度体系这个事情,可以请咨询公司做,也可以花点小钱买一?#33258;?#25913;?#27169;?#20808;保证有东西。

3)协调好业务需求跟合规需求。金融、互联网金融、游戏等?#32771;?#31649;的行业的合规需求和业务需求到底谁轻谁重?我没有实际经验、说不好。但是如果企业经营形势?#35805;悖?#20284;乎还是应该优先满足业务需求,先使得企业在大体合规的状态下生存下去,这时就需要和管理层、监管机构建立良好的沟通。

4)与核心?#19978;?#20154;保持密切沟通,获得管理层和业务部门的支持。与核心?#19978;?#20154;保持密切沟通、汇报进展,不但可以展现成绩、暴?#27573;?#39064;、推动问题的解决,还可以?#20013;?#23545;管理层和业务部门主管进行意识教育。很多安全工程师往往只顾埋头做事、?#36824;?#19994;绩展现,是导致“缺乏资源”的根本原因,也是我一直强调的安全人员要有管理技能和管理视角的原因。与核心?#19978;?#20154;保?#33267;?#22909;的关系,也为后续的信息安全工作开展?#19994;?#20102;更加有力的支持者,而这也是我所说的“资源”之一,而且是重要资源。

5)做到PDCA凡事要闭环、要PDCA转起来,这是信息安全管理体?#24213;?#37325;要所在。风险是否得到控制,要通过运营、检查、审计等综合措施运行一个阶段(?#35805;?#26159;半年到一年),以实现闭环。这样既可以保证问题真正得到解决,又可以让?#20064;濉?#19994;务主管等核心?#19978;?#20154;放?#27169;?#20182;们会觉得你靠谱,后续对信息安全工作的支?#33267;?#24230;也会更好。

4、关于应用安全、业务安全

互金、游戏行业的业务开展非常依赖互联网,因此往往对应用安全、业务安全(比如第三方非法接入、薅羊毛、借贷欺诈、内容安全等直接影响企业利益的问题)看的很重,而内部的IT基础设施、办公应用反而比较初级:要么用SaaS服务搞定,要么?#20040;?#21378;的企业邮箱,或者基于企业微信、钉钉满足绝大部?#32844;?#20844;业务;金融行业也越来越加大互联网应用的投入。在这种局面下,小团队应该如何开展这方面工作?我提几个想法:

(1)能花钱解决的问题,就不要自己干。从App安全、应用系统安全、抗DDoS攻击、内容安全,安全厂家都有成熟解决方案,拉过?#20174;?#23601;可以。如果有精力就货比三家,没精力也可以全包给一家。

(2)如果应用是自研?#27169;?#37027;么就要和测试团队、质量控制团队合作,在测试或QA?#26041;?#25226;风险控制住。该定标准定标准,该用自动化代码审计工具就用。

(3)如果管理层确实对应用安全、业务安全重视,可以把这个作为?#21776;?#20869;的“核心问题?#20445;?#25353;照等保或者ISO27001的要求,先制?#32570;?#20934;、工具平台、意识教育等几个领域做起,容易看到效果、也容易得到资源支持;然后再解决内部的终端管理、网络架构、服务器管理、数据流管理等。这是一个切入点、突破口选择的问题。

(4)用好事件营销。一方面及时响应、处理事件,一方面用事件驱动体系化的建设,但对团队在这个阶段的数据分析能力、风控能力、响应能力有较高的要求。

5、用好事件驱动,逐步补全信息安全管理体系的短板。

刚才提到了核心的“点”的问题,下面谈谈如何解决“面”上的问题。?#35805;憷此担?#38500;了核心问题之外,多少还是有其他一些信息安全风险需要面对和控制。资源投入还是要关注,但不建议超过20%;从解决方式来看,我认为这些问题用“事件驱动型”方式来解决,效果和效率更好。还有一种情况,就是企业已经大体上满足合规要求了,如何做的更好更深入,往往还需要事件驱动。

以我所见,即便是对信息安全很重视的领导,也通常是优先解决能看到的风险、已经发生了安全事件的漏洞,毕竟资源都是有限的。因此,通过?#20013;?#30340;事件驱动一个一个问题的解决,或者是更?#30001;?#21270;地解决。逐步积累之后,就会连点成面,有点类似“农村包围城?#23567;薄ⅰ?#31215;小胜为大胜”的套路;同时,通过一个一个事件的处理和改进,不断地对员工、主管进行安全意识的教育,也是非常?#34892;?#26524;的。再反过来想,如果信息安全工作的上?#35835;?#23548;要去驱动同级的其他部门领导,他是不是也需要“事件”这个武器?你给领导提供资源,领导才能给你支?#33268;鎩?#37027;么,如何才能获得这些事件呢?

(1)专项审计,包括调研访谈、现场查验。这不是审计部的活,是安全团队应该干?#27169;?/p>

(2)运营和巡检。别看是日常工作,“安全无小事、出事必然都是大事?#20445;?#22914;果在小的地方?#20013;?#20986;问题,那?#24471;?#19968;定是运行机制或人员意识上出了问题,需要立即纠正;

(3)渗透测试。比如可以策划模拟真实的钓鱼邮件等社会工程学的攻击,看看到底有多少人中招,然后把数据摆在领导面前,让领导真实感受到触目惊心的结果;比如可以集中资源抓2个月的上网数据分析,把互联网出口造成的信息泄露结果呈现在管理层面前。

(4)接收外部的漏洞报告、威胁情报。接收、评估并解决一个漏洞,并向管理层汇报,既是成果展现,也是意?#30701;?#21319;。

(5)搜集并展现同行案例。同行案例、身边人的故事,对?#20064;濉?#20027;管最有说服力,所以要和圈子里的同行多交流。监管机构也会经常通报一些案例,也要用好。

以上“事件”应该保持至少?#32771;?#24230;一次的频度,太频繁了就会“风险疲劳”。通过每一次事件触发的安全改进,逐步地把信息安全管理体系的短板补足,把PDCA的循环转起来,把“虚”的制度转变为“实”的执行,把“书面的控制项”变为“有保障的控制点?#20445;?#20943;少事件的发生、减少重复事件的发生,进而实现螺旋式上升。在本文编写过程中中,谢涛提出“小团队的安全从来就不是技术问题”的观点,发人深省。

6、组建团队、用好外部专业力量。

组建团队不能太着?#20445;?#35201;?#20013;?#20851;注、找合适的人。小团队的人,我认为要招?#19981;?#20449;息安全的、学习能力强?#27169;?#32463;验不一定要太多,这样相对稳定、有?#39029;?#24230;;校招也是一个非常不错的途径。对于金融、互金和游戏行业?#27492;担?#25307;聘次序上?#27492;到?#35758;先?#24615;?#33829;,做策略、技术、意识宣传的?#33905;?#34917;充,最后招审计人员。

建议小团队就不要招渗透测试的人了,还是用外部专业力量好。如果遇到疑难杂症需要解决,找咨询公司或者大牛咨询一下,其实基本就解决了,不必招大牛。说到大牛,我有个不成熟的想法,下一篇?#27493;病?/p>

团队负责人平时要特别注重团队建设,总得在事业平台、团队氛围、薪资待遇的某个方面让员工有成长和收获吧?平时还要注意学习业务知识,让团队成员逐步树立“信息安全要为业务服务”的意识。特别还想说?#27169;?#22242;队负责人一定要学会如何与90后相处、沟通,既能更好地管理团队,也能够让自己保持年轻的状态。

团队成员要多交一些圈子里面的朋友,一来有问题可以寻求咨询和指导,二来也可以让自己多一些解决问题的选择、或者掌握更多的信息。

这里有一个问题就必须讨论到:很多金融企业正编非常少,必须依赖供应商的外包人?#20445;?#19988;人数还不少,随之而来的问题就是(1)外包人员是否可信;(2)如何让外包人?#26412;?#36131;;(3)自身团队人员长期只做外包商的协调管理,核心运营能力丧失,容易人走茶凉。?#28304;宋业?#24314;议如下?#28023;?)与外包公司前述保密协议、落实责任;(2)对接触核心业务的外包人员要有背景调查;(3)将外包人员的KPI与团队成员的KPI保持一致,并建立激励机制(比如在合同?#24615;?#23450;?#21644;?#25104;日常任务拿100%收入,有突出表现可以多拿20%);(4)从生意、技能、帮助外包公司的成长,双方结合成长期的伙伴关系,提升互信;(5)如果始终认为外包只是外包,那就设定一个可行的计划,让团队成员逐步负责安全策略、安全运营等核心工作,将外包的安全能力内化。

7、尽量用标准化、商业化的技术产品和服务,尽量自动化。

小团队在信息安全建设过程中,尽量采用标准化、商业化的技术和产品,少定制化、少自己开发,少用开源工具。大量经验表明,把工具用足用好最重要,不要想着买最好的工具。对于小团队?#27492;担?#23454;用是第一位?#27169;?#24212;尽量选择架构简单、学习成本低的工具,那种需要投人进去琢磨、研究的工具平台看着美好,但不?#35270;?#23567;团队。开源工具虽然免费,但是需要时间琢磨研究、非标准化的做法也会带来架构上的风险漏洞,搞不?#27809;?#20250;引入供应链风险。

不要一开始搭太多工具平台,成本高、项目多,效果还不一定好。我建议在团队初创期间,人均负责运营的工具平台不超过2个。但同时,我认为也要敢于打破旧的束缚,如果以前上过一些工具、平台,在保证投资?#25214;?#27604;?#37027;?#25552;下,该?#29616;?#23601;要?#29616;梗?#33021;利旧还是要利旧,千万不要在这方面有束缚。如果团队人员规模始终控制在2-3人,一定要想办法整一?#33258;?#33829;或监控工具(至于它叫SIEM、SOC、态势感知还是大数据分析平台,就是萝卜白菜各有所爱了),起码要达到“事中及时响应、事后快速回溯”的效果。

能快速用起来的、自动化的工具,只要能够满足当下关键需求就先上,切记多头出击还都是手工活。自动化的?#20040;?#23601;是团队可以把更多的精力放在沟通汇报、协调资源、?#28982;?#19978;。

8、中后期的团队管理

等到团队成员达到4个人左?#19994;?#35268;模,就可以逐步形成这样的分工:团队负责人主管向上沟通协调、?#35797;葱?#35843;和团队管理,同时可以负责数据安全、业务安全等需要高端?#35797;葱?#35843;的工作;A负责项目管理、制度文件管理、意识教育,B负责IT基础架构的建设、项目评审、SDLC,C负责审计、应?#27605;?#24212;和调查,运营的工作可以根据实际情况让每个人都承担一部分。ABC的工作还要注意形成互相备份,这样不至于在人员流失的时候耽误工作。同时想办法把琐碎、?#22270;?#20540;的工作交给外包人员去做,或者交给公司内部的?#22270;?#20540;岗位(比如文员、行政前台),或者尝试利用一些工具、改进一些工作流程来提升这些琐碎工作的处理效率、降?#25237;?#22242;队人员的时间精力占比。

时间久了之后,团队成员不免面临流失的风险,因此仍要保持对可用人才的关注,可通过校招等途径?#23454;?#34917;充。随着团队人员价值的逐步实现,在安全专业平台上的发展?#21344;?#24050;经不大,可以考虑这几种方式(1)公司内部?#25351;冢?#23433;全的人去干运维,运维的人来干安全,横向扩展团队成员的技能和视野;(2)努力提升团队成员的薪酬待遇水平,以保更好地留人员。经验数据表明,安全人员的薪酬上限和公司的人均产出是基本相当?#27169;?#36825;时就需要团队负责人多想想办法了;(3)对于团队负责人?#27492;担?#21435;从事和安全相关的工作内容(比如合规,比如业务风控),可能也是一个选择。

如果团队成员+外包人员规模应该要增加、但始终上不去,一方面要找找自身原因、看如何改进,一方面其实也可以琢磨琢磨是不是应该动一动了。

9、逐步地过渡到关注和解决业务安全问题,?#19994;?#26356;大的价值?#21344;洹?/strong>

当信息安全团队的?#21776;?#30446;标实现,就要考虑下一步发展的问题。从情理上?#27492;担?#37117;希望扩大团队、争取更多的资源、实现更大的价值,但我还是建议团队负责人能够以务实的态度?#21019;?#36825;件事情,毕竟这个必须建立在企业大规模发展和盈利的基础上,不要盲目追求扩大团队和资源。

如果希望?#19994;?#26356;大的价值?#21344;洌?#37027;必须要结合行业发展趋势、企业经营战略和对未来风险的?#29616;?#22312;与安全密切相关的?#36739;蟶险?#21512;资源和能力,做一些技能、工具或外部资源的调?#20889;?#22791;,或着力帮助公司业务的提升,比如合规、风控。但其核心思想依然是我之前提到?#27169;?#20445;企业增长,保企业核心竞争力”。至少在需要你灭火的时候能顶上去,也就为团队打开了一片新的天空。如果?#20063;?#21040;,该功成身退也就退吧,把机会留给其他人。

10、向上管理、以及对监管?#37027;?#21160;

金融、互金、游戏行业的小规模安全团队,大概率在IT部门,也容易面临级别?#36824;弧?#36328;部门推动困难等困难。在和几位业内人士沟通的时候,都不约而同提到了这一点,同时提到了目前最大的难题就是“数据安全”推不动。

为啥推不动?1自身级别?#36824;唬?就是虽然别人出了很多事,但企业管理层还?#36824;?#30171;,外力?#36824;?#24378;;3企业管理层?#29616;还唬?#25110;者企业经营顾不?#38505;?#20010;事情。但是“数据安全”这个事情真的不?#39029;?#20107;,一旦出事很可能就是灭顶之灾(这个说法可能有点夸张,但安全从业人员应该有这样的意识和责任感)。那怎么办?考虑到金融、互金、游戏行业有很强的合规驱动性,也必然需要和监管机构保?#33267;?#22909;的沟通,?#19994;?#24314;议是:

(1)安全团队成员应坚持向上管理和沟通。积极地、在不同场合向管理层沟通和灌输数据安全的重要性。如果是我,会在恰当时机安排对管理层的个人信息利用的渗透测试。

(2)业内同行应该形成合力,持之以恒、想法设法驱动监管机构对“数据安全”的重视,以监管的力量(合规、奖惩、排名措施都可以)?#21019;?#36827;“数据安全”水平的提升。在“数据驱动业务”的时代,数据安全应该早下手,安全建设和系?#31216;?#21488;建设同步开展,不能再走先建设、后补课的路子了,这一点相信监管机构也是有?#29616;?#30340;。

2人评论了“小规模团队如何开展信息安全工作?(2)金融、互金、游戏行业”

    1. 我和业内一些企业交流过,基本上1-2个人团队还是可以做到6、7步。从第8开始,就不是1个人的团队了。

发表评论

电子邮件地址不会?#36824;?#24320;。 必填项已用*标注

Time limit exceeded. Please complete the captcha once again.

广告赞助

网球比分格式怎么看
提现棋牌 国际娱乐城注册送彩金 天津十一选五计划软件手机版式 浙江快三彩票开奖查询 双色球大奖 英国五分彩怎么玩 时时彩走势图全部 双色球2017139历史同期 中国福利彩票双色球开奖 一码中特今期已免费大公开参考