- 对本书的赞誉
- 序一
- 序二
- 序三
- 前言
- 第一部分 安全架构
- 第 1 章 企业信息安全建设简介
- 第 2 章 金融行业的信息安全
- 第 3 章 安全规划
- 第 4 章 内控合规管理
- 第 5 章 安全团队建设
- 第 6 章 安全培训
- 第 7 章 外包安全管理
- 第 8 章 安全考核
- 第 9 章 安全认证
- 第 10 章 安全预算、总结与汇报
- 第二部分 安全技术实战
- 第 11 章 互联网应用安全
- 第 12 章 移动应用安全
- 第 13 章 企业内网安全
- 第 14 章 数据安全
- 第 15 章 业务安全
- 第 16 章 邮件安全
- 第 17 章 活动目录安全
- 第 18 章 安全热点解决方案
- 第 19 章 安全检测
- 第 20 章 安全运营
- 第 21 章 安全运营中心
- 第 22 章 安全资产管理和矩阵式监控
- 第 23 章 应急响应
- 第 24 章 安全趋势和安全从业者的未来
- 附录
5.1 安全团队建设的“痛点”
这个互联网上曾经红极一时的漫画(如图 5-1 所示),非常生动形象地反映了信息安全团队的痛点,其核心词就是“背锅”。虽然网络漫画有失偏颇和略显夸张,但真实反映了信息安全团队成员价值感缺乏、压力巨大的现实情况。
对于金融企业来说,信息安全工作非常重要,这是任何一个金融行业的董事会和高管层都不容忽视的领域。尽管所有金融企业都会将信息安全作为重要工作对待,基于信息安全工作与生俱来的特点,金融企业信息安全团队仍然摆脱不了整个行业的“宿命”。概括来说,金融企业信息安全团队主要存在以下几方面的痛点。
1.价值感和存在感缺乏
首先,对于金融企业来说,信息科技是“后台部门”,而信息安全工作是“后台中的后台”。信息科技工作是为前中台部门服务的,在业务发展良好的时候,信息科技工作往往并不会有很大的存在感,最多在“功劳簿”中算上一笔(辅助作用)。而一旦因为信息科技风险事件影响到业务正常开展,甚或仅仅是某些系统的客户体验不好、用户操作不方便、功能不完善等造成业务使用的困难,信息科技就很容易成为“众矢之的”。而信息安全工作,更是可谓“后台中的后台”,在信息科技工作的“主流程”中很难排上位置,通常与综合管理、商务管理等一起被归入信息科技的辅助支撑性职能中。
图 5-1 信息安全痛点的形象描述
对于信息安全团队来说,如何体现对科技工作的价值,进而体现对业务的价值,是一个亟待破解的难题。另一方面,对于信息科技部门的其他团队来说,信息安全团队就是不停地提要求、做检查、当监工、找漏洞,却往往不是最后的执行人。所以信息安全团队总有点“吃力不讨好”,经常面临误解、抵触甚至冲突,承受着巨大的压力。
其次,信息安全工作,核心职能是“踩刹车”而不是“踩油门”。信息安全工作,是考虑正常流程之外的风险控制措施,就是充分考虑可能出现的漏洞、异常,并且采取加强型措施来规避。但信息安全天生与客户体验是“背道而驰”的。例如,金融企业最常见的身份认证措施,如果要安全,就至少需要双因素认证,而且至少需要两类的双因素,通常一笔转账,就需要账户密码、短信两个因素。这必然需要客户更多的操作步骤。而如果只做一个因素的认证,客户操作方便了许多,但是却容易出现密码被盗取、撞库攻击或者短信被木马拦截从而泄露的情况。所以,为了快速响应业务需求,在信息系统开发的生命周期中,优先考虑的是系统功能如何最快速实现、客户体验如何最大程度优化,而在安全措施方面需要做一些牺牲或让步。这个时候,信息安全团队需要“冒天下之大不韪”地挺身而出,做“唱白脸”的人,在需求阶段就提出安全要求,在设计和开发阶段落实安全要求,在测试阶段验证安全要求落地情况,在投产后还要孜孜不倦地检查确保安全要求达到,在碰到安全事件时再次复盘,排查此前考虑的缺漏,从而实现螺旋上升。这些措施,对于业务来说,除了增加各类限制这种“阻碍业务发展”的措施外,几乎看不到安全团队的价值。业务跟信息安全团队的接触,除了就是否“踩刹车”而 PK 之外,几乎没有其他可以遇上的机会。而一旦没有坚持安全的底线,在漏洞真正被利用的时候,安全团队除了“背锅”,似乎别无选择。
再次,信息安全工作往往实施周期长,动辄需要几个月、半年,甚至一年的实施周期,所以效果需要很长时间的积累才能显现出来。例如,信息安全风险监测,指标设立后需要非常长时间的数据积累才能分析出结果;安全工具的实施,只是万里长征走完了第一步,后续的策略维护和日常运营,才是真正见功夫和水平的,需要很长一段时间的细心监测、数据分析和策略调优,才能发挥效果。信息安全团队,必须秉承工匠精神,一步一步、耐心细致地做好每一个日常的规定动作,才能确保不出问题。但这些幕后的工作,确实很难走上前台,被领导、业务部门甚至本部门的人员所看到、理解和接受,因此安全团队强烈缺乏存在感。
金融企业的信息安全人员,普遍存在难以找到个人价值感和成就感,甚至默默无闻没有存在感的情况,很容易丧失目标,找不到方向,从而难以实现自我价值和突破,需要有人帮助信息安全团队形成自己的价值体系,实现“专业自信”,方可打开向上的进步空间。
2.投入少,绩效衡量难
对于金融企业的信息科技工作来说,信息系统建设是最能实现投入产出比的工作,所以大量的科技投入都放在系统开发部门。衡量开发工作的指标比较容易设置,例如,投产计划达成率、应用系统故障率等,甚至部分业务系统可以用新增客户数、新增用户数、存贷款量以及利润值等指标来衡量。
生产运行所必备的基础设施建设和稳定运行所必备的监控、审计等相关支撑类系统建设及维保服务,也让运维工作的投入可以占到一定的比例。通常可以用事件或故障数量、运维工单数量等来衡量运行工作的绩效。
但是信息安全工作相对来说就比较难得到大手笔的投入,通常能在信息科技投入中占比 5%就相当不错了。因为在高层领导看来,信息安全工作就像个无底洞,投入很多却难以见效,安全工作的价值难以量化和表现。例如,金融企业信息安全工作的目标是防控风险,防止漏洞被利用而产生实际的经济或非经济损失。但是,如果信息安全工作做到极致,没有发生任何的风险或者没有出现任何的信息安全事件,往往被认为“运气好”或者“没被坏人盯上”。而万一一个风险事件成为现实,可能一切归零,之前的所有安全工作都被否定。因此,信息科技风险的产生和安全攻击事件经常是“碰运气”的结果而非安全工作可以完全避免的,导致信息安全工作的绩效难以得到相对公正的衡量。
此外,安全工作通常会被认为比较“虚”,难以直接看到效果,往往只能具体到每个月或者每周做了什么,如做风险防控、做策略优化、做安全检查、做整改督办,但是领导只看到你在做检查、做整改督办、做安全工具维护,而具体化解了多少个风险,堵住了多少次攻击,是运气好没被盯上还是自己篱笆扎得紧,却是难以评估和量化的。所以,安全团队的绩效,领导通常很难看到,也很难用一些量化的指标去向领导展现和报告。
3.风险压力大
信息安全团队的天职就是化解风险,可以说每天面对的就是各种各样的风险,所以信息安全人员很容易形成“职业病”,例如,有“工作洁癖”,看谁都像坏人,或者习惯性地对任何东西都形成备份等。
但是所谓“道高一尺,魔高一丈”,信息安全人员再高明,日常工作再认真细致,还是会滞后于黑产的发展,滞后于风险的暴露。所以尽管信息安全工作一再强调“风险前移”,但事实上绝大多数的风险,都是在事后才被发现。真正能做到事前、事中控制和化解的,毕竟是少数。因此,信息安全人员很多时间都是在扮演“救火队员”,都处于一种紧张、焦虑的状态。特别是金融企业信息安全人员,一着不慎,有可能面临的就是客户信息泄露、资金损失这样严重的事件,所以金融企业信息安全人员面临的风险压力是非常之大的。
4.综合性人才、专业人才稀缺
我国普通高校的信息安全专业设立才不过区区数年时间,以前都是由计算机这个大学科背景的人员从事信息安全工作,密码学原理、攻防基础等课程,并没有成为信息安全人员的“标配”。很多的信息安全人员都是从具备一点点计算机知识开始,逐步通过自学知识、掌握工具、泡论坛学习交流以及血淋淋的案例教训等方式,慢慢成长起来的。
金融企业的信息安全人员,处理的信息安全问题大到信息科技治理、信息科技战略规划,小到具体的安全指标监测、安全事件处置、安全防控策略调优等,工作覆盖面广,接触信息量大,因此,除了具备安全专业知识外,还必须掌握金融领域的业务知识,同时必须了解安全企业的开发、运行等工作特点,才能从各个角度全方位地做好安全防控,应对针对网络、系统、应用、终端等各方面漏洞的攻击风险。
所以,要既具备信息安全基础知识,又了解金融领域业务知识,还能对开发、运行的工作有所精通,这样的人才是稀缺的,往往是从某一个领域入手,逐步培养和转化而来。
5.职业规划前景不明,职业发展的“天花板”较低
职业规划对个人的重要性不言自明,有职业规划意味着有目标,有目标意味着有动力,有动力才能不断前进。因此,职业规划对于一个人的事业成败,起着决定性的影响。
对于金融企业的信息安全人员来说,要做好职业规划绝非易事。因为做任何一个职业规划,最重要的因素就是“天花板”在哪里,这个“天花板”决定了团队成员努力的最高目标。金融企业的信息安全虽然相对于其他行业来说很重要,也得到了更多的重视,但是通常都没有专门设置 CSO(首席安全官),因此信息安全人员的“天花板”基本上就是信息安全团队的主管(如银行业的信息安全处室负责人,证券行业的安全总监等)。信息安全团队的规模,在大型金融企业中可以达到十余人至数十人之众,但中小型金融企业其规模往往不会超过十人,信息安全团队主管的权限范围较难扩大。且由于信息安全并非信息科技工作的“主营业务”,信息安全团队主管对业务、信息系统和生产运维工作的了解掌握往往难以深入,因此继续升迁至部门负责人、CIO 的机会微乎其微。
在这种情况下,金融企业信息安全团队成员的职业规划空间就较为狭窄。通常是一部分人走安全管理路线,一部分人走安全技术路线,其中的脱颖而出者就走至安全团队负责人。因此,团队中拥有更大抱负的佼佼者,往往会想办法离开安全团队,走向更贴近业务、更贴近市场的开发、运行条线,以谋求更大的发展空间。
要解决信息安全团队的普遍“痛点”,需要从信息安全团队面临的企业宏观环境着手分析,从信息安全文化建设、信息安全团队意识建设、信息安全团队能力建设、信息安全绩效指标体系建设等几方面多管齐下,从而打造一个责任心强、有组织有纪律、富有战斗力的团队。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论