- 对本书的赞誉
- 序一
- 序二
- 序三
- 前言
- 第一部分 安全架构
- 第 1 章 企业信息安全建设简介
- 第 2 章 金融行业的信息安全
- 第 3 章 安全规划
- 第 4 章 内控合规管理
- 第 5 章 安全团队建设
- 第 6 章 安全培训
- 第 7 章 外包安全管理
- 第 8 章 安全考核
- 第 9 章 安全认证
- 第 10 章 安全预算、总结与汇报
- 第二部分 安全技术实战
- 第 11 章 互联网应用安全
- 第 12 章 移动应用安全
- 第 13 章 企业内网安全
- 第 14 章 数据安全
- 第 15 章 业务安全
- 第 16 章 邮件安全
- 第 17 章 活动目录安全
- 第 18 章 安全热点解决方案
- 第 19 章 安全检测
- 第 20 章 安全运营
- 第 21 章 安全运营中心
- 第 22 章 安全资产管理和矩阵式监控
- 第 23 章 应急响应
- 第 24 章 安全趋势和安全从业者的未来
- 附录
5.3 安全团队文化建设
“企业文化就是企业发展的 DNA”,信息安全团队文化建设就是信息安全团队建设的 DNA。文化建设就像一根纽带,把团队每一名成员的个人价值观和奋斗目标,与团队的价值观和整体目标紧密联系在一起,促使每个成员产生强烈的归属感和荣誉感,最大程度地激发每个成员的积极性和创造性,从而使他们能发挥最大的主观能动性,创造出最大的价值,实现团队整体合力最大化。
金融企业信息安全团队的文化,必须针对金融企业信息安全工作普遍面临的问题点和“痛点”,结合宏观环境而制定,必须取得团队的认同感,对团队成员有实实在在的凝聚和激励作用。信息安全团队文化,需要遵循“仰望星空,脚踏实地”的原则,既要有相对宏伟、虚化的愿景性文化,也需要有相对微观、接地气的写实性文化。虽然不同的信息安全团队会基于各自的特点来开展文化建设,但以下几点“普适性”的文化,可供信息安全文化建设时参考。
1.格局为先
在西方,这样一个故事广为流传:三个泥水匠同时盖一座教堂。有人问了这三个人同样的两个问题:
·为什么干这个工作?
·你干的是什么样的工作?
第一个人愁眉苦脸地回答说:“还能为什么?不干活就没有面包吃!不就是把这堵墙砌好吗?还能是什么工作?”
第二个人面无表情地说:“我是干泥水匠的,这是我的职业,我已经干 20 年了,这个城市几乎每间房子我都知道是怎么盖起来的。”
第三位泥水匠面带微笑地回答:“我当然知道为什么干这工作,我正在盖这个城里最大的一座教堂,而且我是在盖教堂的正门部分,这是多么重要,以后每个来做礼拜的人都会看到我做的工作。”
相信很多人都听说过这个故事,也都知道这个故事其实到这里并没有讲完。很多讲故事的人会接着讲这三个人后来的人生成就相差之大:十年之后,第一个泥水匠手艺毫无长进,被老板炒了鱿鱼;第二个泥水匠勉强保住了自己的饭碗,但只是普普通通的泥水匠;第三个泥水匠却成了著名的建筑师。
这三个泥水匠的根本差别在哪里?大家都知道,最主要的差别绝对不是做泥水匠的经验或者技能,而是在于格局。第三个泥水匠的格局显然比前面两个泥水匠要大很多,所以他看到的不是眼前的一砖一瓦,而是未来大教堂的宏伟蓝图。由于格局不一样,对目标的理解不一样,导致工作的出发点不一样,自身能发挥出的潜力不一样,最后每个人的结局自然也不一样。
作为信息安全从业人员,也同样需要提升自己的格局,方可成就一番事业。对于每天从事的工作,我们也有三种选择:一是把它看作养家糊口、不得已而为之的生计,“做一天和尚撞一天钟”;二是把它看作一项赖以生存的职业,只顾做好眼前的具体工作,“不求有功、但求无过”;三是看到它对企业战略落地、业务发展、科技工作、内外部客户保驾护航的重要价值,发自内心地热爱,充满激情地努力,“呕心沥血,孜孜以求”,最终推动价值的落地实现。显然,我们必须选择第三种。因为格局不一样,所以思考目标的时候,会把个人工作和企业目标关联起来,从企业价值的角度看待自己的发展。
格局不同,境界不同,达到的效果自然大相径庭。上述第三种格局,能让我们实现以下的效果:
·指导团队在制订目标时,更具有大局观,脱离自己的“框框”,打破自己的边界,看得更高、更远、更深。
·指导团队在完成具体任务时,习惯性地“以终为始”,凡事以目标为导向,在不能实现目标的时候及时调整方法,而非机械地执行规定动作,最终导致目标“谬以千里”。
·在团队遇到困难的时候,仍然保持坚忍不拔,在遭受非难的时候,仍然坚持砥砺前行,不因环境不利而消极抱怨,不因能力不足而妄自菲薄。
·在与其他团队协作的时候,以大集体、大团队的目标为先,突破小团队的局限,从而更好地互惠合作,实现企业的整体目标。
·带动团队开阔眼界,放开胸怀,多经历、多吸收、多学习,想办法多走出去,与同业、对手、合作伙伴更多地交流,吐故纳新,扬长避短,从而推动格局和视野的螺旋上升,形成良性循环。
2.认同价值
信息安全团队通常都自嘲为“背锅侠”,功劳没有,苦劳一堆,没事的时候默默无闻,出事的时候首当其冲。当然,这是信息安全工作的“宿命”,作为信息安全团队的一员,必须首先从心底接受这一点,必须“认命”,因为信息安全的使命,本身就不是直接创造价值的。
因此,信息安全团队必须要树立良好的心态,从心底认同自己在金融企业中的价值,并且为了实现自己的价值而孜孜不倦。这样就不会完全被外界的评价而左右,才能尊重自己内心的呼唤,踏踏实实地做好基础性的工作,不好高骛远,不贪多求快。
大家都要认识到,信息安全团队的价值可以体现在很多个层面:
一是从国家、社会的宏观层面来讲,成立了网络安全和信息化领导小组,发布了《网络安全法》,说明在国家层面对于网络安全和信息安全的高度重视和极大关注,网络安全已经成为关系到国计民生的大事。网络技术除了给人们的生活带来种种方便外,同时也为网络上的攻击、诈骗、侵权、窃密等事件,以及网络上的造谣传谣、涉黄赌毒乃至利用网络传播暴力恐怖有害信息等等提供了便利条件。网络攻击和网络窃密事件层出不穷,匿名者(Anonymous)、蜥蜴小组(LIZARD SQUAD)等黑客组织对商业机构的攻击时有发生,社会上的黑产黑客时刻虎视眈眈,都给国家和社会造成了很大的威胁。
一方面,金融是现代经济的核心,中国作为世界第二大经济体和重要的金融大国,金融安全是国家安全的重要组成部分。另一方面,金融与社会上的每个人息息相关,金融安全事关每个人“钱袋子”的安全,是社会稳定的重要保障。因此,金融企业的信息安全团队背负着极其重要的使命,必须时刻警惕、厉兵秣马、未雨绸缪,坚守岗位,为国家和社会的稳定贡献自己的力量。
二是从行业、企业的微观层面来讲,信息系统运行的稳定性直接关系到企业金融服务的稳定性,客户信息泄漏及其引发的网络诈骗事件可能造成资金的直接损失,如果出现网络攻击事件,可能引发客户的恐慌,导致舆情的风险,危害是极其严重的。
信息安全团队通过自己的努力,保障信息科技工作的合法合规,保障信息系统的稳定运行,保障业务服务的连续和安全,保障客户的信息不被泄露,保护客户资金不遭受损失,维护金融企业的声誉。以上这些虽然不直接创造利润,但通过“合规创造价值”“安全保障创新”等保驾护航的手段,信息安全团队同样可以取得骄人的成绩,可以获得内外部客户的认可。作为信息安全团队的一员,既可以有很多的“小确幸”,也可以实现“大成就”。
3.专业自信
金融企业的信息安全是一项涉及面很广但同时专业性很强的工作,保持专业水准,是信息安全团队自信的来源,是团队核心竞争力不可替代性的体现。因此,信息安全团队应该时刻思考,如何提升自己的专业能力,如何建立对工作、对自己的信心,满怀激情地将工作做到极致,才能使团队的价值最大化。
信息安全专业自信,不是盲目自大,首先必须要有真材实料,应该对整个安全形势有自己的判断,其次对信息安全行业和市场要有足够的了解。应该建立自己的知识结构:
·要有规划意识,构建信息安全的整体逻辑架构。信息安全涉及范围非常广泛,有宏观也有微观,有横向也有纵向,有管理也有技术,信息安全团队要明确自己的规划边界,思考如何建立一个合理的安全架构。
·要了解安全形势。从国际安全形势、国家安全政策、国内安全动态、安全监管方向、金融安全态势等角度出发,了解最新的安全趋势,方可及时调整自己的工作重点和风险防范重点。时刻把自己的工作代入到宏观大环境中思考,就可以跳出局限性的思维框架,更好地把握和防控关键风险。
·要了解整个金融行业和信息安全产业。一方面,要了解金融行业的监管政策、业务趋势、业务风险,思考信息安全工作如何围绕行业要求开展;另一方面,要了解信息安全垂直行业,对于行业的发展趋势、前沿技术要持续学习,才能为我所用。此外,还需要知道金融同业的安全防控情况,客户最关心的风险等,确保工作有的放矢。
·要深入学习掌握专业知识。攻击手段的不断进化推动了防御手段的持续调整,导致信息安全技术演进和发展很快,信息安全团队需要不断地吸收专业知识,时刻保持自己对最新的政策文件、攻防技术都心中有数。
·要多思考、多总结、多分析,形成逻辑框架和专业经验。需要摒弃被动的吸收,多一些主动的思考和沉淀,形成自己的专业逻辑框架,在框架内发现自己的短板,有针对性地补充新的知识,才能在专业的深度和广度上走得更远。
·要分清主次,抓住重点。金融企业信息安全面临的风险是非常多的,要力图解决每一个问题是不现实的,资源也不可能无限制投入。因此,要提高对关键风险、重要问题的判断能力,针对关键风险和重要问题要深入理解,多想多问为什么,思考每个问题背后的意义,深究每个风险背后的原因,各个击破,力求化解,切忌不求甚解、囫囵吞枣。如此以点带面,才能逐步提高整体专业水平。
综上所述,信息安全团队必须打造专业自信的文化,不给自己设框设限,要逃离自己的舒适区,开创更为广阔的天地。要对自己有严格的要求,实现两个“高于”的目标:高于领导的期望,高于领导的专业水平。
4.处处用心
稻盛和夫在《活法》一书中,提到过这样一个故事:
他年轻的时候听过松下幸之助的一个演讲,松下幸之助演讲的内容是经营企业应该像水库蓄水一样,景气时要为不景气时做好准备,一定要保留一个后备力量。
那时松下幸之助的事业也刚刚起步,远没有后来的声望,很多人听了演讲之后,都不怎么满意。因为他们希望听到的是怎么让企业成功的经验,而不是企业如何在取得一定成功后做什么准备的话。因此,有人说:“说些什么呢?不正因为没有储备,大家才每天挥汗如雨,恶战苦斗的吗……我们想听的是如何去建造这个水库,而你再三强调水库的重要性,这有什么用呢?”有一个男士站起来质问:“如果能进行水库式管理当然好,但是,现实上不能。若不能告诉我们如何才可以进行水库式的经营,那不是白说吗?”
松下幸之助这时有些无奈,他停了一下说:“那种办法我也不知道,但我们必须要有不建水库就誓不罢休的决心。”
许多人哄堂大笑,但稻盛和夫却很有收获,并把这种不建水库就誓不罢休的决心应用到创业中,也许正是这种誓不罢休的精神,才有了他的成功。
从这个故事中,我们可以看到,一个“用心”的文化多么重要。只有先有“心”,才能把一切事情做好;只要有了“心”,就可以把一切事情做好。
对于信息安全团队来说,也必须先“用心”。“用心”的文化体现在很多方面:
·每个团队成员,都要把团队的目标作为自己的目标,凡事从目标出发,不停地思考实现目标的方法,寻找各种对策来实现目标。例如,信息安全团队的目标是发现并化解信息科技风险,一旦树立了这个目标,就会通过各种检查、整改等管理手段,以及各种各样的安全技术防控手段来提前发现风险,并采取各种降低、规避、转移的方式来化解风险。
·每个团队成员,都会自发地工作,主动把事情“做好”而非仅仅“做完”。团队领导考虑问题不一定非常全面,交代任务时也不一定能事无巨细地讲透每一个细节,这时就需要每个团队成员主动思考、互相补位,才可以形成强大的合力,推动目标更好地达成。
·每个团员成员,碰到困难时会迎难而上,出现问题时则会共同担当。由于大家都是非常用心地工作,在出现困难时,大家会一起想办法克服,用各种各样的手段去化解困难。
如稻盛和夫先生所说,“人哪里需要远离凡尘?工作场就是修炼精神的最佳场所,工作本身就是一种修行。只要每天努力工作,培养崇高的人格,美好人生也将唾手可得”。如果信息安全团队的每一个成员,都把工作当作一种修行,认真对待工作,就可以把事情做到完美,让别人放心,这是一个很可贵的品质。对于团队来说,如果每个人都非常“用心”地工作,那将是团队的一笔宝贵财富。
5.养成习惯
在《习惯:习惯的力量》一书中提到,“没有什么比习惯的力量更强大”。习惯让我们“下意识”地行动,不用刻意思考即可遵循规范行事;让我们减少了考虑时间,简化了行动步骤,从而更有效率。
养成好的习惯远比具体完成任何一项工作都要重要。对于信息安全团队来说,需要养成以下几个好习惯:
一是计划的习惯。在工作中经常会碰到这样的情况,有些同事任务没有完成,当问及原因时,往往是“忘记了”或者“太忙了”。但怎样做到不忘记?最好的方法就是制订计划。每个人接到每项任务后的第一件事情就是制订计划,凡事必有计划,区别只是在于计划时间点的数量和时间的长短。“好记性不如烂笔头”,对每件事情都定下自己的下一个目标时间点,并把它记在本人的工作计划表或项目管理工具中,再每天/每周回顾计划表执行进展,就会不断提醒自己和别人,从而有条不紊、不遗漏地完成工作任务。
对于信息安全团队来说,计划主要分成四大类:
·例行性工作计划,例如,监管要求、制度要求中规定每天/每周/每月/每季/每年必须完成的工作任务。对于这类任务,需要在接收到监管要求后或者制度制定后就马上列入计划表,每年初回顾一下,是否需要根据监管要求或者制度规定对例行任务进行相应调整。
·专项工作计划,例如,某个信息安全技术实施项目(部署 WAF、安全大数据分析项目等),或者某项安全管理类工作(通过 ISO27001 认证、制定××制度等),这些工作需要在每年初就确定工作目标,安排相应的预算和人力资源,并列入部门整体工作计划中。
·安全整改类工作计划,是针对在日常监管检查、审计或合规检查、风险评估、安全检查等工作中发现的风险的处置工作计划,这些计划需要在检查结果确认后马上制订对应的整改方案和完成时间表。
·突发性工作计划,例如,新颁发的监管要求需立即组织对照排查并提交报告;外部新披露的风险漏洞需对照检查和整改等,这些往往属于“重要而且紧急”的工作任务,在收到后需要第一时间明确完成的目标要求、需要调动的各方资源等,并立即推进完成。
无论是哪类计划,都需要明确完成时间、责任人、资源需求、配合工作方、工作提交件和完成标志等,然后纳入计划表中统一跟进直至最终“画上句号”。
二是敢于承诺和遵守承诺的习惯。金融企业信息安全团队的目标是防范和化解风险,为金融企业提供安全服务。信息安全团队必须敢于做出承诺,并想尽办法严格遵守承诺,树立“使命必达”的信念,才能博得领导或者其他团队的信任,有利于工作的开展。
·面对监管机构或者审计、风险、合规等部门发现的问题,信息安全团队要敢于代表信息科技部门给出限时整改的承诺。
·面对领导或其他团队给出的工作要求,要敢于承诺完成时间和目标,并不折不扣地达成目标。
·对于信息安全团队检查发现的问题,要敢于督促其他团队制订整改计划并给出完成计划的承诺,监督承诺的执行。
三是高效处理邮件的习惯。信息安全工作与很多工作都有关联,每个人每天都会收到大量的邮件,其中有些是阅知即可的,有些是要重点看并执行的,有些是收到后立即要处理的,有些是要花些时间才能完成处理的。人们每天都要花很多的时间来处理邮件,既导致时间碎片化而降低效率,又可能出现因邮件太多而使重要邮件没有及时处理。怎样才能高效地处理邮件,确保不遗漏待办事项,有几个小技巧可以参考:
·关闭邮件的“即时提醒”功能,每天安排固定的时间处理邮件(例如,每个上午的固定时间,下班前的半小时等),其他大片的时间专注于处理其他的专项工作。这样可以避免自己的工作思路总是被突如其来的邮件打断,保持专注力,从而提高工作效率。不用担心错过“特急”的工作任务,因为对于特急的事项都会通过电话提醒,这是一个大多数人都会遵守的职场习惯。
·对邮件要分类建立文件夹,例如,“已处理”文件夹,放置已经看过或已经处理完且以后不需要再看的邮件;“待参阅”文件夹,放置将来随时要执行的制度流程要求或者某些知识性的邮件,并将邮件标题修改为关键字的索引,方便今后查找和翻阅;“待处理”文件夹,放置自己要做且不能马上处理完、要制订后续计划的邮件,同时立即设置一条工作日历,提醒自己完成时间,并且在计划管理工具上立即建立一条对应任务,制订计划;“委办”文件夹,放置已经通知别人准备、自己到时候看结果的邮件,同时立即设置一条工作日历,提醒别人应该回复的时间,如果没有按时收到回复则立即督办。按照上述分类邮件后,收件箱中的内容就会变得很少,待办事项如果没处理完就会一直放着,每天下班前检索一次,不易遗漏。
·每封邮件只看一次,且当日事当日毕。很多人邮箱里积累着成百上千封的未读邮件,“冰冻三尺,非一日之寒”,这些绝对不是一夜之间堆积起来的,而是对待邮件“拖延症”的后果。如果总是想着“有时间再来处理”,那些没有读过的邮件就会永远在邮箱中保留下来。因此,每封邮件打开后都要马上处理,做出立即行动、转发他人完成、转成工作计划、阅知即可等判断,并且尽力在结束一天工作的时候,实现收件箱里空空如也的目标,确保当天的所有邮件都被妥当处理。这不是一个容易养成的习惯,但是却会带来极高的工作效率,以及每天下班后的踏实感。
·总结和创建邮件模板。根据信息安全工作性质,总结出若干个常用邮件模板,可以提高效率,避免重复劳动。例如,安全检查结果通报、安全整改工作督办、发现漏洞情况通报等,都可以积累形成模板。建立好模板库后,今后类似工作都可以从中搜索出结构相近、可重复利用的内容,大大缩短邮件创建的时间。
四是认真完成文档撰写的习惯。信息安全团队工作任务中很大一部分是“写报告”,如提交给监管机构的安全自查报告、提交给管理层的风险排查报告、提交给审计或合规部门的整改工作报告等,所以文档撰写能力非常重要。文档撰写要注意以下几点:
·力求逻辑严密。文字功底不是一朝一夕可以练就,但工作文档的逻辑却是有章可循的,可以通过技巧来实现“速成”。在文档撰写前必须先思考,用什么样的逻辑才能够清楚表达自己的思想,展现自己的工作成果;逻辑清晰后,先列出工作提纲,再补充“血肉”。麦肯锡国际管理咨询公司的咨询顾问巴巴拉·明托(Barbara Minto)编著的《金字塔原理》一书,对于文档的逻辑给出了非常好的定义和方法论的指导,其中特别提出 MECE(Mutually Exclusive Collectively Exhaustive)的原则,中文意思是“相互独立,完全穷尽”,也就是对于一个重大的议题,要做到不重叠、不遗漏的分类,而且能够把握住问题的核心和关键点,非常值得在工作中参考借鉴。
·注意阅读对象。每一份文档、报告在构思和落笔前,先要问自己几个问题—文档的阅读对象是谁?需要让他/她关注或记住的几个要点是什么?需要他/她解决的问题是什么?信息安全团队报告的对象包括监管机构、行内董事会或高管层、审计或合规部门、部门领导、其他兄弟团队等,对于不同的阅读对象,信息披露的范围、风险描述的程度和方式都不一样,是“报告”还是“请示”,是“报喜”还是“报忧”,是要让对方对风险状况“放心”还是对风险严重程度引起“重视”,是要单刀直入讲问题还是先铺垫背景等,这些决定了行文的口气、内容选择、文档结构组织方式等关键要素,需要针对阅读对象以及想要解决的问题来组织逻辑和语言。
·避免低级错误。这是最容易犯的毛病,在日常工作中,大家总是会出现标点符号错误、错别字、语句不通顺、附件版本错等看似“低级”的错误,很多人都不重视,认为就是粗心而已,不影响大局。其实不然。所谓“见微知著”,细节做不好,反映的是态度有问题。试想,如果信息安全团队交出来的安全检查报告错字连篇,那安全检查本身,能让人相信是踏踏实实认认真真做的吗,质量和效果能得到保证吗?因此,需要养成习惯,每次邮件发出前或者提交文档前,自己从头到尾通读一遍,看看有没有错别字或用错的标点符号,语句是否通顺,邮件标题是否符合标准,附件是否是修改后的最终版本等。
综上,只要养成良好的工作习惯,脚踏实地、求真务实地做好当下的每一件事情,戒骄戒躁,把每一步的基础都夯实了,结果自然会水到渠成。
6.培养洁癖
长期从事信息安全工作的人,由于与病毒、木马、漏洞、风险等经常打交道,会存在“职业病”,看到某些不合规、有风险的地方就会极其敏感、周身不自在。
例如,在工作中经常存在以下合规方面的错误意识:
·只要主观意愿和出发点是好的,违规一两次也情有可原。
·心存侥幸,不严格按照制度和操作规程一步步操作,而是认为只要没有被发现就算过关。
·以前都是这样做的,照做就是了,不用管合规不合规。
·效率至上,片面追求“快”,把事情做完就好,不合规也没关系。
·人情代替制度,领导要求的、其他兄弟团队想知道的、其他部门想知道的,即使制度不允许,告诉他们也没有关系。
·只要不违反大的制度流程就行了,个别的小细节没做到位也不算违规。
·个别流程找不到书面流程作为依据,那自己想怎么做就怎么做。
·虽然违反了制度流程要求,但是没有给企业造成损失,或者反而还帮企业节省了成本或费用,这种做法不违规。
上述现象,对于很多金融企业都是常见情况,对于很多人来说都习以为常,但对于“有洁癖”的安全团队来说,是不可容忍的,他们对上述情况会有很强的风险敏感性,会习惯性地对这些不合规的现象刨根究底、决不轻易放过。正是这种对每一个环节每一个细节都要求出色、完美,不忽视任何一个违规细节的习惯,才是信息安全团队的专业素养之一,才让信息安全团队与众不同,才让信息安全团队履行自己的使命和职责,尽全力去维护一个合规、干净的企业安全环境。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论