安全团队建设:
金融企业的信息安全管理是一项综合性极强的工作,既包括信息科技治理架构,信息科技合规建设,信息安全管理体系等安全管理类工作,又包括安全运营,安全攻防对抗,
安全态势感知等技术性工作。
1.安全团队建设的"痛点"
核心词就是"背锅"。
1.价值感和存在感缺乏
信息安全工作是后台中的后台。业务发展好的时候,信息科技工作往往并不会有很大的存在感,最多在"功劳簿"算上一笔(辅助作用)。
对于信息安全团队来说,如何体现对科技工作的价值,进而体现对业务的价值,是一个亟待解决的难题。
其次,信息安全工作,核心职能是"踩刹车",而不是"踩油门"。
再次,信息安全工作往往实施周期比较长。安全工具的实时,只是万里长征走完了第一步,后续的策略维护和日常运营,才是见功夫的时候,需要很长一段时间的细心检测,
数据分析和策略调优,才能发挥效果。
2.投入少,绩效衡量难
衡量开发工作的指标比较容易设置,例如,投产计划达成率,应用系统故障率等,甚至部门业务系统可以用新增客户数,新增用户数,存贷款量以及利润值等指标来衡量。
生产运行所必须的基础设施和稳定运行所必备的监控,审计等相关支撑类系统建设及维保服务,也让运维工作的投入可以占到一定的比例。通常可以用事件或故障数量,
运维工单数等来衡量运行工作的效率。
安全工作的价值难以量化和表现,没事情认为是运气好,没被人盯上。而一旦发生事情,可能一切就归零了。
另外,安全工作通常会被认为比较虚,难以直接到效果,往往只能具体到每个月或者每周做了什么。如做风险防控,做策略优化,做安全检查,做整改督办,但是领导只能看见
你在做检查,做整改督办,做安全工具的维护,而具体化解了多少个风险,堵住了多少次攻击,是运气好没被盯上还是自己篱笆扎得紧,却是难以评估的。
3.风险压力大
信息安全团队的天职就是化解风险。尽管信息安全工作一再强调"风险前移",但事实上绝大多数的风险,都是在事后才发现的。因此,信息安全人员很多时间都是在扮演"救火队员"。
4.综合性人才,专业人才稀缺
金融企业的信息安全人员,处理的信息安全问题大到信息科技治理,信息科技战略规划,小到具体的安全指标检测,安全事件处置,安全防控策略调优等。
5.职业规划前景不明,职业发展的"天花板"较低
一部分走安全管理,一部分走安全技术。
要解决信息安全团队的普遍"痛点",需要从信息安全团队面临的企业宏观环境着手分析,从信息安全文化建设,信息安全团队意识建设,信息安全团队能力建设,信息安全绩效指标体系
建设等几个方面多管齐下。
2.安全团队面临的宏观环境
信息安全团队的"痛点",也必须放在金融企业宏观环境这个大格局中。
1.信息安全团队要有独立的使命,愿景和价值观,但必须服从企业整体的使命,愿景和文化价值观
要建立一支具有优良作风和专业水平的信息安全团队,需要先确立团队自身的相对独立的使命,愿景和价值观,这是信息安全团队全体成员共同遵守的准则和纲领,必须惯窃到每一个信息
安全团队成员,并时常学习,互相提醒刷出"存在感"。
2.信息安全团队建设必须遵从金融企业战略需要
不管是采用哪一种使命,愿景和价值观,信息安全必须服从金融企业战略需要管理,为实现业务战略目标而存在,不能为了安全而安全。信息安全工作,永远都是在做效益和风险的平衡和博弈,
只能用尽可能小的代价,做尽可能少的事情,来实现相对价值最大的安全防护效果。
传统的做法,会选择相对稳健的业务战略风格,对信息科技架构,信息安全战略的要求也会相对传统,稳健,信息安全团队以合规,风险控制为目标,先期会将重点放在满足监管要求,部署传统
安全工具,防御外部攻击等工作上。
而现在的传统金融进入转型期,更侧重于云安全,大数据安全,物联网安全,人工智能安全等方面。
3.信息安全团队建设必须与企业风险偏好相适应
1.企业风险偏好与企业发展周期息息相关
根据企业生命周期理论,企业的发展与成长的动态轨迹包括发展,成长,成熟,衰退几个阶段,处于不同生命周期阶段的企业将会建立与其特点相适应,并能不断促其发展延续的特定组织结构
形式,使得企业可以从内部管理方面找到一个相对较优的模式来保持企业的发展能力,在每个生命周期阶段内充分发挥特色优势,进而延长企业的生命周期,帮助企业实现自身的可持续发展。不同
阶段的企业会有不同的风险偏好,也就意味着需要不同的信息安全建设目标和管控水平。
企业初期
企业成长
企业成熟期
企业衰退期
2.企业风险偏好,与企业的性质和管理风格相关
4.信息安全团队建设必须着眼未来,立足长远
3.安全团队文化建设
企业文化就是企业发展的DNA,信息安全团队的建设就是信息安全团队建设的DNA。文化建设就像一根纽带,把团队每一名成员个人价值观和奋斗目标,与团队的价值观和整体目标联系在一起,促使
每个成员产生强烈的归属感和荣誉感,最大程度的激发每个成员的积极性和创造性,从而促使他们发挥最大的主观能动性,创造出最大的价值,实现团队整体合力最大化。
金融企业信息安全团队的文化,必须针对金融企业信息安全工作普遍面临的问题点和"痛点",结合宏观环境而制定,必须取得团队的认同感,对团队成员有实实在在的凝聚和激励作用。信息安全团队
文化,必须遵守"仰望星空,脚踏实地"的原则,既要有相对宏伟,虚化的愿景性文化,也需要由相对微观,接地气的写实性文化。
1.格局为先
由于格局不一样,对目标的理解不一样,导致工作的出发点不一样,自身发挥出的潜力不一样,最后每个人的结局自然不一样。
高格局的效果:
1.指导团队在制定目标时,更具有大局观,脱离自己的"框框",打破自己的边界,看的更高,更远,更深。
2.指导团队再完成具体任务时,习惯性的"以始为终",凡是以目标为导向,在不能实现目标的时候及时调整方法,而非机械的执行规定的动作,最终导致目标"谬以千里"。
3.在团队遇到困难的时候,仍然保持坚韧不拔
4.带动团队开阔眼界,放开胸怀。
2.认同价值
信息安全团队没事的时候默默无闻,出事的时候首当其冲。信息安全的使命,本身就不是直接创造价值的。
3.专业自信
要构建自己的知识结构:
1.要有规划意识,构建信息安全的整体逻辑架构
2.要了解安全形势。
3.要了解整个金融行业和信息安全产业。
4.深入学习掌握专业知识
5.要多思考,多总结,多分析,形成逻辑框架和专业经验
6.要分清主次,抓住重点
要实现两个高于目标:高于领导的期望,高于领导的专业水平。
4.处处用心
用心在文化体现在很多方面:
1.每个团队成员,都要把团队的目标作为自己的目标
2.每个团队成员,都会自发的工作,主动把事情"做好"而非仅仅"做完"。领导考虑问题不一定非常全面,交代任务也不一定能事无巨细的讲透每一个细节,这时就需要每个团队成员主动思考,互相补位,
才可以形成强大的合力,推动目标更好的完成。
3.每个团队成员,碰到困难时会迎难而上,出现问题时则会共同当担。
5.养成习惯
习惯让我们下意识的行动,不用可以思考即可遵循规范行事。
1.计划的习惯
对于每件事情都定下自己的下一个目标时间点,并把它记在本人的工作计划表或者项目管理工具中,再每天/每周回顾计划表执行进展,就会不断提醒自己和别人,从而有条不紊,不遗漏的工作。
对于信息安全团队来说,计划主要分4类:
1.例行性工作
2.专项工作
3.安全整改类工作计划
4.突发性工作计划
无论是哪类计划,都需要明确完成时间,责任人,资源需求,配合工作方,工作提交件和完成标志等,然后纳入计划表中统一跟进直至最终"画上句号"。
2.敢于承若和遵守承若的习惯
金融企业信息安全团队的目的是防范和化解风险,为金融企业提供安全服务。信息团队必须敢于做出承若,并想办法严格遵守承若,树立"使命必达"的信念,才能博得领导或者其他团队的信任,
有利于开展工作。
3.高效处理邮件的习惯
1.关闭邮件的"即时提醒"功能,每天安排固定的时间处理邮件(例如,每个上午的固定时间,下班前的半小时等),其他大片的时间专注于处理其他的专项工作。也不用担心特急的工作,特急的工作一般打电话
2.对邮件要分类建立文件夹,如,
"已处理"文件夹,放置已经看过或者已经处理完且以后不需要再看的邮件
"待参阅",放置将来随时要执行的制度流程要求或者某些知识性的邮件
"待处理",放置自己要做且不能马上处理完,要制定后续计划的邮件,同时设置一条工作日历,提醒自己完成时间,并在计划管理工具上立即建立一条对应的任务
"委办",放置已经通知别人准备,自己到时候要查看结果的邮件,同时设置一条工作日历,提醒别人应该回复的时间
3.每封邮件只看一次,且当日事,当日毕。
4.总结和创建邮件模板
4.认证完成文档撰写的习惯
写文档要注意一下几点:
1.力求逻辑严密
逻辑清晰后,先列出工作提纲,再补充"血肉"。MECE,互相独立,完全穷尽。
2.注意阅读对象
3.避免低级错误
6.培养洁癖
4.安全团队意识建设
1.客户意识
我们的使命是什么?我们的客户是谁?我们的客户重视什么?我们的成果是什么?我们的计划是什么?
这些问题的答案,必须围绕一个核心来找寻,即"客户"。只有先识别客户,然后分析客户的需求,才能确定团队的使命,工作目标和工作成果,进而才能有工作计划。
金融行业客户分2类:
1.行外客户
2.行内客户
2.责任意识
3.风险意识
关于信息安全事故,风险,隐患的存在于发展,有几个重要的理论和法则:
1.冰山理论
2.海恩法则
3.墨菲定律
信息安全团队必须建立对风险的"敬畏之心",不能把安全防控重点放在风险事件发生之后的疲于奔命的应急位置,不应该总是承担"救火队员",而应该将风险前移,将工作重心放在事前预防,事中控制,
重点放在对尚未暴露的风险隐患的排查,发现和及时化解,做到未雨绸缪,心中有数,防患于未然。
4.创新意识
1,理念创新
2.制度创新
3.技术创新
5.学习意识
1.从信息安全团队负责人开始,就要从思想上提高认知,以身作则的学习。
2.要加强对员工的教育和引导,激发员工的主观能动性,实现从"要我学,要我做",到"我要学,我要做"。
3.推动从学习到生产的转化,鼓励员工切实把学习的内容消化
4.鼓励和营造团队内部互相交流和探讨的气氛。
6.沟通意识
1.通过沟通实现管理上级
如,信息安全工作是否与企业战略目标,信息科技战略目标保持一致,信息安全工作相关成本与效益的平衡点如何把控,信息安全投入和管控的重点在哪,都需要向信息科技部门的负责人,首席信息官,高管层,
董事会等做各种各样的沟通,方可确定。
为了更好的管理上级,几个小技巧:站在上级的角度去思考,用数字和事实说话,建立固定的沟通机制(包括时间,频率,汇报模板等),凡事带着解决方案去请示(说明各套方案的优缺点)等。
2.通过沟通横向协调和合作
3.通过沟通管理团队
信息安全团队沟通的意义在于:上级,平级,下级都是可以利用的资源。
5.安全团队能力建设
一个好团队的标准,可以采用"2个离开"来衡量:
1.团队成员要有能力离开,这就要求提升团队成员的知识和技能
2.团队成员不愿意离开,这就要求持续提升团队凝聚力和团队成员的价值观和归属感
信息安全团队建设能力,可以分为以下几个步骤:
1.确定团队的目标,找准主要目标,明确团队整体职责
2.根据资源情况,团队成员特点,将团队的整体职责进行梳理并细分为若干子团队的职责
3.根据职责分工,确定各团队成员的知识和技能需求,再根据团队的知识和技能背景,找出差距,制定有效的针对性的培养提升计划
4.掌握学习方法,实现事半功倍的效果
可以依次说明每个步骤的实践方法:
1.确定目标,找准主要矛盾
金融企业的信息安全工作目标通常分为:
1.安全管理类
2.安全技术类
第一类目标满足监管要求,合规性是对外经营的基础,必须优先保障制度流程的完善及操作过程的合规。
第二类目标一般通过部署本地的安全工具实现技术放款,再依托第三方专业机构的外包资源做渗透测试,漏洞扫描和日常的安全监测等。
2.梳理和细分团队的职能
1.信息安全管理职能
主要工作职责包括但不限于下面几项:
1.负责信息安全整体规划设计和计划管理
2.负责金融领域信息科技相关监管要求的达成
3.负责信息安全管理体系建设及维护工作
4.负责信息科技规章制度和流程的制定和优化完善
5.负责外部信息安全检查的组织和配合
6.负责信息科技内部风险检查和评估
7.负责其他部门和分支机构的信息安全工作
8.负责组织信息科技突发事件的应急处置
9.负责全辖安全团队建设和培训宣传
2.信息安全技术职能
通俗的讲,信息安全技术职能就是要通过技术措施,实现让攻击者"进不来,拿不走,打不开"的目标:
1.练内功
2.防外贼
主要工作职责包括但不限于以下几项:
1.负责制定企业级的信息安全技术规划和技术架构
2.负责组织制定和落实信息系统安全技术要求
3.负责信息安全基础设施和技术工具的建设和运维
4.负责安全漏洞检测和防护
5.负责组织开展信息系统安全等级保护工作
6.负责信息安全新技术的追踪研究
3.建立学习框架,提升知识和技能水平
学习框架主要包括三个方面:
1.安全管理类知识和技能
1.监管要求和行业组织标准
1.归档
2.学习
学习方法包括:
1.按单个监管要求展开纵向通读,对照本企业的情况排查差距
2.按照管理领域横向管理
3.结合安全检查和风险评估
2.信息安全管理体系建设标准
ISO27001 标准
3.已有的制度和流程
主要包括几个层级的制度:
1.企业级制度
2.其他部门的制度
3.信息科技部门相关制度
4.监管要求符合性分析和排查的技能
因此,监管要求符合性分析,分为以下2个层次:
1.企业内部制度是否符合监管要求
2.企业内的执行情况是否符合监管要求和制度规定
5.信息安全风险检查技能
信息安全风险检查,是指通过调研访谈,资料查验,现场核查和穿行测试等方法,评估当前信息安全管理和技术控制的合规性,充分性和有效性,发现存在的信息安全风控,
针对发现的风险提出整改要求并监督实施的风险防范及控制过程。信息安全风险检查,检查只是手段,"以查促改","以查促防"才是最终目的。
信息安全风险检查分为
1.自查
2.现场检查
3.非现场检查
4.飞行检查等多种方式
信息安全风险检查过程包括:
1.检查准备
2.检查实施
3.检查报告
4.后续整改
5.总结
6.信息安全风险监测技能
信息安全风险监测采取以下步骤展开:
1.选取监测指标
2.数据采集
3.指标应用
4.指标维护
7.应对内外部审计和检查的技能
1.换位思考,提前预演
2.资料提交必须真实,完整,准确
3.要安排合适的人,说合适的话
2.安全技术类知识和技能
1.物理环境安全
2.网络安全
3.系统安全
4.应用安全
5.数据安全
6.终端安全
7.开发安全
8.运维安全
9.安全防护工具
10.渗透测试
11.安全新技术
12.新技术安全
3.其他补充知识
1.掌握一些业务方面的知识
2.掌握沟通,协调和关系处理的软技能
4.掌握学习方法,实现事半功倍的效果
1.安全管理类知识
1.把书读薄
第一步,建立基本原则。分清楚什么样的规矩必须全文吃透,什么样的规矩掌握梗概即可,什么样的规矩只需要掌握其中的关键条款。
第二步,区分精读和细读。对上面第一种情况精读,第二种情况粗读,第三种情况部分分粗读,部分精读。
第三步,形成"知识地图"。把规矩中的要点摘记下来,在脑中形成一张"知识地图",或者利用一些脑图工具实现记录,需要用到的时候可以在"知识地图"
中快速检索。这样就实现了"读薄"的效果。
2.把书读厚
主要办法是结合本企业的实际,要求和分析监管要求在本企业的应用落地情况。常见的一种方式是,对照"知识地图"中各领域的要求,逐条分析企业的制度
是否对监管要求进行了转化,以及实际操作流程是否严格执行了监管要求和制度规定。这样就可以将监管要求中的概述描述,转化为企业内细化的规定和流程制度,
既可以实现对监管要求更深入,更全面,更细致的理解,又可以使企业流程更加标准化,规范化,精细化。
3.把书再次读薄
主要方法就是在发现本企业与监管要求之间的"缺口"后,分析归纳出主要整改方向和整改要点,把主要的精力和资源放到解决这些问题上,制定整改计划,将
短板补齐,逐步让"缺口"越来越小,需要关注的重点也就越来越少。
2.安全技术类知识的学习方法
学习的4个境界:
1.不知道不知道
2.知道不知道
3.知道知道
4.不知道知道
6.安全团队的建设路径
1.先找好"唐僧"
2.通过招聘补充成员
3.形成团队"合力"
4.循序渐进的成长
金融企业的信息安全团队,都是从0开始,兼职,一个人专职,二个人专职,三个人到N个人专职。
1.兼职的信息安全
2.一个人的信息安全
3.两个人的信息安全
4.三个人的信息安全
5.N个人的信息安全
6.提升人员单位产出:"安全管理技术化,安全技术管理控"
1.安全管理技术化
2.安全技术管理控
7.安全人员职业规划
8.安全团队与其他团队的关系处理
1.基本原则
1.冲突不可避免,但目标必须一致
2.不得罪的信息安全团队,不是好的信息安全团队;把全天下人得罪光的信息安全团队,也不是好的信息安全团队
3.君子和而不同,小人同而不和
4.风险管理必须以促进业务发展而非阻碍业务发展为目标
2.安全团队关系管理
1.安全与开发
2.安全与运维
3.安全与科技管理
4.安全与业务
5.安全与外包
6.安全与监管
安全团队建设: