查看原文
其他

从《西游记》到甲方安全管理之路(前篇)

2016-05-11 谢涛 安在



四大古典名著中,文学地位最高的是《红楼梦》,流传最广的该是《三国演义》,被禁最多的是《水浒传》,而《西游记》呢,却是最有趣的。

《迅全集-集外集拾遗补编•小引》中鲁迅先生评价《红楼梦》说道:“经学家看见《易》,道学家看见淫,才子看见缠绵,革命家看见排满,流言家看见宫闱秘事…”。

 

借此文体,个人看《西游记》是:“史学家看见大唐西扩,宗教学家看见佛兴道衰,小说家看见神魔鬼怪,文学家看见微言大义,政治家看见阶级矛盾,企业家看见江湖险恶,民众看见唯有齐天大圣…”。

我们既不是什么史学家、小说家,也不是什么文学家、政治家。那么,作为搞安全的我们,看见的是什么?

看见的是“九九八十一难”,一条堪比西游的甲方安全管理进阶之路。

 

首先来最初始的时候。曾几何时,当国家大力推动信息化,喊出“没有信息化就没有现代化”的口号之时,信息安全(当时该称为网络安全)还是个咿呀学语的婴儿,少数的有识之士或因个人兴趣,或因使命感,成为了第一批布道者(例如Frankie、PP、Xundi、GoodwellTK、张耀疆、BenJurry等我的偶像们)。然而,没有顶层设计,没有政策扶持,没有资金投入,甲方对安全的漠视让安全行业蹒跚前行,甲方安全管理有如第一难“金蝉被贬”,被边缘化了好一阵子。

庆幸的是,随着互联网的飞速发展,黑客和网络攻击变得频繁了,造成的影响也越来越大了。比如01年的中美黑客大战,03年的“冲击波”病毒、06年的“熊猫烧香”病毒等,给正在大跃进式推进信息化的政府和企业们当头一棒,信息安全也终于进入甲方决策者的视线,许多甲方开始设立安全管理岗位,第一批甲方安全管理人员踏上了历史舞台。其中的经历,不亚于唐僧在开始取经前的坎坷(第二难到第四难)。

然而,直到今日,仍有不少甲方还没走完前四难,将安全与运维混为一谈,认为搞安全完全没必要,没有专职岗位,没有专项投入,IT网络千疮百孔,一被攻击就被打成筛子。



可以说,前四难中,搞甲方安全管理首要解决的是有无的问题。

走完了第四难,许多甲方安全管理人员,尤其是那些独自一人担负全部安全重任(这类情况至今都数不胜数)的,就碰到了第五到第七难。

这两难是唐僧从离开长安到收孙悟空为徒之间发生的。类比到甲方的安全管理历程,可以看做是有无之后的第一道坑:能力初始化问题。

我们知道,要做成任何事情,尤其是安全管理这种复杂活,必然都有个循序渐进的过程,需要积累。在初期,重视不够,人手不够,投入不够,管理混乱等问题是必然绕不过去的坎。

仅仅依靠有限的防护设备(最多见的就是防火墙和IDS,甚至很多时候连IDS都没有),有限的人力(初期大多数都是一个人,稍好点就是配两个弱鸡外行帮忙,再好点就是运维兼职帮忙),要想在虎狼环伺的攻防态势下达到领导们想要的“绝对安全”(这个必须吐槽,生产安全都做不到绝对,网络安全咋有可能!),Mission Impossible!

不过,再难做也得做。处于这一阶段的甲方管理人员需要的是顶住压力,切勿好高骛远,快速适应环境,专心致志解决眼前问题,尽早实现能力初始化。没人就得自己不断学习进步,争当“一个顶仨”的大牛;没钱就得学会当管家婆,一分钱掰成两分用,或是学会善用开源;不受重视就得学会职场哲学,该吵时吵,该哭时哭,该妥协时妥协,该背锅时背锅。再加上自己相识的一两个大牛(有如救命的太白金星和伯钦)在关键时刻出手相助,却是能度一难是一难,就等丑媳妇熬成婆。

(话说,现在行业内不少甲方出身的大牛,进阶之路应该都是大致如此。)



这就是在第二个坑:如何在单兵作战,缺兵少粮的情况下,实现安全管理能力的初始化。在这一阶段,甲方的安全管理就是救火队长的角色。

熬着熬着,有一天,上面的BOSS或是企业做大了开心的,或是看你太苦逼后良心发现,或是被你春风化雨般的哭闹精神所感化,或是看到别人家的安全如何的好,或是被政府或行业的安全合规要求强压着(貌似后两种情况最多……),终于舍得在原有基础上再给你追加投入,要求你切实做好安全保障工作。

救火队长终于熬成了警察局长,但这时,就会碰到继能力初始化后的第三个坑:团队建设问题。

说起团队建设,做过管理的过来人都是“一把鼻涕一把泪”。在我十余年的安全行业经历中,不止一个甲方安全团队负责人和我说起过,最难不过组团队,最怕不过要管人。

团队建设中第一道坎,怎么招人?

我们来看看唐僧的招人哲学,有些意思。(《西游记》中直到第十六难才完成招人大计。)

《西游记》中,唐僧第一批徒弟,是太宗指派给他的两个从者,连名字都没有,出场不到一千字就被寅将军这种小BOSS吃了。从招人的途径而言,指派的从者就好比BOSS指派两个外行来协助你,或是不懂行的HR从鱼龙混杂的招聘网站上给你约来的水货一般,帮助不大,还占名额,不要也罢。

因此,在两名从者除名后,唐僧在双叉岭碰到伯钦时,在见识到他杀虎本领和不坏的本性后,发出了招人邀请。虽然未能成功,却说明,较为有效的招人途径,可以从打过交道的业内同行中下手。此类人才知根知底,又具备不错的专业素养。虽非大牛,但来了就能快速上手,称得上是好帮手。不过,这类人才大多都有稳定的工作,轻易不会挪窝。这时,就需要晓之以情,动之以理,许之以利。说白了,要学会画饼。

唐僧招募伯钦失败,就是因为没经验,只会哭诉,不会画饼,不会和他畅谈取经是多么高大上有成就的事,不会诱惑他取经成功后会有成仙成佛的待遇。

再看下去,孙悟空的加入,是唐僧取经团的重大突破。孙悟空可以看作是取经团安保大队的支柱,唐僧最得力的手下,没有之一。孙悟空就好比一名高水平的安全专业人才(俗称大牛)。



然而,大牛的招募可不是唐僧能搞定的事,得有更高层的如来和观音出马。

因此,唐僧第三个招人哲学,借助高层的人脉和资源,去招募牛人加盟,构建团队的核心骨干。

说到这里谈个题外话。随着安全行业越来越火,招募一个知名大牛的代价越来越高,也引起了关于安全行业人才价值是否虚高的讨论。不得不提的是,不管这个价值是否虚高,我们不能否认的是,高水平专业人才在关键时刻的价值,就有如孙悟空之于唐僧一般,是再多的八戒和沙僧都无法替代的。

招到了骨干,并不代表着完事了。骨干的作用是攻坚克难,发挥关键作用,而不是招来帮你配个防火墙,搞个服务器策略配置。但是,配防火墙、配系统策略这事,骨干不做,总得人做吧,这就得招其他从事基础性工作的辅助人才。

对于辅助人才的招募,唐僧取经团主要通过以下两种方式。

第一种是骨干大牛在乙方和其他甲方中的人脉。骨干大牛混迹江湖多年,人脉广,资源多,漫天神佛认识不少,总能找到路子从乙方服务人员或其他甲方中直接出马帮你挖来合适的人,至不济也有相当的路子帮你拓宽招募渠道。

第二种是从对手中招募。无论是八戒沙僧,还是小白龙,在未过门之前都可算是对手。类比到安全管理领域,从黑客中招募一些有心从良、改邪归正的,经过考察认定合格后,也不失为一个好的选择。

 

谈完招人,接下来就是团队建设的第二道坎:权责定位。

权责定位说起来复杂,做起来也复杂,不过关键只有三点:第一是清晰明确,各司其职,第二是因岗配人,切勿因人设岗,第三是知人善用,善用长处。

先说第一点。从《西游记》中看,有不少次劫难都是因孙悟空跑去化缘,给妖怪们钻了空子所导致的。这点上,我们要严重批评唐僧同事在权责定位不够清晰的问题。因此,谁做什么事,做这事有什么权力,有什么责任,这个在团队建设初期就必须考虑好,并且根据实际情况进行动态调整。

再说第二点和第三点。看过《西游记》的人大多会有个感觉,孙悟空可以打大怪搬救兵,沙僧可以挑挑胆子打小怪,连白龙马都可以驮人驮行李,只有猪八戒全盘基本酱油,插科打诨,还惹不少麻烦。但是没办法,取经团是典型的因人设岗。

甲方的安全管理团队需要注意的是,即使短期没办法只能因人设岗,也要慢慢地向因岗配人转变。对于合适自己岗位的人,要知人善用,给予充分信任。对无明确定位的人,可以先给机会让他适应你设置的岗位,适应不了再想他法(职场哲学这时候就可以用起来了)。

切忌被团队的人牵着鼻子走,否则你会发现总有岗位缺人,总有人不做事,你的一碗水根本没法端平,什么绩效考核,什么管理策略,都会成为空谈。(我想来,西游里的孙悟空和沙僧估计是对八戒同志怨气最大的了。)

 

好了,搞定团队招募,搞定权责定位,是不是甲方的安全管理工作就可以开始走上正轨了?呵呵,你的想法太美好了。

团队建设的第三道坎:人员管理。

实际说团队建设是大坑,基本八成是坑在人员管理这。招募和权责,只是给人员管理打下一个基础。而人员管理才是一门大学问。

人员管理的核心目标是什么?不谈管理学什么定义,从公司和个人层面出发,我觉得包括几点:一是一起努力搞定事情,二是树立自己的管理权威,三是留住人才,四是形成一个团队利益共同体。

由于篇幅原因这里不多说。捡简单几个来说。

从公司层面而言,给你钱给你人的最终目的就是保障安全,所以搞定事情是工作根本。然而,安全管理的事情不是那么好搞定的。因此,根据甲方实际情况(如IT业务规模、防护体系、人员能力构成、投入水平等),对安全管理团队能做到什么,不能做到什么要有清晰的认识,最好还有明确的界定(这个界定要告诉老板,给他打好预防针)。简言之,就是明确团队的能力范围(即能力下限和能力上限,超出能力上限的问题不负责,低于能力下限的问题是失职,上下限之间的问题是没做好需要优化)。

树立个人权威是对团队管理者的一个考验,特别是团队里有类似孙悟空一样的大牛,又有八戒这样的懒货的时候。长久以来,很多团队管理者都有认识误区认为自己要比下面所有人技术都强才有权威。这导致一个后果,就是要么不敢用比自己强的人,要么就是对强于自己的人进行打压,一拍两散。

团队管理者要做的不是技术牛人,而是在某些专精领域强过团队其他人既可。例如,与其他部门的沟通上,带着团队牛人们去和业务吵架讲数,让他们亲身感受到那种刀光剑影的战场,意识到你在这块比他强。实际上,让团队其他人参与到管理事务,亲眼见识管理的困难,让他们知难而退,会更容易树立个人的管理权威。我一直都觉得,对于一个团队Leader而言,技巧比技术更重要。

再谈谈留住人才。随着BAT3的入场,现在安全行业在挖人上已经普遍向着互联网行业看齐。懂业务、技术牛的甲方大牛们成为各方竞逐的对象。在这种情况下怎么留住人才呢?

薪水待遇是第一位的。不说和行业最高水平一样,至少不能低于平均水平。尤其是大牛级人物,不要介意他工资比你低,也不要吝啬各种你能决策的福利、奖励。时不时还要多为团队内的人争取,会哭才有奶吃嘛。

第二是要走心。一些优秀的甲方管理者会将自己和团队其他人放在较为平等的位置,去和他们成为朋友,甚至兄弟姐妹,或是通过绩效和其他管理手段,让整个团队成为一个共同体,一荣俱荣,一损俱损。即使有些私人的麻烦事,大家能帮忙的也都帮忙解决。这种情况下,团队内的氛围会很融洽,无形中拉高了猎头们的挖人成本。有工作经验的人都知道,要找个氛围融洽的团队是多么困难的事情。

第三是要有决断力。这里的决断力指的是开人。在一个团队内,想着大家都相亲相爱,这是绝无可能的。总有相互看不顺眼的人,甚至会到有他没我的地步。这时候,身为团队管理者必须要快速做出衡量和决断。对各个人的工作态度、工作能力、团队中的地位、团队其他人的认可度,以及对你个人的支持度等等,都需要纳入考量范围。当你做出选择后,切勿拖泥带水,切勿公式化扑克脸,把话摊开来说清楚(也要注意技巧),在不伤害大家感情的情况下尽量友好地把事情解决。请记住:老好人绝不适合做团队管理者。

当身为团队Leader你对管理有了不少自己的心得体会时,恭喜你,你的安全管理团队基本成型了。

 

好了,篇幅过长,关于九九八十一难的甲方安全管理之路第一篇,就先讲到团队建设这个坑。欲知后事如何,请听下回分解。




  ◆  ◆  ◆ 






谢涛 

服云(安全狗)任深圳区域负责人。10年信息安全经验。










您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存