征文 | 侯大鹏:利用5W1H方法,做企业信息安全规划
福建华通银行安全管理组负责人
CISA, ITIL EXPERT, DEVOPS MASTER, 高级信息安全工程师。
无论是年终述职,还是走马上任,安全人总是离不开“企业安全规划”的。而如何做出科学合理的,既能够让领导信服的,又能够真实有效落实的企业信息安全规划,想必是每一个安全人的必修课。
想要得到科学的结果必然离不开科学的思考过程,一般情况下我推荐使用“5W1H方法”来开展安全规划中。
知道你所在这个企业“为什么”要开展信息安全工作,是我们需要首要考虑的事情。
一般情况下,国内的企业有两种驱动力来开展信息安全工作。
一、事件驱动。
这样的企业一般是曾经遇见过外部攻击、吃过亏的企业,其中又以互联网企业居多。一般是“吃亏后”才想起来信息安全的重要性,才开始物色安全人才。这里首先要弄清楚的是之前的“吃亏”是由什么造成,来龙去脉如何,以后如何防护,要先修补掉领导的心里阴影。而后再去这个企业的业务特点是什么,什么类型和场景的外部攻击应该是最先解决的,什么是最重要的信息资产。
二、监管驱动。
这种企业一般是国企、央企、持牌机构。这种情况下信息安全是上级监管单位要求的必备基础,在监管机构近两年的三令五申下,各级单位均特别重视信息安全,因为基本上“现在”这种企业信息安全事件的“第一责任人”都是单位“一把手”。这种情况下相对容易开展工作,因为各个行业的监管机构均会各项具体要求通过公文发出来,我们参照其具体的各项要求,一项项的去逐步落实,就是我们最近最佳的“安全规划”。
这里所说的“在哪里”并不是指地理上的位置,而只是指企业当前信息安全能力所处的成熟度阶段。而你要做的便是摸清以下两个事情。
一、企业所属行业的信息安全最佳实践。
能够知道行业最佳实践才知道自己发展的方向,而且基础上能够让自己处于“不败之地”。
因为无论是同事之间讨论,还是业务部门的质疑,基本你说一句:“XXX企业就是这么做的。”你基本就占据了“真理”的主动权。(当然,还是要“和谐”为上,杀手锏要少用。)
二、所在企业当前的信息安全能力。
所谓知己知彼,百战不殆。一个“安全能力基本没有”和一个“安全能力已经很强”的企业,其对应的下阶段安全发展规划必然是有非常大的区别的。记住:“安全”是一个相对的阶段性结果,是一个“循序渐进”的过程,是一个“心急吃不了热豆腐”的长久规划。
当然,这里并不是说:“一股脑的直接上全“最佳的控制措施”和”最先进的技术手段”是不行的。”
而是你要充分考虑:“一、企业的其他同事们需要一个逐渐接受和适应安全意识和安全手段的过程,一棒子压死,反而容易引起更大的反弹。”“二、你的兄弟们也需要对新技术和新手段有一个学习和适应的过程,买了用不好更为头疼。”“三、企业安全预算也要和企业发展相匹配。”等等其他。
在知道了WHY和WHERE之后,基本上再要确定的便是:下一步要“做什么”了。在这一步,有两个tips给到各位。
一、切记闭门造车。信息技术日新月异,迭代之迅速超过一般人的想象。干这行就要有干这行的觉悟,无论什么时候都必须要紧跟时代潮流,保持不断学习的能力。我认为所谓的“35岁”现象其实并不是全都因为“年龄”,而是因为太多的人在这之后丧失的持续学习的心态,导致其跟不上“技术”的发展,而“被迫”退下来。那些能够紧跟技术发展,引领时代潮流的人,始终都是企业的香饽饽,必然历久弥香。
平时可以多参加一些论坛、活动、组织,积极和厂商探讨新技术,,你会发现:很多老问题用新的手段解决都很可能“物美价廉”。随时更新自己的思路,才能够做出即符合企业当前情况,也能够满足未来一段时间安全要求的规划。
二、给新技术一定的稳定期。所谓一阴一阳之谓道。新技术虽好,BUG固然也多啊。作为企业的安全工作者,要放下自己的“打新”热情,尽量要使用成熟稳定的产品,避免当小白鼠。此中意味,各位自有体会。
接下来,你需要的是做“三年规划”啦。
近一年建议解决紧急问题,补技术,补短板。
第二年建议巩固基础,完善管理,提升意识。
第三年建议安全升级,新产品,新技术,云啊,雾啊,高大上啊。(一般三年后都又不一样啦,所以最好两年后再重新评估)。
规划有了,下一步就是确认“人”了。在企业里做事情,“人”的重要性不用多说,建议重点识别以下几种“人”。
一、决策者。一般是关键领导人的支持,“人、财、物”的支持。
二、帮助者。哪些人在哪些阶段能够帮你开展哪些事情。
三、影响者。哪些人由于你的安全升级被影响,影响程度如何,如何化解。
以上几类人,尽早多沟通,多协调,获得关键节点的支持。具体如何获得、如何沟通,就要靠各位自己发挥主观能动性了。
以上几个”W”做完之后,“如何做”便也成为了一个“水到渠成”的事情。这个时候只要充分利用“项目管理”知识,控制好项目进度,“变化”就会一点一点来了。这里给大家两个tips。
一、充分借力。
如果公司有项目管理的组织,一定要借助其力量。如果供应商有项目经理,一定好好用他们的项目经理。如果有其他能够帮助的资源,多多益善。
二、充分放权。
一个人的精力总是有限的,尽量让兄弟们一起推动项目开展,充分发挥大家的积极性。少干预细节,多把控里程碑,大家一起成长,才能够逐渐形成强大的团队,才能逐渐形成集体战斗力。
群狼好于独蛇。
以上薄论,希望能够给到各位一些帮助。
「推荐阅读」
三月主题:《数据安全面面观》
征文 | 顾伟:关于中国数据跨境传输合规之思考征文 | 赵锐:云端数据安全浅谈征文 | 蔚晨:数据驱动的安全防控体系探究征文 | 张喆:在开放共享环境下的数据安全安在征文,3月月奖是谁胜出?
四月主题:《一个人的安全》
征文 | 周逸传:一个人的安全?我笑了征文 | 武鑫:一个人的安全,在变化中促成长征文 | 陈欣炜:一个人的安全,或许你要扛起整个公司征文 | 黄猛:一个人的安全?你不是一个人在战斗!征文 | 顾伟:一个信息安全从业者的自我修养安在征文,4月月奖是谁胜出?
五月主题:《网络安全“值钱”吗》
征文 | 陈欣炜:联合起来,让网络安全创造价值征文 | 顾伟:网络安全“值钱”吗?征文 | 赵锐 :从网络安全转向业务安全的价值实现安在征文,5月月奖是谁胜出?
七月主题:《社工记》
征文 | 沈青:网络安全社会工程学起源与应用征文 | 陈欣炜:邮件钓鱼测试和合规性要求征文 | 顾伟:从社会工程学到信息安全文化模型的创建征文 | 赵锐:无所不在的社会工程学安在征文,7月月奖是谁胜出?
十月主题:《攻防演练实务》
征文 | 黄乐:网络安全的矛与盾——企业视角看攻防演练征文 | 顾伟:攻防之道,红蓝对抗征文 | 叶翔:在企业内部搞攻防比赛,很难吗?征文 | 赵锐 :从漏扫到攻防演练,甲方如何选择安全测试?
▼加入诸子云