征文 | 陈皓:年度安全规划–“我们不一样”
某500强大中华区
及亚太信息安全总监
(ISC)²上海分会理事
“
月初看到11月份诸子云征文“不会做规划,怎么搞安全”, 这个时点也正值自己要做年度总结和来年计划的时间,当下就有写一篇和大家交流的冲动, 但是却迟迟未动手,直到今天来美出差的第一天,下午睡个觉,晚上倒时差有精神,一个人打开电脑,听着赵雷的“南方姑娘”, 一边笔耕不止和大家聊聊天,谈谈这个每年需要过的“坎”。
”安全的年度规划, 我还在乙方做顾问时,习惯性的把这个做成一个方法论或ISO27002安全控制差距检查表。
好处:是一家企业每年可以复用, 每家企业根据行业特征稍作改动也可复用, 效率很高; 在PDCA 的理论支撑下,甲方也欣然接受。
坏处:是自己做了甲方安全负责人后,体会到的。这样一份安全规划没人看,无亮点。信息安全作为IT 的一份子,凭借这样一份规划,也就拿着行业基线以下的投资和关注, 没有来自业务和IT 的欣赏,长此以往,团队和自己的价值不宜体现,个人也容易迷失。
站在甲方的角度如何做一份企业的年度安全规划,需要回到“哲学的角度”才能较好的回答。
首先,“我是谁?”
回答这个问题,其实是安全部门在组织中定位的问题,明确具体的角色。广义“安全”,也企业中可以包括企业IT信息安全,企业产品或服务信息安全,隐私保护和数据安全,企业制造业OT安全, 甚至物理安全(CISSP中物理安全就是一个独立安全域)。
以上各个领域在企业中是由多个团队负责的,有的甚至不是信息安全团队(比如隐私保护,对于欧美企业来说多数DPO设置在法务或合规部门中), 但是都会需要信息安全的服务。 明确自己团队的具体角色定位,就可以明确哪些内容是自己团队的主营业务,哪些是次要业务,仅起到辅助作用即可。
在明确“我是谁“的过程中,对于自己的主管部门, 客户部门,相关兄弟团队也要有清晰的认识, 这样在定目标时,就知道自己的边界在哪里, 重点在哪里, 要和谁一起共享目标以及相互间如何配合。切忌按照ISO27002控制域管理自身信息安全团队的管理边界,资源和精力需要投放到客户关注的、主管部门明确是工作重点的、兄弟部门团队可以共同出彩的问题上。
其次,“我要去哪里?”
对于这个问题,其实是一个战略层面的问题, 是2-3年未来规划的事。战略层面从来都是至上而下的, 所以,作为信息安全部门,特别是IT部门中的信息安全部门,“倾听“ 是最重要的技能。
倾听的次序也是先业务,再IT。在这个过程中,若企业是上市公司,企业的年报,季报以及发布报告时的CEO 讲话,一定要认真倾听,听懂其中企业运作的趋势,利润的增长点,未来的投资方向。
对于一般的企业,在做战略规划时,对于IT投资以及其中的信息安全投资都是会对标行业标杆的, 认清IT 和信息安全对企业的日常运营和未来发展中的作用, 对于信息安全部门规划3年的战略计划尤为重要。
信息安全是一朵插在牛粪上的花,而非无根之萍。
深深的理解自身扎根的土壤,并随着土壤(企业和部门)和气候(监管环境/市场环境)的变化而变化,是信息安全这朵鲜花可以常开常艳的秘诀。
在定义战略的过程中,倾听让你明方向, 而制定过程中的沟通则让你避险坑。召开一定范围的战略沟通会,一方面是表心迹,和上层部门的对标或承接部分上层目标的落地,另一方面,也是事先识别险阻,和兄弟部门沟通中剔除不切实际或得不到大多数支持的目标。
最后,“明年我可以到哪里,需要什么准备,资源和支持?”
有个较为长远的目标后,就需要分解未来一年的具体战术落地目标。
对于自身团队来说,这本身也是一个至上而下,目标分解的过程。 基本原则还是2-8原则,80%目标是有足够信心在短期内具备条件落地的,属于quick win 的内容,20%是立足长远,这20%可以是一些解决根本性问题的综合性跨部门的目标,也可以是为未来储备能力的目标。在定义未来一年的计划中需要稳重而不失进取, 并且需要定义出明确的成功标志,无论是一个安全产品的上线,或一份安全政策的推行或一个安全指标的明显改善。
从某种角度上, 若企业在年中无重大变革, 在年度计划完成时,一份年中和年终的团队绩效汇报材料的模板和初稿也是同步完成的。年度计划中相当重要的部分是立项目,定预算。一个好的CSO,本身也是一个好的财务人员,要有明晰的成本控制和投资回报的概念。
诚然,信息安全不容易定义回报的指标,但是,项目立项时,一个好的business case 应该仔细规划和审核;在项目中期,认真审核项目范围的变化和预算的投入情况,严格控制成本 (PRINCE2的项目管理方式更适合于甲方对于项目风险和成本的控制);在项目结束后,应该慎重审核项目实际成效是否达到立项时的要求和预测。
此外,“ 我不是一个人,我中途或达到目的地时如何告知其他关注我的人?” 信息安全界经常说“信息安全无事故,没有声音,不应该是最佳状态吗?“。
话虽不错, 信息安全如同救火队,街上没有警笛声当然最好, 但是不代表信息安全不需要宣传。 首先,预防永远是最经济的手段。信息安全也不应该仅仅是员工的安全意识培训。经常利用一些热点话题,在高层会议上,电梯,食堂和年会中多形式的参与。
由于信息安全问题的广泛性,企业的信息安全人员可以从生活中的数字钱包的安全,未成年的上网和隐私保护,公司的财务防欺诈,研发的数据防泄漏,市场的数字品牌监控和打假等多方面进行宣传。
让企业人员想到安全,就想到你的团队,一些超越企业边界,但是对员工有利的安全安全工作将很大程度上帮助安全团队深入人心。其次,安全应该渗透到具体业务和IT的项目中提供服务,让信息安全团队成为业务/IT项目组的成员,并有明确的贡献, 在项目阶段和总结报告中体现安全的价值;
综上后,大家会发现,由于我们天生所处的行业不同, 企业商业模式,运营成熟度,我们自身的能力等诸多不同的因素,导致我们最终编制的年度安全规划呈现出“我们不一样”。唯一相同也许就如歌词 “每个CSO都有不同的境遇,虽然会经历不同的事情,更努力只为了我们想要的明天”。
陈皓
写于芝加哥不眠夜
2019-11-03
「推荐阅读」
三月主题:《数据安全面面观》
征文 | 顾伟:关于中国数据跨境传输合规之思考征文 | 赵锐:云端数据安全浅谈征文 | 蔚晨:数据驱动的安全防控体系探究征文 | 张喆:在开放共享环境下的数据安全安在征文,3月月奖是谁胜出?
四月主题:《一个人的安全》
征文 | 周逸传:一个人的安全?我笑了征文 | 武鑫:一个人的安全,在变化中促成长征文 | 陈欣炜:一个人的安全,或许你要扛起整个公司征文 | 黄猛:一个人的安全?你不是一个人在战斗!征文 | 顾伟:一个信息安全从业者的自我修养安在征文,4月月奖是谁胜出?
五月主题:《网络安全“值钱”吗》
征文 | 陈欣炜:联合起来,让网络安全创造价值征文 | 顾伟:网络安全“值钱”吗?征文 | 赵锐 :从网络安全转向业务安全的价值实现安在征文,5月月奖是谁胜出?
七月主题:《社工记》
征文 | 沈青:网络安全社会工程学起源与应用征文 | 陈欣炜:邮件钓鱼测试和合规性要求征文 | 顾伟:从社会工程学到信息安全文化模型的创建征文 | 赵锐:无所不在的社会工程学安在征文,7月月奖是谁胜出?
十月主题:《攻防演练实务》
征文 | 黄乐:网络安全的矛与盾——企业视角看攻防演练征文 | 顾伟:攻防之道,红蓝对抗征文 | 叶翔:在企业内部搞攻防比赛,很难吗?征文 | 赵锐 :从漏扫到攻防演练,甲方如何选择安全测试?
十一月主题:《不会做规划,怎么做安全》
征文 | 侯大鹏:利用5W1H方法,做企业信息安全规划 ▼加入诸子云