查看原文
其他

人物 | 万科周智坚:教科书般的信息安全职业生涯是怎样炼成的

蓝河小天使 安在 2023-03-02



撰稿 | 蓝河

编辑 | 图图



“六岁那年,阳光慵懒的下午,我躺在江西老家院子里的石板上,做了一个梦——梦里,我的家人和朋友都离开了我,我便一直哭,直到从梦中哭醒,才发现我早已泪流满面。”

“三十多年来,那个梦始终在我脑海里无法散去,我忍不住,就去问了心理医生,他对我说——慧根开得早。”


这是周智坚与我讲的一个故事。他说,心理医生的话,让他更加自信了自己的素养,也让他正视了自己作为安全管理者的能力与眼界。


因为我觉得,但凡认识周智坚的,先不表他是否“好领导”或是“好员工”,都会说一声,他是个“好人”。


周智坚是个好相处的人,无论以怎样的身份面对他,作为他的同事、下属还是朋友,甚至是见他第一面的人,对此,我深有体会。


所以我感叹:“这也许就是天生的领袖吧。”





周智坚是个好人


十几年前,周智坚还在比亚迪的时候,当时领导问过他:为什么你们安全团队每个人总能独当一面,并且迅速成长呢?


站在彼时的节点上,周智坚回答不了这个问题。因为他做事向来都是“随性而行”,他没想过自己和别人有何不同,自然也不明白,自己的同事或员工,会相较他人有什么“过人之处”。



等到几年后,周智坚第一次对工作产生了厌倦,那一刻他才醒悟过来——只有认同某一个人,愿意在他的领导下做事,才能把事情做好,才能更快地成长。


他说,自己有两项能力,一是众所周的信息安全专业能力,二是团队建设、人才培养的水平。


他给我分享了一个小故事:曾经有一回,在所有人无感知的情况下,公司的科技团队做了一次关于“员工工作意愿程度”的分析调查。结果显示,周智坚所带领的信息安全团队,无论是成员的满意值还是开心值,都远高公司的平均水平,甚至横向对比整个行业,都要高出许多。


等到人问起,是不是他提前和同事打好招呼了,周智坚才反应过来,原来还发生了这么一档子事。在他把科技团队同事“暴打”一顿的同时,也就暗暗明白了“自己应该怎样为人处世”这个道理。


所以,周智坚做事有四个原则:第一要方向正确,第二要充分授权,第三要给予员工足够的资源,最后则是要经常手把手地鼓励与帮助。这本质上是一个“成人达己”的过程,而恰好,他又是一个自诩“天生慵懒,不愿意过多插手”的人。


所以,充分地放权也就成了顺理成章的事情。


说到这里,我们不得不提及另一位安在之前走访过的业界大咖——聂君,聂君和周智坚,曾有怎样的渊源?


原来,聂君刚从校园里走出来的时候,进入的就是周智坚所领导的比亚迪安全团队。当然,周智坚说,聂君确实是“一眼望去最优秀”的那个。


他告诉我,当聂君第一次站在他面前的时候,他就知道,聂君的能力非常强。因此他索性就把整个部门一半以上的工作,包括项目、标准等等在内,都交由聂君去做,每每有什么新的任务,他只负责分配,剩下的全凭聂君的自由发挥。


对聂君如此,对其他人也是一样。正是在这样的环境下,每个人的能力都受到了基本的尊重与认可,更得到了充分的授权与发挥,才有了愉悦积极的工作态度,才能够在“愿意去做”这份工作的前提下,把工作“做爽”,把工作“做好”。


只不过,当后来每个人都能成长到独当一面的时候,周智坚却只认为,这是他们自己努力换来结果。


万科集团有一本书,书名叫做《原则》。原则是什么?按照周智坚的理解,就是“让一个人明白工作和生活中,应该怎么样把事做正确,应该养成什么样的习惯”。


不避讳地说,其实这本书很枯燥,但周智坚却看得饶有兴致。他第一个写好了读书心得,并将感受与大家分享,他觉得,可能这就是他骨子里的基因,在引导他做的正确的事情。


他一直所坚持的,就是“帮助别人”——宁愿自己赚的少一点,也要让每一个认识自己的人都觉得“周智坚是个好人”。所以他的人缘很好,哪怕是不相关的工作,也会有人主动找他求援,当然他也从不拒绝,哪怕是本不相干的责任,也会无私地去帮人解难。


从2016年来到万科以后,周智坚在两年不到的时间里,已经读了超过20本书,这也是万科的伟大之处,其中对他影响最大的一本,叫做《爆裂》。


他说,从这本书里,看到了社会变迁之迅速,也学会了尝试去接受。这是一个“拥抱未来”的过程,当然,这当中也包括了困难。


举个很简单的例子,每个员工对于工作上所担心的问题本质上只有一个,就是“利益”。周智坚觉得,在面对这个问题时,我们要做的第一件事,便是“接受”,其次,则是成为“更好的自己”——只有踏踏实实做好自己的工作,做出成绩,让自己成长,才能从变革中生存,才不会成为“利益”中失败的一方。


周智坚告诉我,这个道理是他跟总裁面对面的两个小时沟通中学到的,也是他在万科最重要的收获之一。


他一直试图将这个理念在自己的团队和身边的朋友之间传达,并且他能保证的是,可以赋能到人,给予每一个人足够的资源和平台,帮助他们成长。


哪怕有一天他们学成离去,不再留念,但依稀能记起曾经有一个叫周智坚的人,帮助过自己,是一个“好人”。


自信


周智坚一毕业就进入了比亚迪,第一份工作是修电脑。修了半年电脑以后,转岗去做OA和项目经理,等到涉及邮件和网络以后,才算是正式接触了安全。


所以要追溯他安全的从业生涯,大概要从2004年算起。


当时的领导对周智坚说,集团即将开始做安全。其实他也不懂,只是阅读了27000的条款以后,纯靠着网上的资料和观点的集合,硬是在一个月的时间内,将比亚迪的安全方针给写了出来。


周智坚告诉我,在比亚迪的那些年,他所做的其实远不止安全这么简单。


在做了4年信息安全工作以后,领导把预算、自负盈亏以及资产运维等也都交给了他,可以说那时候的周智坚,除了不碰开发,几乎所有的工作全都做了个遍。


不过在制造业里,周智坚一直有一种IT等同于“挨踢”的感觉,所以他又抽空考取了中大岭南的MBA,尝试着去学习业务上的技能。


他笑着说,通常上MBA的,无外乎三种:拿文凭的、钱多的和无聊的。他应该是属于无聊的,只不过,却恰好还真的让自己学到了有用的知识。



碰巧彼时比亚迪集团刚刚成立LED事业部,周智坚便去筹建了经营策略部,负责项目管理、渠道建设及运营、产品规划等工作。


在比亚迪待满十年后,周智坚在2013年选择离开,并去了中集集团。


时任中集集团的CIO正在重新物色信息安全负责人,换掉一波又一波的人员,始终觉得不够满意,碰巧的是,周智坚的朋友把这件事告诉了他。


他觉得自己还是不太擅长做业务销售类的工作,回归IT才有未来,便对朋友说:“我要去中集。”


朋友规劝他,说那位CIO的要求非常苛刻,根本就是无法实现的目标。


周智坚却摇摇头:“只要你能让我和他见面,我一定能进去,就这么简单。”


朋友拗不过他,只得向CIO转达,说:“如果这件事,周智坚做不了,那你找谁也没有用了。”


CIO一听,便真的和周智坚见了面,结果只谈了一轮,这份工作就确定了下来。


从比亚迪集团到LED事业部再到中集集团,周智坚一共经历了三位领导,他说,从每一位领导身上,都学到了让他受益终身的宝贵品质。


在比亚迪集团,他养成了写笔记的习惯,每天有什么工作,需要做哪些事情,他都会完完整整地记录清楚;在LED事业部,他明白了有些话可以尝试用数字表达,更直观也更有说服力。


而在离开中集集团以后,周智坚更是懂得了如何善用资源,调动一切可用资源为安全工作所用,视野也变得更加宏观。


最终,这些品质带给他的收获就是:只用了短短十句话,就成为了万科集团的信息安全合伙人。


周智坚来到万科最初的规划是:十年的工作四年干完,五年的工作两年干完。从2016年底到2019年初,他已经完成了“五年工作”的承诺,万科集团的信息安全也从过去的初级阶段,达到了所谓2.5以上的成熟度。


但其实,整个万科集团的信息安全团队,正编、外包总共不过15人,要知道,同作为世界500强的企业,其他公司的安全人员,动辄都要几百人起底。


我对周智坚说:“你真的太自信了。”


他觉得,之所以可以凭借这么少的人做成这么多的事,也在于他致力于将每一个人都培养成能够独当一面的专家——至少有一天当他离开这个岗位的时候,他所培养的员工有能力无缝衔接地替代他。


这样的培养方式,势必会让每个人都干劲满满。回过头讲,这也就又成了“好人”相关。




变革、体系、对抗、保险


在周智坚看来,信息安全的本质就八个字:变革、体系、对抗、保险。


虽然凭借着过人的能力和超人的自信,他带领团队帮助万科在两年时间里完成了五年的信息安全规划,但这个过程一定是异常艰难的。


安全是什么?是需要日积月累建立起的体系;房地产的特质是什么?在短时间内平地而起,迅速售出。所以在万科做安全,“快速见效”就成了考验周智坚“自信”的第一道关卡。


因此,他要变革——让管理层变革、让执行者变革、让接受者变革。


但是,在我们要求别人变革的同时,有一个问题是很难解释清楚的:为什么要变?不变会怎样?


周智坚说,信息安全这个概念,不夸张地讲,他已经反复强调了超过100遍,每年培训都会作为必考科目来进行意识教育,就差手把手告诉别人到底应该怎么去做了,但依然有很多人“无所畏惧”。


究其原因,还是他们没有把信息安全看做一件重要的事情。甚至说,即便有一小部分人已经意识到并且认可了信息安全的重要性,但贫于技术和能力的支持,最后也只得将这“迈出的一小步”收回,整体上更是让企业的安全建设“退回了一大步”。


所以周智坚认为“安全的本质就是变革”,这与技术没关系,是在了解公司文化、关键利益方以后,把握适当的节奏和火候,结合公司的业务和事件驱动所落地的策略和技术,这也是一门管理的艺术。


安全又分为三个体系:管理体系、技术体系和责任体系。


首先要具备制度和策略,做好安全的培训和检查,对事故及时地调查和响应,并完成合规建设,最终建立管理闭环体系。


其次,周智坚将技术总结成“3+5”——3个场景(防泄密、防攻击、防特权),5个方面(物理、网络、主机、应用、数据)。他认为,如果能将这几个方面的技术做好,就足够支撑企业从防御到数据监察,从内外对抗到模拟演练的安全建设。


但是,因为“人”才是安全的尺度,所以即便企业有了技术支撑,也必须要由组织实现落地才行,这就要求建立组织责任体系。


最简单的办法就是:建立考核指标,每年更新一版,落到各一线公司,主管就是负责人,总经理就是直接负责人。这样的前提下,相信不会有做不好的安全工作。


可是,作为安全从业者,我们都必须要认清一个事实——即使做了那么多的安全意识宣传和体系建设,风险却始终存在。


解决“领导无法理解”这一难题,在周智坚看来,其实很简单:在之前的体系环节里,我们需要做安全检查工作。所谓“检查”,就是不断发现问题的过程,发现问题以后,安全工作者应当通过各种方式不断做好安全事件的通报。


但,万一即便如此,领导仍然无法从根本认为你能把安全工作做好,也就是“信任你有这个能力做好”,怎么办?这时就需要一套“让领导信任你”的机制。


其实,安全是最考验信任的工作,因为人性的本质,是拒绝变化的。要使一个人改变固有的思维模式,接受安全的要求,意识安全的重要,这实际上是一个从抗拒排斥到信任接受的过程。


在周智坚看来,最好的办法就是建立对抗体系。针对此前所说的管理体系,安全从业者可以专门针对体系存在的问题,从第三方视角进行攻击,再不断检查问题、承认问题,最终将原因提交给领导。客观、有说服力地告诉他,安全工作哪里做得好,哪里存在问题,让他知道,花出去的钱没白花,未来的钱应该花在哪。


因此,对抗在企业信息安全体系里的地位尤为重要,归结起来无非就是“技术防御上的对抗”以及“管理上的对抗”,只要不断晾晒安全问题和事件,一定可以促进安全工作者和执行者的不断进步与提高。


最后,对于管理者最不能理解的“保险”,周智坚的做法是:对内,联合审计部门与人力部门,不断通报安全事件,用数字来直观解释安全的建设为企业减少了多少数据的丢失、泄密和财产损失。


对外,要与监管部门保持良好的关系,虚心听取监管部门给出的建议并及时调整。联合行业内的企业组成联盟,互通有无、取长补短。确保企业具备快速取证的能力,做好各部门之间的沟通和协作,才能基本满足保险的诉求。



物联网和5G


周智坚一直在思考一个问题:为什么过去信息化程度非常高的制造业,却在这短短十年不到的时间里,被互联网企业完全超过了呢?


究其原因,还是ToB成为了风向和大头。


所以他非常认同马化腾所说的“全面赋能ToB”。那么科技赋能在哪——数字化、自动化和智能化,也就是我们所说的AI和IoT安全。


对于未来安全的趋势,周智坚认为,物联网领域是安全的未来,也是安全从业人员的未来,那是实实在在的生产安全。无论是产业园区、商业办公亦或是企业生产线,想要把包括能源、道闸、摄像头、门禁、生产设备在内共几十类场景的安全做好,是非常难的事情。


同时,由于当前IoT设备之间还没有一套统一的行业标准和方案,所以物联网领域会在未来很长一段时间里陷入抢夺标准权的局面。但是对于企业来说,物联网的安全就是生产安全,所以想要实现长久的物联,必须保证安全。


在他看来,物联网安全要从两个层面分析,首先是平台层面,简单地说,就是“数据中台”、“业务中台”和“网关中台”;另外一层则是边缘应用。


以一个产业园区为例,假设园区内安装了道闸和摄像头的物联网系统,那么这个园区里除了相关的IoT终端设备、传输线路以外,还有可能包含第三方网关——由于行业标准不统一,IoT公司互不服软,只得找第三方切入。


这个情况下,边缘域的安全问题就会变得尤为突出。涉及到道闸付款收费,往小了说就是钱和用户隐私的事情,然而涉及到能源生产领域,往大了说那可就是人生安全问题。


所以安全实实在在要运营到未来的园区里,但又无法像企业内部安全一样通过内网隔离的方式来进行。如何“轻量级”地实现安全的运营,就是物联网行业正在面临的巨大问题。


周智坚的想法是,因为物联网是动态的,所以第一是解决“可视化”问题,第二是做好“基本的防御”。同时,因为物联网的本质是生产,必须具备安全的业务逻辑,即时的运营和数据分析,所以第三点,应当尝试研发一款轻量级的物联网安全ERP。


不过让他头疼的是,由于人手不足,这些想法一直难以开展,目前也只是做了第一版的企业物联网安全标准,并探讨了相应的落地方案。


提到IoT,自然也不能逃离5G的话题。周智坚作了一个大胆的预测:基于5G基站“高成本、高带宽、高密度”的特点,运营商就成了网络提供商,届时,企业便无需自建办公网。


当所有的企业都使用基站网络的时候,网络的边界也就从此消失了。办公终端的统一安全管理会变得越来越重要,如果想要对访问系统的所有终端设备做好管控,就必须要满足两点:看得到、管得了。


从前年开始,周智坚便已经带领团队开始陆续研究和上线准入产品。首先是动态可视——看得见,简单来说,一款产品的品牌、型号,扫描一下,一目了然。然后是动态授权——管得了,对访问设备进行权限检测,如果安全系数发生了大幅度的波动,及时管控,拒绝访问。


周智坚说,这种动态可视的产品,他算是全亚洲最大的项目之一,即便是顶着全公司的压力,也硬是把这件事给做了出来,因为他认为,这会是拥抱5G时代安全的一大趋势。


他发现,很多公司信息化达到一定程度后,应用系统数据的风险就会变得很高。一是因为数据湖的建立,企业会把所有的数据都扔到一个池子里来;二是一些业务系统的数据,比如客户、资金、财务、人力等,通过传统数据加密、脱敏和权限控制,已经无法满足安全诉求。


在业务系统发展到一定阶段以后,还需要进行数据的治理和消费,届时就会有更多的数据被投放到数据湖中,就存在严重涉及GDPR这类隐私保护的安全问题。


所以,除了IoT和5G安全外,基于大数据平台的安全,也是周智坚未来侧重的一大方向。


吐槽安全


回顾自己的从业生涯,周智坚觉得自己的确也称得上是“幸运的人”。


他亲眼见证了比亚迪从5000人,25亿产值的制造公司,发展成20万员工,1000亿产值的汽车帝国。正是因为比亚迪的高速发展,一定程度上帮助了周智坚的快速成长,所以对于他来讲,比亚迪就是第二故乡。


在管理工作中,他推崇“讲话1分钟,干活5小时的原则”,因为他觉得,领导布置任务所花的时间和员工工作的时间一定要有至少1:25的匹配度。如果一件事,几分钟就能够做完,那么这样的管理就是没有效果的,并且对于资源来说,也是极大的浪费。


对于从业者,周智坚有几点总结和建议——所有企业在面临决策的时候,一定要掌握逻辑和技巧:第一,同样的事,别人是怎么做的,标杆是怎么做;第二,你自己的判断是什么;第三,业务应该怎么做。


只有把逻辑讲清楚以后,别人才不会推翻你,才会相信,你是真心诚意,并且有能力帮助他解决问题。


他说他最喜欢听郭德纲的相声,以至于养成了风趣幽默的素质。每每授课公司内部培训,总有学员会第一时间认出“周老师”来,问其原因,才知道自己早已在外落得个“说话搞笑”的名声。


他觉得这是非常好的特性,也在告诉自己的员工,少想些有的没的,把自己该做的事做好以后,就尽情地“哈哈大笑”去吧。在这样的心态下,才容易越工作越开心,越开心也就会越专业,总而言之,一定会受益终身。


所以他现在搞了个“安全吐槽活动”,彼此之间有什么做的不好的地方,尽情地批评,当然,如果有值得表扬的,也不要吝惜吹捧。


除此以外,无非走走路、看看电影,再无更多爱好,人生也就这么简单。


写在最后


截至发稿前,我听闻,周智坚即将离开万科,奔赴他职业历程的下一站了。


具体的细节,他没有多说,但这没什么值得操心的,毕竟像他这样的人,走到哪,都一定是最令人幸福的暖阳。


不论前路如何,我在这里衷心祝福,愿顺遂、安好。




「推荐阅读」





人物 | 360高雪峰:五岁“玩”编程,曾专找苹果的“茬”






咳咳,安在君有个秘密




就是

我们

……





我们

……


hai~就是这里有个安在唯一的微信粉丝群,这个群里的个个是人才,福利超多,群煮贼好,我超喜欢的。真爱粉们加微信:anzersh(记得备注:粉丝)。安在君拉你进群一起……



人物 热点 互动 传播

NEWS






你怎么这么好看


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存