诸子笔会 | 刘志诚：5个关键词打造一支攻无不克的安全团队

自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

5个关键词打造一支攻无不克的安全团队

文 | 刘志诚

刘志诚

         乐信集团信息安全中心总监

9月份的安全话题是安全团队的建设，有一个机会梳理近20年管理团队的经验，也是一件幸事，大时代的中国人，初入职场不久就挂上了经理的头衔，从一片懵懂的带领三五个人的误打误撞，到被质疑是专家还是管理更适合自己的痛苦追问。犹记得潜心学习MBA，心理学，各类书籍时恍然大悟和醍醐灌顶，常回忆排兵布阵纵横沙场不胜不归的快意江湖，到如今小而美团队的恬淡适然，确实有很多感悟可以分享，可以传承，感谢有这样的一个机会，做下系统的梳理，广而告之。

一、 环境

如何打造一个安全团队，首先需要关注的是周边这个依存的世界，大到国际形势，比如中美贸易战带来的安全风险的影响，行业趋势，比如数字化转型带来的技术风险。小到企业的生存压力与风险，比如，金融行业的数据断直连，亚马逊海外电商的商户封杀。

企业的战略依赖于外部环境的变换，合规的需求，以及安全风险的演进决定了企业在安全领域的规划和投入，关注业务不是一句空话，而是安全团队发展的起源，作为安全团队的带头人，关注环境的变化，跟踪外界的影响，是基本功课，类似于做软件开发，这是需求的起源，不可或缺。

如何做环境分析，方法论当然很多，PEST是个不错的思考模式，不妨从它开始。

二、 目标（定位）

高中毕业的时候，班主任有一句话让我印象深刻，记忆犹新，当你射箭的目标是太阳的时候，你可能射到的是树梢，如果你的目标是树梢，你可能很难射到树梢。有一段和某些人因理念不同很难合拍在工作中特别郁闷的时候，偶尔看到了一句话，给我非常大的启发，卫星经历变轨的过程会在一个轨道上绕行，在积蓄好力量，完成变轨后，就完成了一次飞跃，同样，再回头再看当年困扰的经历时，真是别有一番滋味在心头。因此，结果在目标确定那一刻已基本确定。

一个安全团队的目标是什么？我听过不少人的观点，比如不出安全事故，比如做好保障支撑，做好服务，比如降本增效。有一次我提到安全驱动业务时，某位同学深不以为然，安全作为成本中心，怎么可能驱动业务，我只能报以同情，你的认知和眼界限定了你的目标，怎么可能在安全领域作出突破与创新，怎么才能为团队赢得尊重和成就感。

我的观点始终是安全是业务的核心竞争力，安全要驱动业务发展，这也是我带领安全团队的唯一目标。

三、 架构

架构是一个安全团队如何来组织工作的核心，这依赖于环境，社会环境，企业规模与认知，也依赖于目标所定义的职责。从规模上而言，有多达数百人的安全团队，也有三五个人小而美甚至一人独挡一面的安全团队，当然也不乏无专职人员由运维兼职的安全工作，就不再本次讨论的范围。数百人的团队，一般属于规模化数字化原生企业或世界500强在合规与安全保障层面面临巨大压力的企业，在技术风险对业务影响日深的前提下，甚至把业务风控纳入安全的范围，当然，某巨头的大安全负责人来自于某世界500强金融企业的风控负责人，这也是把原来风控与安全的鸿沟填平的趋势之一。低于30人的团队一般是常态，这样的团队配置至少一半以上参与事务性运营或修补性定制开发的工作，处于专家型推动工作的一般少于10人，而如果是10人左右的团队，架构中就应该是专家型推动工作为主。

图一、安全架构

专家型推动工作，需要覆盖的广度和深度，需要专业与推动能力的结合，技术专家，售前工程师，项目经理的角色与一身，识别专业领域的特定风险，快速寻找解决方案形成安全策略，推动安全策略在制度和能力上的建设落地，验证安全策略的有效性并推动持续改进。这样的团队需要外部资源的协调支撑，信息化能力和数字原生能力再满足业务需求的同时，工程效能部门可以参与安全能力和工具建设的，可以借用内部力量，但从投入产出的角度而言，大部分可能需要外部安全厂商的专业合作。安全团队买买买的模式备受诟病，互联网大厂自我实现的光环，确实让安全团队有自己协调内部生产的冲动，不过这个确实需要系统分析必要性，价值，以及投入产出比。互联网大厂自研的根源在于业务跑在了行业之巅，安全厂商难以支持相应的场景，不过互联网大厂在支撑自己业务安全保障的同时，无意间为自己的云产品形成了安全产品，也算是意外之喜。

那么安全厂商合作或工程效能团队开发，安全厂商服务和外包运营一定是最佳模式吗？这个同样值得商榷，第一和目标密切相关，如果目标是安全保障，成本中心，那这种模式倒也可行。如果是安全想成为业务的核心竞争力以及安全驱动业务，那么适当的开发和运营团队自主化是必不可少的路径，当然这样的团队，规模至少30+起。

四、 专业

专家角色需要具备的产品经理视野，架构师的逻辑和技术功底，项目经理的平衡目标感和执行力是加分项，最为关键的是领域的安全专业能力，这也是安全专家的基本核心。

安全的专业能力是具备系统的知识框架，工具构建与操作的动手能力，情景实战的实践操作经验，持续学习知识更新基础上的综合体现，按照领域术业有专攻的细分在个人职业生涯成长过程中有较强的指导意义。

图二、安全能力图谱

企业基础设施安全是传统安全的重点范畴，保障内网安全，从防火墙，IDS/IPS，防病毒的企业安全三板斧开始，网络安全，系统安全和办公安全依然是企业安全的基础，网络准入，身份认证和接入管理，桌面管理监控，无论在办公网队员工的终端安全管理，还是IDC网络和服务器，第三方软件的安全，都是不容有失的安全基础。

安全管理关注安全合规的需求，制度的统筹规划，措施落实的监督检查，跨部门的沟通协调，第三方的检查和认证，注重的是企业内外部安全体系的沟通与协调。安全运营注重的是安全能力，安全策略落实的执行，监控，分析，安全工作的计划开展，检查，监控，安全事件的应急响应，安全分析的预警和汇报，是安全工作有序开展，日常运作的中枢，数字化时代，基于数据的安全分析是安全运营的利器。

应用安全关注的是业务系统带来的漏洞和风险的预防，检查，处置，web的安全和app的安全重要性日益凸显。Waf之外，app的安全和监控需要重点关注，安全的sdk解决app的安全问题，提供app的基础安全保障能力，是需要关注的热点之一。

数据安全是当下最为热点的话题，个人数据关注用户隐私数据的保护和用户权利的支撑，业务数据关注的是企业的商业机密以及信息资产的保护，重要数据是涉及到国家安全的关键基础设施相关数据的安全保护，无论从数据生命周期的观点关注数据的个环节安全，还是从数据流动的角度关注数据动态流动过程中的安全风险，在数字化环境跨企业的数据流通也是需要重点关注的领域，不能仅从数据库审计，数据加密，脱敏，权限的角度关注数据安全，数字化如火如荼，数据安全领域的创新和发展同样一日千里，需要持续的积累和学习能力，适应节奏的变换。

业务安全和业务风控的角度不同，业务风控关注的是用户的业务价值控制问题，业务安全关注的是非用户对业务的安全风险，相对于业务风控的关门打狗战术，业务安全关注的是先发制人，避免关门打狗带来的资源消耗和潜在风险。相对于传统7层理论，关注到网络流量的内容分析鉴别，需要结合第三方情报生态体系的综合分析判断。业务安全主要关注的是业务账号和交易场景的风险管控。

研发安全从传统观念的SSDLC模型的过程管理，到DevSecOps的提倡黑、白、灰盒工具链建设实现研发人员自助的安全测试于检测能力，提升应用的质量，降低应用安全的治理成本。把传统的应用安全攻防的知识体系抽象为研发安全的规则，对传统白帽黑客而言，转换个人经验为产品，也是一个酷且有价值的事情。

专业虽有边界和划分，但并不是一成不变不可逾越，深度和广度向来是两个维度，其中的交叉和影响，也不能狭隘的非此即彼，跨界才是创新的根源，安全专家横跨多维度的能力也是专业水平的体现。

五、 文化

曾经认为文化是个比较虚无缥缈的概念，无论是贴在墙上的，还是写在规章里的，总是形而上，每个企业总有自己的烙印，比如996和PUA，企业的文化是很难改变，但是可以选择的，相对于企业文化，每个团队，其实也有他自主运作的小体系，而团队的企业文化，对团队的成功而言必不可少。

图三、团队文化的基因

一个团队成功的基础在于信任，信任来自于对环境统一的认知，对目标清晰一致的认同，对专业的尊重与认可，当然也来自于个人的认知框架体系，个人的人格特征与品性，这些往往是在团队建设中对每个成员筛选的基础，有了信任的基因，一个团队才能发生化学效应，彼此促进爆发与成长。

由于信任，一个团队应该是开放的，信息流通是通畅的，沟通是真诚，由衷和自由的，利用信息不对称而希望达到的竞争优势是不被允许的，这无论在桥水基金达利欧的《原则》还是奈飞的文化中，开放，透明都是组织文化的典范。开放也是心态的开放，也是成长的基础，要坦然接受建设性的批评意见，要时常进行反思，当然，被列为黑话的复盘其实是个褒义词。

无论是团队中的个人还是整个团队，要持续不断的成长，彼得圣吉的《学习型组织》概念和方法论流传已久，但却因学术的艰涩和操作的繁杂推广效果寥寥，但简化的实践以及身体力行的分享和学习必不可少。只有团队的有机成长，才能跟上组织进步的节奏和社会变革的步伐，沉溺于现有安全知识体系中不思进取，淘汰是必然。

团队成员的主观能动性是团队成功的绝对关键，管理学中的组织动力学，组织行为学等不少学科探讨如何实现员工的自驱力，历史的XY理论，马斯洛的需求层次理论，当下因OKR成功而引起的OKR与KPI有效性之争，无不从不同维度尝试发挥主观能动性，稻盛和夫的阿米巴组织，谢家华《三双鞋》的无组织，《赛氏企业》的企业民主，也在组织层面尝试降低层级，威权，流程，制度带来的制约，当然没有适用所有团队的灵丹妙药，只有团队在信任下的自我磨合与探索。

尽责，放在最后来说，其实是为了压轴，信任是基础，开放，成长是过程，自主是路径，尽责才是目的。如果不能尽到责任，那么团队的一切都是枉然，从这个角度上来说，只有苦劳显然是不够的。

安全团队这个话题，聊起来可以无穷无尽，但从文章的角度而言，仅从五个词汇出发，描述如何构造一个战无不胜的团队，做一下简单的总结：分析和了解当下的环境，了解组织所需要的是一个什么样的团队，然后为团队打造一个振奋人心而符合需求的目标，形成定位。根据目标与资源的限制规划好团队的架构和生态体系，从专业的角度构建一个完整的团队，形成团队无可置疑的专业性，利用团队共识的信任文化，促进团队成员和整个团队开放，成长，自主，尽责。那么一个战无不胜的团队雏形就在前方。

诸子笔会 |8月征文合集《数据安全》

诸子笔会 | 7月征文合集《安全自动化》

诸子笔会 | 6月征文合集《安全数字化》

齐心抗疫 与你同在