查看原文
其他

诸子笔会 | 刘顺:网络安全团队建设“大全”

刘顺 安在 2022-07-04


自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。




网络安全团队建设思考


文 | 刘顺




刘顺 

某金融机构   安全专家



10多年网络安全从业经验,曾就职于宇通、唯品会、华为等企业,曾担任安全负责人、资深安全工程师、高级安全架构师等职位。主导过安全团队建设、企业安全治理规划、企业安全体系建设、应用安全体系建设、数据安全与隐私保护建设、终端安全管控建设、安全防御项目建设、安全运营监控建设、物联网安全服务建设、网络安全司法预防与追责项目建设等众多领域的安全项目,在网络安全与隐私保护方面具有丰富的管理与实践经验。



引言


本文主要内容为第二至四章节,其中二、三章节分别简要分析了安全行业现状、安全团队现状,总结了网络安全及网络安全团队面临的痛点,引出安全团队建设的思考。第四章安全团队建设章节主要从团队文化建设、团队组织建设、以及团队人才建设三个方面做了介绍。


一家之谈,难免有不足,不当之处欢迎批评指正!同时,感谢@金佳华(我不是胖子)、@冯国耀(二马)对本文的支持。



网络安全行业现状

(一)数字化转型对网络安全需求增加


数字经济是以数字化的知识和信息为关键生产要素,以数字技术创新为核心驱动力,以现代信息网络为重要载体,通过数字技术与实体经济深度融合,不断提高传统产业数字化、智能化水平,加速重构经济发展与政府治理模式的一系列经济活动。


世界经济数字化转型是大势所趋,发展数字经济已成为各国的战略重点。数字化也是企业信息化发展到一定水平后的必然选择。在企业数字化转型的过程中,数据量级将进一步提升,“云大物移智”等新兴技术将得到充分应用。无论是数据量级的增加,还是新技术的引入,势必会增加企业面临的网络安全风险,数字化转型对网络安全提出了更高的挑战和需求。


(二)国内外安全形势严峻


国内外安全形势依旧严峻,以勒索病毒、数据泄露为代表的安全事件,造成的损失影响持续加大,2021年部分网络安全事件如下:


1、勒索病毒“肆虐”


2021年4月,计算机巨头宏碁遭到了勒索病毒攻击,攻击团伙公布了部分宏碁的财务电子表格、银行对账单,索要的赎金达到5000万美元。


2021年5月,美国最大的成品油管道运营商Colonial Pipeline遭到勒索病毒攻击,迫使其一度关闭整个能源供应网络,美国政府随即宣布进入国家紧急状态。


2、数据泄露“危害大”


2021年4月,外媒报道5.33亿Facebook用户的个人数据在一个黑客论坛上被泄露。


2021年4月,有网络安全团队发现一个网络犯罪论坛上发布了超过13亿条包含有关中国公民敏感信息的记录(非近期数据)。


2021年4月,苹果代工厂被国际黑客组织REvil攻击,黑客组织盗取了正处于计划量产中的MacBook Pro图纸在内的各类机密文件数据。


3、安全漏洞“层出不穷


2021年5月,国外两名黑客公开了他们去年发现的特斯拉系统漏洞,通过无人机远程利用零点击漏洞,他们成功入侵特斯拉,不但能够打开车门,而且还能完全控制车载娱乐系统。


(三)监管合规力度持续加强


近期,网络安全可谓是“存在感十足”,《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等法律法规接连发布,使得我国在网络安全领域的立法日趋完善,在个人信息保护、数据安全、关键基础设施等方面,监管机构的监管力度将持续加强。


另外,这些法律法规不仅明确了网络运营者必须履行的义务,同时对运营者网络安全团队的建设也提出了要求,包括设立各领域安全责任人、设置专门的安全机构,保障网络安全人力、物力、财力的投入。



网络安全团队建设现状

(一)“救火”、“孤立”、

“被动”、“片面”


据调查显示,目前仍有43%的安全团队处于“救火”工作阶段,企业整体的安全建设工作仅由安全团队“孤立”开展,未能与IT部门、业务部门有效融合,安全团队在企业中存在感低。此阶段的安全建设工作仅仅是“片面”开展,未进行全方位安全攻防能力部署,安全事件的频发导致安全工作处于“被动”的应急状态。安全团队日常不是找开发人员修漏洞、就是找业务人员堵风险,自然而然的就成为了“找麻烦”、“阻碍业务”的代名词。


另有42%的安全团队进入“稳定”阶段,网络安全工作由外部边界安全建设转向内部安全建设及管理,已具备一定的主动防御能力。


仅有15%的安全团队具备了成熟的安全建设与管理机制,日常在不断提升高阶安全防护与运营能力。


注:数据来源于

FreeBuf《2021国内甲方企业安全建预算调研报告》


(二)安全团队人员规模受限


每个团队的目标都应是支撑企业的发展与盈利,如果安全团队被打上了“找麻烦”、“限速器”的标签,那工作价值一定是没有被认可的。安全工作如果不能得到高层领导的重视与支持,安全投入尤其是安全团队的规模必将受限。根据调查显示,企业网络安全团队的人员规模如下图所以,59%的安全团队人员规模在5人以下,30人以上的安全团队仅占13%。


安全团队人员规模小,会直接影响安全工作广度和深度,继而引发“救火”、“孤立”、“被动”、“片面”的恶性循环。


注:数据来源于FreeBuf

《2021国内甲方企业安全建预算调研报告》


(三)安全人才少,地域分布差异大,

招聘困难


长期以来,网络安全人才供不应求。目前,我国网络安全专业人才缺口预估在50万以上,而每年网络安全相关专业的高校毕业生规模仅2万余人。


网络安全人才地域分布差异大,人才主要集中在北京、上海、深圳,这三个城市的网络安全人才预计占比超过40%。然而在新冠疫情肆虐、全球远程办公常态化、网络犯罪频发、企业数字化转型等背景下,各城市的政企单位对网络安全人才均有需求,即使像广州这种一线城市,也在面临安全氛围不足、安全人才吸引力低等困难,导致有招聘需求、需要招人时无法招到合适人才的问题。人才荒,依然是企业网络安全建设的最大瓶颈之一。


2020年各城市网络安全人才需求量占比

注:数据来源猎聘网



网络安全团队建设


网络安全建设的核心要素是网络安全人才!网络安全的竞争,归根结底是人才竞争!网络安全的对抗,最终是人与人之间的对抗!为了解决上述现状中面临的痛点问题,企业可从团队文化、组织规划、人才建设三个方面出发,尽快建设一支“进的来、出的去、专业、自信、特别能战斗”的网络安全团队。


“进的来”是要求网络安全团队能够申请到招聘资源、有招聘策略、有一定的团队影响力,能够吸引业界安全人才加入。


“出的去”是要求网络安全团队要做好人才培养,团队人员要具备各方面的能力,具备步入更大企业与平台的条件。


“专业”是要求团队人员不仅要具备安全专业的管理、技术能力,也要具备必要的其他技能,包括业务知识、管理协调能力、学习能力等。


“自信”是要求团队在面临“领导要求”、“业务需求”等各方面的压力,仍能够坚持安全底线原则,勇于PK、勇于提出安全要求并保障落地。


“特别能战斗”是要求团队人员具备较强的、统一的信念和团队凝聚力,在恶劣的内外部环境下,在面对严峻的攻防背景下,仍然能够持续战斗,能够攻城拔寨,能够解决一个又一个风险,完成一个又一个项目。


以下分别从团队文化、组织建设、人才建设三个方面介绍网络安全团队建设思路。


(一)团队文化建设


团队文化是愿景、目标、行为准则、意识习惯等一系列的总称。团队文化能够把众多人的目标、行为统一起来,具有较强的感召力和凝聚力。优秀的团队文化能够最大限度的发挥团队成员的主观能动性,确保团队整体业绩目标的达成。


网络安全团队的团队文化建设,对外要能够向其他部门呈现一个持续创造价值、专业自信的正面形象,对内要能够形成为了同一目标共同努力、团结一致、共同战斗的氛围。


网络安全团队文化建设应该具备的以下几点:


1、建立网络安全团队的愿景


团队愿景是要描绘团队要去哪里,到达目的地后团队是什么样子,就是用现在时描绘未来景象。


团队愿景不是团队负责人两天不睡觉想出来的,否则就会变成“空中楼阁”,不能发挥作用。愿景应该是团队所有人共同讨论、提炼并一致认同的,是要确保经过团队努力能够达到的。所以愿景制定的第一步就是写下“作为一个安全团队,我们未来想要处于什么位置”,如果未来用5年计算,团队应该处于什么位置,可以要求团队每个人都写下自己的想法,然后分组讨论,充分讨论后在每个小组提交的内容中提取精华,最终形成大家一致认同的、简洁明了的团队愿景。


2、建立网络安全团队的目标


不以支撑业务目标达成的安全团队都是“耍流氓”。企业设立的每个团队都有其存在价值,每个团队的目标都应是支撑企业的经营发展,支撑业务目标的达成。安全团队绝非例外,安全团队在建立目标时,不能在自己的小格局里“自嗨”,务必要与企业业务目标相贴合,时刻以支撑企业业务目标达成为己任。比如产品安全团队的目标可能是“规划实施产品的安全特性,不断提升产品的网络安全与隐私保护能力,确保客户对产品安全能力的信任,从而保障并提升产品的市场占有率”。企业安全团队的目标可能是“承接和满足业务需要,与业务流程有效融合,支撑业务创新,保障企业经营目标的达成”。


安全团队的目标能够体现安全团队的价值、反映团队自我认可度。安全团队如果把“部署上线防病毒软件”设为团队目标,这种目标的格局太小,团队成员自我价值认可度低。我们要找到安全团队未来一段时间的终极目标,要打破格局敢想敢做。否则,安全价值无法体现,很可能会成为“找麻烦”、“限速器”的代名词。届时,安全工作的价值会被否定,安全部门会被质疑,安全将始终处于企业价值链的“最底层”。


3、明确网络安全团队行为准则


团队行为准则是团队成员一致认可的、共同遵循的原则与工作方式,能够让团队成员统一工作目标,形成一致的工作习惯。


(1)坚持为业务创造价值


对于甲方企业来说,安全团队的目标不仅是为企业止损,而且还要支撑企业的发展与盈利。因此,安全团队应始终坚持为业务创造价值的准则,业务包含企业的“生产、供应、销售、运营、研发”等所有业务流程。安全团队在建立愿景和目标时也应遵循这个准则,识别核心业务及核心业务的安全需求,持续为核心业务创造价值,支撑核心业务的发展。比如,如果IT研发部门的核心业务是“引领业务的IT规划、提供满足业务需求的产品”,安全团队为了达到为IT研发部门创造价值的目的,安全团队应坚持“融入IT研发规划,保障研发产品的安全,开展新技术安全研究(物联网、5G、AI等),确保IT研发部门在新技术引入时的安全与合规,支撑IT研发部门核心业务目标的达成”。


安全团队不能只提风险和要求,如果要为业务创造价值,安全团队还应该考虑能够提供哪些“可见”的安全能力,比如向IT研发部门提供基础的安全服务,包括加解密服务、智能验证码服务、密钥管理服务、SDLC服务、安全框架与组件等;再比如向业务部门提供业务安全风控服务,确保业务的安全运营。通过这些安全服务或安全产品,实现为业务创造价值的目标。同时,在提供这些安全服务的过程中,安全团队的业务已经与业务部门的核心业务有效融合到了一起,安全团队已经成为了一个能够创造业务价值的团队,已经不仅仅是一个“内耗型”部门。


(2)坚持敢于担责


风险是无处不在的,安全团队坚决不能抛出风险后袖手旁观,也不能提出一些没有解决方案或者无法落地的安全要求。如果业务是必要的、需求是合理的、风险是可控的,安全团队应敢于与业务部门一起担责,业务执行的过程中,与业务部门有效配合,通过落地缓解措施、持续风险检测、加强应急演练等措施,确保风险的可控。


(3)坚持风险“零容忍”


风险“零容忍”不是完全不接受风险,而是要确保所有已知风险都在安全团队的掌控范围内。不能因为风险小就忽视它,看似“不起眼”的风险也应该引起关注,根据“墨菲定律”,这些风险一定会在某个时间导致安全事件的发生。


(4)坚持工作闭环


一方面安全团队自己的工作要确保闭环,发现一个风险时要举一反三,识别同类其他风险,制定风险规避措施时,要确保措施可落地,要确保尽可能的彻底解决问题,无法彻底解决问题时在考虑缓解措施或者管理类措施,并要定期回顾各类措施的执行效果。


另一方面安全团队要求其他团队完成的工作同样要确保闭环。“只提要求,不去跟踪、审计完成效果”的工作通常无法达到预期的目标。安全团队要对所有的安全工作“兜底”,部分安全工作可能是由其他团队承担,比如桌面团队会负责防病毒、终端管控软件的运维、网络团队会负责防火墙、网络权限的开通等,安全团队一定要明确这些安全类工作的要求,并对这些工作的结果开展跟踪审计,否则出现安全问题后,安全团队同样难逃其责。


(5)坚持度量与持续优化


一项工作如果你不能度量它,那你就无法改进它。安全工作应尽可能的量化工作指标,定期回顾指标的完成情况,最终确保指标的达成。比如在SDL方面的指标参考如下:


需求SDL执行覆盖率

确保所有需求都执行SDL。


需求安全分析及时率

确保产品经理在规定的时间内完成需求的安全分析,输出安全基线。


需求安全分析准确率

确保产品经理尽可能准确的完成需求的安全分析工作。


编码安全准确率

确保在编码环节尽可能不引入漏洞。


安全测试及时率

确保安全测试人员在规定的时间内完成测试。


安全测试准确率

确保安全测试人员尽可能发现更多的漏洞,尽可能避免漏检导致漏洞流向生产环境。


漏洞修复及时率

确保开发人员按漏洞修复SLA完成漏洞的修复。


互联网漏洞处置及时率

确保互联网新增漏洞能够被及时发现和处置。


安全事件应急处置有效率、及时率

确保安全事件能够被及时的发现、有效的处置。


4、打造安全团队的氛围


(1)专业自信


安全工作是一项专业性非常强的工作,涉及的知识领域也非常广。安全团队一定要具备专业的安全知识和技能,同时也要具备一定的业务知识和其他IT领域知识。“我们只有了解它,才能更好的管控它”。


(2)持续学习


安全形势在时刻变化,新理念、新技术层出不穷,安全法律法规、监管要求在不断新增,所以安全团队要具备持续学习的氛围,这样才能尽可能保证团队的专业性。比如组建读书小组,通过小组带动的方式克服人的懒惰性;每周定期组织团队内部分享,可以分享一本书的收获、对某个漏洞进行剖析;组建新技术研究小组,确保企业即将引入的新技术都有固定的安全人员提前进行安全研究。


(二)团队组织建设


本章的团队组织建设指的是网络安全团队内部的组织架构建设,非整个企业的安全组织建设,不同企业网络安全团队设置的团队组织架构并不相同。


始于安全规划


如何设立网络安全团队的组织架构、应该在什么时间设立网络安全团队的组织架构、一个人的安全部还要不要设立安全团队的组织架构。


在正式成立网络安全团队之前,应先完成网络安全规划,明确安全团队成立后未来几年的发展方向、明确未来几年将要达到的目标。安全规划不仅是在向领导汇报安全将来要干什么,也是在向领导说明我们需要怎样的人、多少人来干这些事情。安全规划通常会包含终端、主机、网络等基础安全建设、以及应用安全、数据安全、业务安全、安全管理、安全运营、安全合规等各领域的建设内容。依据对这些领域建设规划,描绘出未来几年安全团队的组织架构,比如网络安全部应下设安全管理、应用安全、数据安全、安全研发等不同的团队,明确告诉领导未来安全团队应该怎样建设,为以后的资源申请做好铺垫。安全规划报告的最后章节应该包括未来几年的实施路线,记得把网络安全团队组织建设作为一项重要任务放入实施路线图中,定期向领导汇报任务的建设情况,尽可能确保人力资源需求始终处于Open的状态。如果网络安全团队已经成立并运行,在恰当的时间点(如年底、年初),也可以发起网络安全规划项目。


图:安全规划输出的企业安全架构图


图:依据企业安全架构图输出的网络安全组织结构图。


(三)团队人才建设


以下将从“选、用、育、留”四个方面介绍安全团队人才建设的内容。


1、选人


(1)需要什么样的人


符合团队文化的人

所谓“道不同不相为谋”,招聘时一定要选择与团队文化相符的人,否则加入团队后可能会带来非常大的负面影响。


满足现阶段工作要求的人

如果安全团队已经完成了安全规划的制定,相信已经同步制定了未来一段时间的重点工作清单,当某些工作团队现有人员能力无法胜任的时候,就产生了招聘需求和目标,比如个人信息保护需要安全管理、合规、数据安全治理等方面的能力,护网需要攻防能力等,。此时招聘目标是很明确的,按现阶段缺失的能力招聘即可。所以,总结来说就是根据网络安全规划以及目前实施路线的目标,得出的“人才需求”,得出需要找哪些人。


储备下阶段的安全人才

安全团队要有预判的能力,不仅在风险事件上要做好预判,人才方面也要做好预判和储备。如果企业当前处于快速发展时期,发展状况较好,团队资源相对充裕,那就可以提前为下一阶段的人才能力做好储备,结合企业业务的战略方向和目标,启动一些安全领域新兴技术的研究。


(2)做好向上管理


管理的本质不是权力和头衔,而是资源的争取与调配。做好向上管理的目的就是为了能够为网络安全争取到资源。比如上面的“始于安全规划”章节,先与领导共同明确安全规划,依据规划内容明确安全的组织结构,依据实施路线中安全团队建设的任务申请人力资源。循序渐进、有据可依,这些都是向上管理的一些措施。做好向上管理,确保人力资源需求始终处于Open状态。


(3)制定有效招聘策略


因“网络安全人才缺口”、“人才地域性分布严重”等原因,网络安全人员招聘通常是很困难的。同时,网络安全团队负责人也应要清晰的认识到,目前手里已申请到的HC,随时可能因为某个原因被回收,所以有HC时要“不惜一切代价”、“动用一切资源”开展招聘工作,不能把招聘工作完全寄希望于HR。有效的招聘策略主要包括以下几种:


安全人脉

得益于各类安全会议、安全沙龙等活动,很多从事网络安全工作的人大家可能都相互认识。所以,在招聘时可以充分利用现有的人脉,争取做到有“熟人”内部推荐,“熟人”在中间可以为双方同步很多信息,“熟人”在推荐前已经默默的评估双方是否适合,所以“熟人”推荐招聘效率会高很多。另外,也可以在安全各种交流群中发布招聘信息(前提是要遵守群里的规定)。利用“人脉”的招聘方式效果是最好的。


安全媒体

很多安全从业人员已经养成了每天都去浏览学习安全网站、安全公众号的习惯,这些网站和公众号也基本上都会提供招聘信息发布的服务,比如安在、FreeBuf、安世加、安全客、看雪、安全脉搏等。


猎头

安全行业有一些非常“专业”的猎头,他们会向安全从业人员一样经常参加安全会议、安全活动,也会学习一些基本的安全知识、了解行业发展现状,也积累了一些自己的安全圈子。这些“专业”猎头推荐的简历匹配度比较高。


团队影响力

上面提到我们应建设一支“进的来、出的去、专业、自信、特别能战斗”的网络安全团队,其中“进的来”是指安全团队要重视团队在行业的影响力,具备一定的影响力后才能可以吸引业界安全人才的加入。


(4)在缺人的客观条件下应怎么办


缺人是网络安全团队面临的一个通用问题,但我们也不能坐以待毙,安全团队一般是“孤独”的,所以更应该主动团结一切可以团结的力量。在缺人的客观条件下,我们要思考哪些人能帮我们做一些事情,比如:


  1. 安全意识培训工作,是否可以联合人力资源培训团队,由培训团队负责一些基础安全意识培训工作,比如入职培训,定期安全意识宣贯、宣传海报的制作等。

  2. 终端安全方面,是否可以联合桌面管理团队,让桌面管理团队承担一些终端安全管控的职责,比如防病毒、终端安全软件的管理运维。

  3. 采购的商用安全产品,是否可以充分利用厂商的售后资源,做好产品的运维、运营,比如邀请厂商资源定期开展现场巡检、日志与事件的分析、安全策略的优化等工作。


如果我们成功团结了可以团结的力量,其他团队承担了部分安全工作后,安全团队不能做“甩手掌柜”,要对事情开展的效果做好监督检查,确保事情不仅被做了,而且还被做好了,安全团队要对整体安全工作的最终结果负责。


2.育人


人员招进来之后,不一定能上来就能好用,无论是新入职的校招或社招人员,还是团队现有老员工,都应该制定较为全面的培养机制。


(1)校招人员


一定要安排合适的导师,导师不仅要专业能力强,更重要的是要会培养、懂培养。一个不懂人员培养的导师,可能会影响一名校招人员的整个职业发展。有时面试完一个已具备好几年安全工作经验的应聘者,应聘者在态度、学习能力、潜力等方面都很好,但是在思路或专业能力方面比较受限,面试完会给人一种“可惜了”的感觉,心想原本可以发展的更好。这种可能就是因为初入职场没有“引路人”,或者导师不会人员培养导致。


校招的安全从业人员至少应该关注三个方面的能力培养,一方面是综合能力,就是要完成从学生到职业人的转变,包括与人沟通相处的能力、书文写作的能力、处理问题的思路等等。另外两个方面分别是攻防能力和开发能力,安全的本质在于攻防,无论以后向安全的哪个方向发展,都需要具备一定的攻防知识。开发能力是对安全攻防能力的辅助,如果不懂代码很难理解攻防的本质、很难理解安全漏洞的根因。“三分技术、七分管理”,先不论这句话到底是否合理,具备攻防和开发的基础能力后,即使以后往安全管理、安全合规等方向发展,也会如虎添翼。


(2)社招人员


根据上面“选人”章节我们制定的招人策略,我们招聘的社招人员是通过我们面试的,在综合能力和专业能力方面一定是满足我们岗位需求的,所以针对社招人员应关注企业文化、团队文化方面、工作风格等方面的培养。


(3)现有团队成员


重点是人员专业能力的培养。可以针对团队不同的岗位,不同的级别制定相应的能力胜任模型。按能力模型有针对性的培养提升。


3、用人


用人的目标是“让每个人都发挥自己的价值,确保团队目标与个人目标的双达成”。


(1)为团队成员规划个人工作方向和职业发展路径


为了确保团队目标与个人目标的双达成,安全团队Leader应尽可能的让团队成员的个人目标与其在团队中承担的团队目标保持一致。所以,先指导每个人规划自己的工作方向和职业发展路径。每个人都应该清晰自己是更倾向于管理还是技术,技术方面应该在哪个安全领域深入发展与研究。让员工尽可能的从事自己选择的领域。


针对刚刚步入职场的校招员工,可能对各安全岗位的发展方向比较“迷茫”,无法做到加入团队后立刻清晰的规划自己职业发展路径。安全团队可以提供内部轮岗的机会,让校招新员工初步了解团队每个岗位的具体工作内容及以后的发展,再做决定。


(2)为每个人确定自己各阶段的工作目标


“人有百态,事有百般”,在了解人、了解事的基础上,为二者建立恰当的搭配关系,即为员工分配适合的工作。


为每个人确定清晰的工作目标,OKR也需是个好东西,可以按照OKR的思路,为每个人明确要挑战的目标,把目标拆解成关键指标,设定的指标一定要量化、要有明确的完成时间,量化后才能度量、才能评价。为了支撑目标和关键指标的达成,可以进行任务拆分,所有任务均要纳入工作看板中管理,通过例会、月度回顾等方式及时跟进任务的完成情况,及时处置影响指标达成的风险。


(3)考核激励


首先要制定考评激励的机制,如谁来考核、多久考核、如何考核等。通常,网络安全团队的考核应要服从企业整体的机制,如果企业整体的考核机制不能达到团队管理的目标,团队内部也可以在满足企业整体要求的前提下,制定内部考核机制。


“谁来考核”,首先,具备管理职能的人一定要有考核权,即使是管理1-2人的基层管理者,只要团队赋予了人员管理的职能,就应该拥有考核权,否则基层管理人员日常管理中的要求可能会难以下达。其次,一定要有多人考核,比如跨管理层级考核,建议两级考核,一方面是避免一个人带有偏见的考核,另一方面避免太多层级的考核,因高级管理者对人员具体工作不了解导致考核结果不准确。


如何考核,首先,应建立公平公正的考核标准,100%的公平公正是无法做到的,尽可能的通过目标量化,团队Leader日常保持公平公正,不区别对待。其次,考核不是目的,应该加强考核期间的辅导,确保工作方向的正确,确保工作目标的清晰。再次,考核结果要分别与团队成员沟通,解释为什么是这个结果。对于考核结果好的员工来说,这是一次对他进行激励的机会,对于考核结果不好的员工,这是一次对他进行辅导、鼓励的机会。考核结果应该在团队内公示,公示后注意观察大家的意见,这样也能促进考核的公平公正。最后,考核结果要与晋升、奖金、加薪强挂钩,表现优秀与表现较差在晋升、奖金、加薪方面要有明显的差距,忌讳考核结果大家都差不多的“吃大锅饭”、忌讳加薪方面每个人都加的差不多的“阳光普照”。对于工作持续没输出、工作态度消极、与团队文化不符的员工,要果断进行优化。


在用人方面,最后想说的是用“其长,容其短,金无足赤,人无完人”,一般安全技术能力比较强的人,都是有棱角和个性的,当我们在用其专业能力的时候,需要容纳一些不足之处,积极引导和控制这些“不足之处”的影响。


4.留人


团队成员是否愿意留下来,一般会考虑以下几个方面:


(1)薪资是否满足当前预期


对于需要养家糊口的打工人来说,薪资确实是最重要的,团队Leader应尽可能为员工谋求更多的收益,但受限于客观原因会比较困难。通常我们能做的有两个方面,一方面需要团队成员共同努力,发挥安全的价值,另一方面需要团队Leader做好向上管理,传递安全人才的稀缺性、展示安全团队的价值感。


(2)对个人能力是否有提升


对于有上进心的初、中级人员来说,除了考虑薪资,个人能力的提升也是非常关注的。这一方面我们可以做的事情就比较多了,比如关注、加强人员培养,内部多辅导,团队内部建立固定的知识分享与学习机制,成立内部小组一起做研究、一起挖漏洞,提供培训或者与外部交流的机会等等。


(3)工作成果能否满足个人成就感


对于工作经验比较丰富的人员来说,一般会关注工作成果给个人带来的成就感。针对这些人要敢于赋权、赋予责任,根据人的能力承担团队的一些重要工作,在过程中及时给予支持,确保工作目标出色完成。


(4)团队Leader个人影响力和团队影响力


团队Leader的个人影响力可以让大家义无反馈的跟着“带头大哥”一起干。有影响力的个人和团队,说明上面提到的各种能力均已具备,大家相信跟随你和团队,一定能够做出成果、提升自己、获得收益。


(5)工作轻松、压力小


这种不是正向的理由,如果团队中有人以这种理由愿意留下来,那应该是团队考核及日常管理出现了问题。



结语


本文主要从安全团队的文化建设、组织建设以及人才建设三个方面对网络安全团队的建设做了分享,其中安全人才的选、用、育、留与其他行业并无太大差异,安全团队建设关注的重点是团队愿景、目标、行为准则,以及如何扭转“救火”、“孤立”、“被动”、“片面”,使得安全团队变得“主动”,让安全融入业务,充分发挥安全团队的价值。当然,安全团队建设这个话题的范围很大,以上内容仅仅是冰山一角。知易行难,仅供参考!








推荐阅读


诸子笔会 |9月征文合集《数据安全》

5个关键词打造一支攻无不克的安全团队

安全团队建设的战略意义


诸子笔会 |8月征文合集《数据安全》


赵锐 刘顺 刘志诚 杨文斌 张永宏蔚晨 王振东 孙琦 肖文棣


诸子笔会 | 7月征文合集《安全自动化》


张永宏 肖文棣 杨文斌 于闽东 孙琦 刘志诚 蔚晨 赵锐 季奖公布


诸子笔会 | 6月征文合集《安全数字化》


张永宏 刘志诚 孙琦 李磊 赵锐 于闽东肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布


原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存