诸子笔会 | 9月盘点，打卡积分及月奖公布

Original 是贾贾安在 2022-07-04

安在征文活动9月主题：安全团队

在本月的征文活动中，参与者金句频出，从“我理解的安全团队”说到“应该建设什么样的安全团队”，构建了一个较为完整的实践逻辑。在此摘选个中优秀观点，向各位分享。

我理解的安全团队？

►今天面试了一个小伙，工作年限不短了，一直做安服项目，我问他怎么看信息安全管理工作，小伙子照着27000的体系框架一通聊，不错啊，挺熟的！那换位思考你觉得做完认证以后如果发现了风险需要补救该如何落地呢？做项目，建系统，买设备，嗯，都没错！那如何验证有效性呢，做渗透搞评估，也对！那你觉得你的位置在哪里呢？三板斧都没错，安全团队存在的意义绝不仅仅是这些！

► 昨天看金融业的调研，33%的安全团队大于11人，管理学上有个两张皮萨饼的理论，一个团队的规模7-8人是比较理想的状态，再大在组织结构上需要进一步拆分，阿米巴经营强调的也是小而美的团队，从邓巴数字而言，每个人最大的核心社交圈差不多也只是108人，30个人我感觉是安全团队从量变到质变的关键点。

► 安全团队的配置需要多兵种联合作战的模式，需要眼睛，能够看见，这需要专业的数据采集能力，通过探针，代理，镜像掌握数据并结合外部情报完成资产的识别管理，风险的发现和预警。需要大脑的决策能力，能根据风险评估，分析安全的影响，策略的效率效果，决策具体的拦截，阻断，反击，这需要大数据的分析决策能力。需要手脚实施执行安全策略，这需要接受大脑的指令，需要眼睛的协助，完成执行工作。需要自身的防疫系统，建立预防功能，需要神经系统，建立检测，反应机制，需要循环系统，串联各系统，行程协同。需要骨骼肌肉系统，建立各系统承载的基础设施。从而行成有机的整体。

► 团队的核心灵魂是什么，昨天继续读周其仁《真实世界的经济学》，源自于熊彼得企业家的创造价值的观点一直深表赞同，在马克思资本论强调劳动剩余价值时，熊彼得提出的企业家的创新精神，人力资本的价值是价值的关键来源之一，这也解释了为什么任正非，柳传志，王石，马云等企业家对企业成长的价值，同样，一个安全团队的灵魂是什么，是团队的创始者创造的价值，对组织，团队，成员的创造性价值，而不仅仅是团队的组织，协调，执行的管理能力。

► 曾经和朋友讨论过关于安全团队中src部分人员的绩效如何评定的问题，我认为无论哪种安全岗位评定pki时都不能简单的从数量来衡量。安全工作是防范机制，是事件应急处理机制推动的，就算是以检测、评估为主要内容的岗位绩效也要向核心机制靠拢，前提是不能出现什么样的安全问题，多长时间能处理什么级别的安全事件等等，工作量作为辅助，不知道大家意见如何？

► 安全团队建设必须有使命感！团队大小与规模无关，与价值取向相关。在一定程度上不是工作而是使命！很多时候都是一个人的团队特别是在小微企业，无法大而全，也没有必要！但基本的数通，网络，架构内审，外防，灾备必须成体系，再辅助IDS和内外策略加个人的学习提升也能做个一方诸侯效率不见得因人少而低。企业大了团队人手多了，内外协调的成本也会因此而逊色人多智慧广！

► 安全团队的定位是“老师”或者“师傅”！从大的方向讲是参与或负责战略建设的。是解决未来问题的！是立足当下，研究过去，布局未来的！不是解决已知问题而是发现并解决未来问题的，这也是大学老师的定位与责任。从小的方面讲师傅的作用是指导！指导徒弟们如何处理资源和用户，如何防范当下风险并从原有，现有的策略和方案中预测和窥探到未知风险，防患未然的创新思路训练。正如到了大学对大一学生的启迪开化要从应试转到应用创新的赛道上来。例如对1+1的解读，从传统的等于2让学生能恍然发现其结果仅仅是算数运算的约定俗称，除此之外都不等于2。从逻辑运算的1+1=10到1+1=1的现场直观实验再到1+1≠2的现象应用，让他们知道解方程，处理中学集合运算事实都是为了AI+BD大数据，人工智能的机器学习和深度学习奠基的。让他们清晰发现学为用。在安全团队价值呈现也是如此过程。

应该建设什么样的安全团队？

► 一个企业it部门里如何安置安全团队对于其成长壮大有决定性影响，如果安全团队是运维或是质量部门的二级组织，意味着不会有公司高层直接管理，那相关资源、人力、关注度都会大大降低，这也是和国家的安全战略不相符的，因此大多数企业都会把安全作为独立部门运作，并配以专职高管直接负责！二级团队已经不能满足监管合规的需要，但事实是，还有很多企业仍把安全团队归于运维之下，这必然会出现很多应该管而管不起来的情况发生，这就是风险！

► 安全团队的目标有很多因素确定，组织的性质，行业，规模，业务的开放程度，复杂度，面对的风险水平，组织的文化，战略，愿景，对安全团队的期望等都是安全团队目标的外部决定性因素。从内部而言，团队负责人的视野，能力，可以协调的资源，引导和管理组织期望的能力，结合团队的规模，结构，能力水平构成团队目标形成的内因，内外因统筹考虑方能确定安全团队的目标。

► 安全团队在组织中的位置，传统中小企业中很多缺少专业安全团队，或者在it的运维组下面兼职，而it的汇报关系可能是财务或行政负责人，当然这是信息化尚处于初级阶段的财务信息化和办公信息化时代，到一定规模或信息化往数字化转型的企业，商业机密和办公网安全驱使安全团队的出现，在数字原生的互联网企业，因业务和研发体系，安全的重要性更趋向于专业化，向cio，cto汇报的专业团队出现，因安全风险和技术风险的增加ciso的出现未来向ceo和董事会汇报会是常态。

► 建立无指责的团队文化，是促进团队协作与亲密性的关键，在devops运动中协作，亲密，工具，规模化是四大支柱，协作，亲密讲的主要是无指责文化的重要性。在追责文化中通过问题根源分析的五w追问找到责任人，通过处罚，开除追究责任人，这其实是一种有问题的方法，忽略了人的错误在情景，机制中的必然性，掩盖了真正的问题。

► 安全团队的角色分布可以有不同维度，解决方案工程师重在分析需求，场景，给出安全策略的规划，实施和运营方案，是安全团队知道为什么做的人why，产品经理是抽象解决方案，行成能力化，服务化，产品化，重在举一反三，能力输出，是知道做什么的人what，是知道架构师重在分解解决方案，结合基础，应用，落地技术实施细节，关注安全与效率的平衡，是安全工作是否支撑业务战略，知道如何做的人how。安全分析师是落实策略，检验测试效果，持续优化安全风险的人，关注的是做的怎么样。

► 安全团队的梯队建设，从运营和服务工程师开始，在执行实践过程中，逐渐总结经验，教训，培养在观察中抽象归纳总结能力，把通常的操作性工作思考落实为自动化工作，通过安全能力化，产品化思维，成为产品经理和架构师的视野，体现的是安全解决方案但能力，进一步关注利益相关者的思维和需求，协同，平衡，实现安全对业务的保驾护航，就具备了成为安全负责人的基础。

► 安全团队的内部建设极为重要，有内必有外！自己团队的价值取向一定要和所服务企业保持一致，兼顾社会与集体利益且社会利益高于一切。其工作内容与方式如同国安部门，彪悍人生虽然无需解释，但必须让影响团队生命与发展的企业成员和老总视野能覆盖得到，即便成不了焦点也不能长期活在其视野的死角处，这是对上。协助信息化部门做好“防火墙”与“IDS”角色是本分，这是于中策略，处理平级关系，是协作协同。学习型团队内部建设的外部输出是宣讲安防，培训同事，营造信安环境。安全一定是人民战争，绝非小兵团单打独斗！

更多内容及打卡详情，参见诸子云知识星球。

本月共发出9篇以“安全团队”为主题的专家文章，在此附上链接，供诸位参考。

刘志诚：5个关键词打造一支攻无不克的安全团队

根据征文活动规则，综合每日打卡、投稿及文章阅读量折合积分后，现将参与者9月积分表公示↓