查看原文
其他

诸子笔会 | 刘志诚:从业务视角看安全团队工作年度总结

刘志诚 安在 2022-07-04



自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。





从业务视角看安全团队工作年度总结



文 | 刘志诚




刘志诚

         乐信集团信息安全中心总监


中科院心理研究所管理心理学博士,印第安纳大学kelley商学院金融硕士(MF),香港理工大学软件理学与工商管理(MBA)双硕士。前中国移动电子认证中心(CMCA)负责人,OWASP广东区负责人。关注企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。



步入12月份,各个业务和能力单元都进入了复盘时刻,准备本年度的工作总结,规划来年的工作重点和相关预算。网络与信息安全团队的工作总结,由于涉及到行业的专业性和风险的不确定性,团队的工作总结不容易完成,涉及到专业的复杂性和细节,完整的呈现受到挑战,从成本角度出发,对公司的价值体现的量化存在难点,而从专业领域升上来的安全负责人缺乏组织业务视角的思考和展现能力,都会使安全团队工作的年终总结变得索然无味。本文尝试从组织业务视角的角度分析网络与信息安全年度工作总结,需要建立的思考和呈现框架,涉及到的利益相关者以及关心的重点,避免逻辑陷阱,突出展现价值和组织业务战略的相关性,从而体现安全团队的组织价值,为安全团队后续工作的开展,提供信任基础和执行依据。



01

NEWS

受众与目的


图一、工作总结的受众与目的


安全团队的年终总结,首先需要明确阅读和听取报告的利益相关者,最直接的利益相关者当然是汇报的直接对象,从安全在组织结构的位置来看,有直接向董事会或董事长汇报的CISO角色,也有向CTO、CIO、CRO、CSO等汇报的中层管理者,当然也不排除向运维总监,行政总监等汇报的经理和组长角色,基层的网络信息安全管理者受制于在组织层级中的地位,仅作为执行的相关角色,对组织的风险识别和管理缺少决策支持的相关资源和能力,其实难以适应以数字化和互联网+的时代需求,不在本文讨论之列,本文讨论的角色至少是组织中层管理者,具备一定的业务视觉,思维,在组织网络与信息安全相关风险的治理具备资源与决策建议能力,这也是当下和未来一定时间内主流的组织架构形式。


CXO作为公司决策管理层,一般不再局限于自己职能和分管的业务视觉,会关注职能模块对公司整体业务和价值的影响,因此,即使对网络信息安全管理工作的年终总结,关注其中的绩效评估成分,但也不是仅作为绩效评估的用途来了解网络与信息安全团队工作的重心。在关注团队做的如何的评价基础上,会关注网络与信息安全团队的自身组织建设,能力建设,以及团队工作对组织整体绩效的影响,团队工作的规划能力,执行能力,持续改进能力。另外,对团队在行业中的地位,在风险的预知,判断,处置方面的前瞻性和领先性的判断,是建立对安全团队的信任感的基础,而CXO的信任感是网络与信息安全团队工作顺利开展的必备条件。


网络与信息安全负责人要清楚的认知到,团队是年终总结的重要受众,年终总结涉及到团队工作的精华和提炼,每个团队成员对自己工作产生的价值和在团队中的作用充满期待,对自己一年来努力的付出和成果的价值体现,是对个人工作,绩效评价的标尺和指南。希望能够在年终总结中具有一席之地,对个人的成就感,信心,工作满意度都具有促进作用。同样,对于团队成员的不足,对于执行过程中的风险和问题引起的偏差,其中的原因,改进措施,对团队成员自身的成长也具有指导意义。通过总结分析给出的来年的规划,是指导后续工作开展的基础,对于团队成员的认知一致性和协同,目标一致性和明确性,也对团队成员对团队的信任感直接相关,一个团结一致,目标明确的团队,战斗力上会有明显的体现。


年终总结第三个不应该忽略的受众是公众,这里提到的公众广义上来讲,对于上市企业,或其网络信息安全工作对公众而言,具有从监管和舆论监督角度具有重大意义的企业,需要考虑其年终总结的公众披露问题。在当下《网络安全法》《数据安全法》《个人信息保护法》立法密集出台的背景下,向公众负责任的披露网络与信息安全工作的年终总结,可以体现企业的透明,开放,安全工作的专业,也是建立公众对企业业务信息了解的良好方式。从狭义的角度来定义公众,是指其他相关的利益相关者,例如,组织内部的其他部门,业务部门和各级领导,从安全的意识传播和组织共识的角度,认知到组织网络信息安全工作开展过程中的风险从发现、评估到处置和持续优化的过程,建立组织内部的各部门对网络与信息安全工作的信任。


从受众的角度分析,根本在于建立信任感,包含上级,团队和所有利益相关者对组织网络与信息安全工作开展的信任感。


受众与目的明确相关,那么网络与信息安全工作开展的目的就是如何建立个利益相关者的信任感,信任感从三个方面进行阐述。一是绩效评估,这里绩效评估可以理解为你做了什么以及做的如何的SMART分析,实证意义上的具体工作成果,这是必不可少也是最重要的目的。二是价值体现,价值体现的分析相对而言更加复杂,客观量化的难度较大,从业务角度,从组织战略角度的分析和判断,势必会有主观的分析判断,也涉及到组织内外部对网络与信息安全工作的认知和理解,因网络与信息安全工作的专业性,在不同受众的认知和理解上可能存在较大的偏差,更需要网络信息安全团队清晰的阐述和逻辑严谨的论证,以促进受众的理解和认可。三是持续改进,总结的目的在总结成绩,体现亮点的同时,也要对工作开展过程的问题,环境变化带来的动态的风险变化对工作规划的影响进行分析总结,并提出进一步的规划,以支持网络信息安全工作的持续优化与改进,明确未来的目标和路径。


过去的成绩,明确的价值,未来的目标和路径,共同构成了受众对网络信息安全团队的信任感基础。



02

NEWS

避开网络与信息安全年终总结的陷阱


图二、网络与信息安全年终总结陷阱


网络信息安全工作的专业性在工作总结的时候,容易陷入一些陷阱,导致工作总结难以读懂,难以理解,对安全团队的绩效评估,价值体现和持续改进目的没有起到良好的论证作用,错失了传达信息,形成共识的良好机会。因此,为了清晰的实现不同受众信任感的建立,需要注意表达上的相关技巧,规避相关陷阱,从而形成表达简洁清晰,逻辑清楚,言之有物的年终总结。


首先要避免专业过度带来的障碍,由于网络信息安全工作的专业性,细分领域众多,概念和产品繁多,在安全领域和圈子内形成统一认知就需要传播和持续学习,离开安全圈很对概念显得生涩难懂,更别提英文首字母组合的复杂性了。安全从业者,往往希望通过对热点技术的追踪,对领先方案的理解,应用和实践以营造专业的形象,但工作总结中如果充斥这样的术语,概念,和产品,就容易陷入过度专业的陷阱。除了团队受众之外,领导和公众对这部分的理解都可能出现偏差,要么听不懂,要么觉得故弄玄虚或故意炒作概念,反而起到的是反作用。同理,对技术细节的过度阐述,可以在技术分享和专题汇报中用来阐述对技术的理解与把握,在年终总结中暴露,首先理解上存在制约因素,其次也容易给人带来不分轻重缓急,眉毛胡子一把抓的感觉。这一点,其实,关键要避免网络信息安全团队的虚荣心作祟,希望通过对专业术语和技术细节的卖弄打造专业的形象,这其实是大忌。


其次是避免堆砌数据,量化和数字化驱动以及数据分析的价值,日益影响工作汇报的可信性,适度的,合适的数据有锦上添花的作用,可以作证策略的有效性,和相关成果的价值,但一定要避免为了数据而数据的尴尬局面。数据方面的陷阱有两个,一个是无效数据,数据作为论据论证论点的说服力不足,比如关于攻击日志数据的相关问题,仅停留在攻击次数的预警维度,显然对与攻击次数带来风险的评估,处置和变化缺少相关的环境因素,通过简单的数据维度难以论证论点。另一个是无关数据,针对具体安全风险的根本因素识别和控制措施的有效性,需要逻辑上的相关性进行验证,如果采集了无关数据作为佐证,同样难以论证观点的有效性。表面上是对数据的分析,本质上是对安全的风险评估与处置逻辑的论证,只有合理的数据才能佐证风险的应对措施的合理与有效。


第三个是要言之有物,从问题的角度和业务价值的角度分析风险评估与控制的关键要素,涉及到团队的工作实践,而不仅是对乙方推动的热门概念的追捧,例如零信任,零信任作为一种安全理念,解决的是复杂应用场景下,用户的身份和用户的计算环境,网络环境超越了传统的内网范畴,带来的身份,设备,应用的信任风险问题,以及在可信网络环境中,对不同用户访问不同应用的安全策略在网络层进行细化管控的问题,这个时候,关注的是业务场景带来的安全问题风险,例如互联网企业的运营人员的后台服务安全性的问题,如何用零信任的理念和方案,通过对身份,环境的认证和业务系统细粒度的管控策略抽象成业务或业务在传统概念上理解的语言,例如业务系统内网化,就比零信任的概念更容易达成共识,当然,安全概念的接受和传播会有相应的时间效应和延迟,有些概念逐步为受众理解,是可以简化其中的沟通成本的,在概念尚未充分传播时,就要注意概念与实际场景问题的融合,达到言之有物,表达事实的程度,以达到受众可以理解的程度。


当然,安全团队的年度总结需要避免的陷阱还有诸多因素,但上述三个因素对建立信任感而言容易起到负面作用,需要重点规避。



03

NEWS

安全团队年度工作总结内容框架


图三、安全团队工作总结内容框架


安全团队年终工作总结按照目的和受众的需求,避开常见的陷阱,内容框架可以从几个方面入手,首先需要对年初的规划进行回顾,回头看原来做了什么样的预测和重点工作的安排,然后需要根据运营成果对照规划做相应的差距分析,分析总结相对于年初的情景发生了什么样的变化,变化的原因,导致的后果,以及调整的内容,形成逻辑清晰的总结。第三步,需要对实际完成的工作价值进行业务和组织战略支撑层面的复盘,对业务正面的支持和对战略支撑的成果,展现业务价值。第四步,是根据差距分析,对没有做到位的工作内容,或因主观原因未实现的成果,或从发展的角度应该进一步改进和完善的内容形成改进计划。最后,要给出从组织层面的专业洞察,向高层管理者提供决策的建议,为后续的网络信息安全工作制定基础目标。


从回顾规划的角度来看,需要关注五个层面,这也是网络信息安全工作的重心,第一是关于组织网络信息安全风险的管理洞察,在风险评估的方法体系,工具能力建设,持续运营优化上,形成组织独有的网络信息安全风险治理机制。第二是安全策略的建设上,网络与信息安全的风险治理需要安全能力的支撑,组织层级的安全策略是实现信息安全治理的落实方案,安全策略的制度化建设和执行落实为安全能力体系的建设,包括自动化的工具和运营管理系统,要根据组织风险的图谱规划相应的安全能力建设,以实现预防,检测,监测和审计,响应的具体能力。网络信息安全风险治理的水平需要数据运营指标的支撑,而逻辑清晰,实证验证的运营指标设计定义出合理的运营目标,是网络信息安全工作的重点,避免数据的无关性和无效性是难点,这需要行业标杆的参考和实际工作开展过程中的持续优化。不能忽视的重点是关于团队成长的规划,网络信息安全的专业性和网络信息安全工作与业务关联的密切性和潜在冲突,注定安全团队成员的要求,既需要专业的硬素质,也需要项目管理,沟通管理等软性素质。要针对不同团队成员的特点进行针对性的能力提升规划。


回顾规划是工作的展示,那么总结价值就是展现网络信息安全团队的成绩,这个成绩是从组织的维度与业务团队的拉通对比,关注的不是网络信息安全专业领域的技术能力和领先突破,而是对业务的价值提升和对组织的战略影响。需要从业务的维度阐述对业务的价值,例如,APP的合规性安全检查和测试工具就是保障APP符合《数据安全法》《个人信息保护法》的重要支撑,避免APP的合规下线和禁止更新风险,从滴滴事件可以看出安全能力建设对业务具有决定性的价值。这里面的分析重要的关注的是安全对业务的影响,涉及到社会热点话题,需要重点阐述社会影响带来的价值。这在组织战略层面上对业务的价值是网络信息安全团队需要当仁不让的成绩呈现,而不能仅作为内部安全保障部门和成本中心进行汇报。


如果总结价值就是安全团队的成绩展示,那么分析偏差是对规划总结的问题发现和解释,分析偏差需要从几个维度进行跟进,第一个是安全事件的梳理总结,安全规划的核心工作是风险的管理,而安全事件是因为安全风险暴露造成的,根据安全事件的总结分析,整理安全风险的预测和管控水平是差距分析的关键要素,第二个是针对安全预警或安全事件的应急响应,如果说安全事件是对安全风险管控水平的全面检验,那么对安全的检测和监测能力以及对安全事件的处置和降低影响与损失的能力,主要靠应急响应水平的检验,因此,相对于规划而言,应急响应的相关记录也是重要的差距分析指标。第三个是关于安全能力建设的指标,建设相关成果是否能够如计划发挥相应的价值,是否符合预期水平,和安全团队的预测能力和把控能力相关,也是不容忽视的差距分析样本。另外,就是关于全面运营数据的相关指标,如果说安全事件和应急响应关注的是重点风险,那么运营数据关注的就是日常运作的水平,通过日常数据的分析总结,防微杜渐,也是分析偏差的重要手段。


对于偏差的总结未必都是需要改进的部分,对于做的好的部分,成绩可以阐述,但是关键存在负面偏差的部分,重点要有改进计划,要清晰的表明存在的问题,是因为专业度不够,资源投入不足,技术决策错误,项目管理不足所引起的未达到预期的目标,都需要有明确的方案,和改进的关键里程碑。这是体现安全团队闭环管理和执行力的关键,要做到事事有跟进,事事有结果。


网络信息安全团队年度工作总结不能停留在事务性的总结基础上,要根据团队自身的安全总结,以及业务和组织的战略调整,技术的发展和情景的变化,体现出风险管理的动态性洞察,要透过表象看到本质,体现出专业的判断能力,为组织提供网络与信息安全领域的专业洞察,并向董事会和执行层提出顶层设计的决策建议,这也是为了后续的工作规划制定目标奠定初步的基础。


综上所述,网络信息安全工作的年度总结绝对不是针对领导绩效考核的事务性专业领域总结,而是考虑其综合的受众与广泛的目的,既有高屋建瓴的组织风险管控的总结和网络信息安全工作对组织和业务的战略价值,对未来网络信息安全风险的专业洞察和决策建议,也有对年初工作规划的复盘和分析,对具体成绩和问题的阐述以及持续改进的计划。是和网络与信息安全整体规划密不可分,环环相扣的闭环关系。做好网络信息安全团队年度工作总结的复杂度因组织的性质,组织的模式,关系的复杂度而不同,希望本文可以提供一个参考本文的框架以供需要的同学以此为基础进行调整和优化。





推荐阅读

诸子笔会 |11月征文合集《供应链安全》

蔚晨 张永宏 刘志诚 杨文斌 孙琦刘顺 王振东 赵锐 肖文棣 月奖公布


诸子笔会 |10月征文合集《安全周》

张永宏 王振东 赵锐 蔚晨

刘志诚 刘顺 肖文棣 季奖公布


诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐 月奖公布

 

诸子笔会 |8月征文合集《数据安全》


赵锐 刘顺 刘志诚 杨文斌 张永宏蔚晨 王振东 孙琦 肖文棣 月奖公布


诸子笔会 | 7月征文合集《安全自动化》


张永宏 肖文棣 杨文斌 于闽东 孙琦 刘志诚 蔚晨 赵锐 季奖公布


诸子笔会 | 6月征文合集《安全数字化》


张永宏 刘志诚 孙琦 李磊 赵锐 于闽东肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布



原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存