查看原文
其他

人物|陈圣:慎终如始,行远自迩

管窥蠡测 安在 2022-07-10


“合抱之木,生于毫末;九层之台,起于累土;千里之行,始于足下。”众人之所以要了然这话,正是因为其中充满了大与小、多与少、成与始的辩证思考,它在阐明事物发展变化规律的同时,也告诫了人们:无论做什么事都必须具有坚强的毅力,从小事做起、从点滴做起、从细节做起,才能促进大发展、成就大事业。而笔者访问的陈圣正是这么一位谨小慎微而又胸怀大志的安全从业人。










工作培养意识


笔者感受,作为知青子女,陈圣对未能就读于上海重点高中似乎颇为遗憾,用陈圣自己的话说:“从外地到上海,不说数学在层次、教材上存在较大的差异性,单单一门英语就成了我的短板。”然而,这一切不尽如人意的开端并未能阻止他好学的步伐,皇天不负有心人,在这之后边工作边学习的几年间,陈圣通过了宽进严出的自学考试,获得了重庆大学及河南师大的双学士学位,同时还获得了各种相关技能的证书,如中级程序员、微软系统工程师认证、微软认证IT专家、国家高级信息安全师、数据隐私解决方案工程师、国际信息系统审计师等等。


由于父母不在身边,陈圣比同龄人更早的自立,在从事过快餐店见习店助理、专职家教等工作后,2005年至2006年间,陈圣从事了人生中的第一份——用他的话来说就是给“交金”的正式工作,就职于派维网络科技有限公司(中华企业网),职位为IT桌面支持(IT helpdesk)。凭着自考的单科结业证书和对IT技术的热爱,陈圣在毫无敲门砖的情况下一轮面试就被公司录取,如愿以偿地进入到了技术支持岗位。


作为IDC行业里小有名气的公司,每天都会有较多客户来电咨询关于网站挂马、垃圾邮件过滤、服务器资源负载过高等问题,此时陈圣所处的职位兼具技术支持和客服,算是初步涉及“安全领域”,他更多的是为客户处理技术上问题,比如为客户做些DNS的解析、修复网页源代码、误被列入垃圾邮件列表的客户反馈至反垃圾邮件联盟进行一些申诉等事宜。


当问至此间有无啥趣事时,陈圣斟酌一二后说出“晚班”二字,颇有点“今宵绝胜无人共,卧看星河尽意明”的意蕴。而若一定要说有啥事是让陈圣记忆犹新的,那大概就是夜间处理客户投诉了。在我们通常的认知下,会觉得投诉是件麻烦事,是让人疲于应对的,而出入职场的陈老师却觉得,处理投诉是一种磨炼。


“一方面它锻炼了我的沟通能力,另一方面也培养了我的心性和耐性。处理这些棘手的问题其实就是不断在寻找企业利益与客户利益的平衡点。”



陈圣告诉笔者,有时客户来电最长的一个持续一个多小时,反复的沟通过程中,客户态度非常不好甚至还会言语攻击,那面对这样的情况我们要怎么办?挂电话吗?肯定不行。陈圣认为作为企业雇员务必得站在公司的角度去考虑问题,因为只要接起这电话,你就代表了公司的形象。


“我们总得为公司的利益去着想。客户或许更多的是因为公司产品而选择了我们,但我们的服务也一定在客户的衡量范围之内。这算不算一种安全意识?你细品。”






学如不及犹恐失之


2006年11月,陈圣来到了上海怡德数码技术有限公司,并在前三年里一直担任着运维主管的职位。作为一家系统集成商,陈圣在团队的帮助下,从0到1的完成了如何搭建IT基础架构和运维系统,从客户管理系统、电子邮箱系统、OA运营系统和局域网流量管控等都逐步搭建起来,同时,工作之余陈圣还积极参加各种厂商和技术论坛举办的培训课程不断“武装”自己。


“公司肯花钱培训员工,这可是毋庸置疑的福利。为了学习厂商最新的产品调试技术并拿到相应的技术资质,我们还被委派去香港接受培训,培训老师都是外国人,没办法,虽然英语是我的短板,但为了进步就只能逼着自己去学。”陈圣回忆起这段过往充满感激:“搭建系统环境、运营维护、在实验室调试F5、BlueCoat、EMC存储等设备,不管是网络层面还是系统层面,包括安全配置、网络环境等涉及方方面面、各式各样的知识,都是在这段工作经历中学到的,对我本人来说真是受益匪浅。”


2009到2011年,陈圣在此公司转职为方案实施顾问,负责应用交付网络设备、广域网优化设备、微软安心服务、虚拟化等技术支持,以及应用交付及其他相关增值网络产品的测试、方案编撰、设备维护、调试等工作,包括故障处理、系统优化、保证应用系统的正常运营、项目实施及售后技术支持、培训事宜等。陈圣觉得自己是在这段时间里正式接触到了所谓的技术,同时对网络基本原理有了实战的理解。



“之后公司上市,需要一个既懂技术又懂流程“复合”型选手,而我又考虑到职业生涯需要有一个突破,所以经过一个月的考量,决定作一次尝试性转型。经公司管理层的引荐,又基于我对公司在台湾上市上柜的资讯系统控制环节的及供应链体系熟悉程度,最后决定让我负责公司上市前中后的内部稽核审计工作。ISACA的国际信息系统审计师就是那时候了解到的,通过这个认证的学习,我开始系统地掌握了IT审计里的一些基础理论知识。不得不说,自认为这是一个跟医生、律师般历久弥香的职业,对之后一些我在安全领域上的做法、看法起到了很大的帮助。”


孜孜不倦,陈圣于八大循环的稽核制度、底稿制定及SOP修改中发愤图强并不遗余力,在“将稽核结果及异常事项改善情况按规定向主管机关及审计委员会提交报告”的同时广交善缘。淫雨霏霏,连月不开,一丝不苟的身影似乎正在与相关部门领导之间协调沟通整改计划的实施;云销雨霁,彩彻区明,专业诚信的工作作风在他所有的工作领域和为人处世里皆被贯彻到底。


陈圣说自己是一个内敛且外向的人,一路走来他最想感谢的就是生命中周围那些不可多得的好朋友,自己每一次面临职业抉择、机遇甚至是低谷时都离不开这些人,朋友的建议总能结合自己的内心让自己前方的路更加敞亮,他愿意将自己的心声分享出去,也愿意借鉴他人的历程来避免自己的盲目,正因为他能有如此坦诚、积极、坚韧不拔的品质,所以他的朋友包括他的领导才愿意和他一起构筑美好的愿景。






合规的重要性


到了2014年,进入嘉银金科担任稽核主管后,陈圣遇到了任何安全部门都会遇到的问题:磨合。


陈圣介绍说ISO27001这个认证其实不难搞定,但为了真正把这个认证管理体系搭建起来、为了真正将它的体系落地,公司花了很大的代价请来了相应的咨询机构。在向各方机构认真地学习了整个信息安全的管理体系、组织架构、控制手段、去系统化的跟踪后,公司还将原本在制度、流程上所缺失的部分一步步地建立了起来,历时近半年时间才完成体系搭建并认证通过。



“但这本身会有一个流程上的转变。比如之前走的流程很简化,为了完善内容流程肯定会增加一定的复杂度,而且中间会有很多的控制点,像留痕问题,别人本来只要通过企业微信就可以互相传递信息了,但现在不行,现在得一步步按科学的优化过的流程走,因为一旦有人提出变更需求,而我们又没有相应的风险评估、没有做这部分变更的留痕,那这中间就可能会存在问题,一旦出事,不仅仅是谁担责的问题了。账号权限治理,需要开通的时候找IT,而有变动(离职、转岗)时却不通知IT,这是绝大部分企业管理上都存在的问题。追其原因,更多的还是在职责定义和系统支持上,业务开展部门(如软件开发)要其安全管理的职责,HR也应有其安全管理的职责,IT也有其安全管理的职责,将各自的职责明确了,然后将流程理清楚了,在依托自动化的系统,很多事情就顺理成章地解决了。有系统在各个流程环节中留痕,万一出了什么问题,也可以有效地进行追溯。因此,在推动这整套体系的过程中,阻力必然会大,我们不但要跨部门的进行卓有成效的沟通,还要自上而下和每一个模块的负责人、每一位项目参与方解释清楚认证的目的到底是什么?以及带来的好处。”


好在陈圣所处的部门本就独立,属于内控合规中心,他们平时的工作内容是直接向CEO汇报的,因此,在高层较为重视的情况下,其他部门还是比较愿意配合的。


在嘉银金科,陈圣不仅处理内部稽核的相关事项,主要还会负责信息安全的问题,比如外呼的客户声称总是接到广告骚扰电话,于是他们通过各种技术、手段去追根溯源,结果发现原来是第三方呼叫中心的员工利用职务之便做着“泄露客户信息”的违规事项。


“包括各地的营业部。有时我们通过自己内部的风控系统进行筛查,会发现营业部存在违规现象,比如他们提交上来的客户资料十分可疑,因此我们会把这些底层的数据全都捞出来进行一个配比,然后为相应的营业部做评分,分值越低说明他存在违规的可能性就越高,接着我们就会去‘探访’那些营业部,对他们做出巡检。从他们的风控部到主管再到组员,我们会一一质问,在掌握了一定证据的前提下,让他们交代清楚这些不合规的单子是怎么引进来的,结果发现他们有人为了业绩帮客户伪造相关证明材料。”



在合规及信息安全的这个话题上,陈圣表示:“个人行为风险或合规漏洞等”都会为公司带来极大的损失和伤害,不仅仅是金融行业信贷类的问题,如今《个保法》、《数据安全法》、《网络安全法》等国家法律体系的建立,若为了蝇头小利而放弃最为重要的合规和信息安全,那带来的后果将会是万劫不复的,希望各个行业都能引起足够的重视,引以为戒,切不可舍本逐末,以身试法。






让安全成为盈利部门


如今,陈圣在中通快递担任高级安全工程师一职。他说,来到中通快递后才发现自己是真正意义上开始接触信息安全了,让他没想到的是,中通快递竟有如此大的业务体量和高科技含量,无论是业务量还是信息系统的复杂度都是之前不曾接触过的,特别是数据保护、用户信息保护等合规性要求,在整个寄递行业中也是最为严谨、要求最高的。


当下,寄递物流行业对老百姓而言是日常生活中不可缺少的一环,其核心依旧是大数据。所以按陈圣所言,“提高消费者的体验”是快递、物流行业最终的目的。数字化转型时代,隐私安全就成了所有人包括企业、社会组织等都不得不关注的内容,电信诈骗、网络诈骗的源头就在于能窃取到个人的隐私信息,而这对需要获悉顾客具体信息的行业来说便成了极大的挑战,要在提高效益的同时保证合规和安全,陈圣因此介绍了隐私面单的概念。


“快递行业数据泄露的源头在哪儿?现在其实很少会在系统层面上出事,大多是第三方操作造成的泄露,比如被拍摄的面单,一些黑灰产软件就会通过控制快递人员的内存权限来读取其中的照片、资料;再比如里应外合的情况,快递人员利欲熏心将系统账户权限出租;更有甚者可通过暗网直接获取热数据。除了这些利用非法手段直接强取的以外,还有几种情况也是快递公司很难管控到的,比如第三方打印公司、比如仓储机构,这都是一个个可能造成泄漏的环节。这才是隐私面单必须得加速推广的意义,因为隐私面单的核心就是去标识化,除了公司的操作系统外,其他人将无法获取客户们的具体信息。”



结合当下大环境里的各种事件,陈圣对于做好数据安全和用户隐私安全更为关注,用他的话来说,数据所代表的含义并不仅仅是客户本身,还包括了行业、文化、市场,甚至还包括了政治,因此,这对所有数据保护者而言都意味着更大的压力,像“滴滴事件”所带来的影响,对各大企业而言都是一种警示。同时,在当前这样的行业里,企业需要信息的流动,需要通过数据上的发展来提高业务上的效率,这样,增加数据在各应用场景上的使用才会给企业创造出更大的价值,陈圣觉得这是作为信息安全行业从业者应该去考虑的方向。


由此拓展,我们不禁要思考,安全部门真的只是“成本中心”吗?若能在数据处理、数据转型上给予技术部门更规范、更有效的流程,这又算不算是一种盈利呢?再或者,与市场进行比较,安全部门若能守住每一次的合规、每一次的判罚,那又是不是变相地在为公司带来盈利呢?陈圣因此由衷地表示,他会想办法将安全部门变成真正意义上的“盈利中心”。比如努力使得安全人员成为推动业务合规向前发展的重要角色,并如何不以牺牲业务为代价来实现业务目标。为了达成这一点,我们还有很多很多事情要做!






结尾


访谈最后,陈圣表示自己从来都是比较偏重家庭的,虽然平时会花较多的时间和精力在工作上,但家庭对他而言是最为重要的,因此他常常会和家人一起探讨各种规划,大家开诚布公地沟通,不做任何隐瞒和保留,这同样也是他带给家庭的安全理念。而最让他高兴的是,他所有的经历和重大改变都有家人们的支持和理解。


笔者认为,家庭和事业之间的平衡应该是每个人所向往的,由家庭作为动力,事业才会游刃有余。一如陈圣在他的历程中所能达到的高度,全然离不开他对家庭的信念。笔者希望,所有在工作岗位上全力以赴的同仁,都能在职业生涯中找到生活的乐趣。






推荐阅读




人物 | 宋士明:我们都需要抱团取暖






齐心抗疫 与你同在 




点【在看】的人最好看


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存