【企业安全建设】安全管理 “人和”问题的思考与实践

2018-11-29 6,363

0x01  背景

自从白帽子转向安全管理后,未开悟前基本是安全团队与其它团队相互搞事情,记得最严重的一次是PK着向上走了两级领导,结果各打二十大板回来了。回来之后进行了深刻的反省,主要不解的问题是:

1、为什么安全团队与其它团队的关系是相互PK?

2、领导的处理方式背后有着什么样的逻辑?

3、部分安全工作难以推进的关键问题是什么?

       

0x02 分析

第一个问题其实在我国近代和《三国演义》中的都有类似的事件,一个是合作抗日,一个是放纵分化(郭嘉遗计)。反思两个事件很容易就能明白团队间PK的原因,没有统一战线,也没有一致对外。

第二个问题理解起来比较简单,用通俗的话就是手心手背都是肉。深度分析有三点原因:

1、安全团队相对弱势不能单方面打,否则以后在部门推进任务更难; 

2、其它团队仅是想反击一下出气(终于抓到你),也不能单方面打;

3、两个团队PK消耗的全是领导的资源,不为领导考虑。

 综上原因,所以两个团队都打一样的板子,各自回去自省。

第三个问题比较复杂原因较多,但任何事都是有关键因素的。关键因素之一就是第一个问题,之二是基础环境,之三推进策略。


0x03 总结

经过反思和总结得出如下图结构的安全管理原则。

image.png

统一战线 第一

做好宣导(像广告学一样做印象广告)工作让各团队明白,安全团队是自己人。外部风险出现时各团队是一起被处罚的,像军队一样一个犯错全体受罚。大家是一条船上的人,一根绳上的蚂蚱,是荣辱与共的关系。我们的目标是共同防御外部风险。

一致对外 第二

首先风险分类分为内外两大类,外部风险来自监管、CERT、公安等,内部风险主要是安全团队。外部风险共同处理,共同承担。内部风险共同消化,是消化掉,千万不要做零和博弈。

共同承担 第三

承担什么?第一是责任,第二是执行。重点是责任,修复范围安全负责确认清楚并承担责任,明确到哪些修哪些不修,禁忌是:全都修。其次是执行,执行过程中提供两种以上方案,修不了的就缓解,禁忌是:必须修。

    

0x04 实践与改进

执行效果良好,部分团队关系有明显改善。部分策略如下:

1、考核增加 加分项

在原考核(只有减分项)基础上增加多项加分策略,如利用好加分策略可做到100+以上。

2、制度执行适度人性化

流程中缺少非核心资料时流程先行异步补充。风险可控时流程先行,异步修复。注意原则不变,否则会被部分人质疑。

3、内部风险尽量不考核

内部风险共同处理完成并共同制定长效机制,处理流程不变。双方共同向领导汇报,请求不处罚其它团队。目标明确为处理风险,只要风险及时处理就ok。

4、问题处理共同承担

协助对方解决棘手问题,说明风险共同承担。提供方案解决不了时,提供缓解方案。遇到第三方问题时帮助联合采购向第三方施压。


 # 作者:Sven  目前在安信证券负责安全技术与管理相关工作,曾是ASRC、AFSRC、JSRC年度TOP白帽子,后转安全管理工作。交流请联系微信:极思,微博:whoamsven 。

本文作者:whoamsven

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/82853.html

Tags:
评论  (0)
快来写下你的想法吧!

whoamsven

文章数:1 积分: 0

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号