自从白帽子转向安全管理后,未开悟前基本是安全团队与其它团队相互搞事情,记得最严重的一次是PK着向上走了两级领导,结果各打二十大板回来了。回来之后进行了深刻的反省,主要不解的问题是:
1、为什么安全团队与其它团队的关系是相互PK?
2、领导的处理方式背后有着什么样的逻辑?
3、部分安全工作难以推进的关键问题是什么?
第一个问题其实在我国近代和《三国演义》中的都有类似的事件,一个是合作抗日,一个是放纵分化(郭嘉遗计)。反思两个事件很容易就能明白团队间PK的原因,没有统一战线,也没有一致对外。
第二个问题理解起来比较简单,用通俗的话就是手心手背都是肉。深度分析有三点原因:
1、安全团队相对弱势不能单方面打,否则以后在部门推进任务更难;
2、其它团队仅是想反击一下出气(终于抓到你),也不能单方面打;
3、两个团队PK消耗的全是领导的资源,不为领导考虑。
综上原因,所以两个团队都打一样的板子,各自回去自省。
第三个问题比较复杂原因较多,但任何事都是有关键因素的。关键因素之一就是第一个问题,之二是基础环境,之三推进策略。
经过反思和总结得出如下图结构的安全管理原则。
统一战线 第一
做好宣导(像广告学一样做印象广告)工作让各团队明白,安全团队是自己人。外部风险出现时各团队是一起被处罚的,像军队一样一个犯错全体受罚。大家是一条船上的人,一根绳上的蚂蚱,是荣辱与共的关系。我们的目标是共同防御外部风险。
一致对外 第二
首先风险分类分为内外两大类,外部风险来自监管、CERT、公安等,内部风险主要是安全团队。外部风险共同处理,共同承担。内部风险共同消化,是消化掉,千万不要做零和博弈。
共同承担 第三
承担什么?第一是责任,第二是执行。重点是责任,修复范围安全负责确认清楚并承担责任,明确到哪些修哪些不修,禁忌是:全都修。其次是执行,执行过程中提供两种以上方案,修不了的就缓解,禁忌是:必须修。
执行效果良好,部分团队关系有明显改善。部分策略如下:
1、考核增加 加分项
在原考核(只有减分项)基础上增加多项加分策略,如利用好加分策略可做到100+以上。
2、制度执行适度人性化
流程中缺少非核心资料时流程先行异步补充。风险可控时流程先行,异步修复。注意原则不变,否则会被部分人质疑。
3、内部风险尽量不考核
内部风险共同处理完成并共同制定长效机制,处理流程不变。双方共同向领导汇报,请求不处罚其它团队。目标明确为处理风险,只要风险及时处理就ok。
4、问题处理共同承担
协助对方解决棘手问题,说明风险共同承担。提供方案解决不了时,提供缓解方案。遇到第三方问题时帮助联合采购向第三方施压。
# 作者:Sven 目前在安信证券负责安全技术与管理相关工作,曾是ASRC、AFSRC、JSRC年度TOP白帽子,后转安全管理工作。交流请联系微信:极思,微博:whoamsven 。