CSO怎么做(3)CSO的4个核心工作

当一个公司开始设置CSO这个岗位的时候,意味着公司高层希望在某种程度上把信息安全工作抓起来、需要有人对此统筹、负责。绝大多数情况下,这家公司的信息安全已经有了一定的基础、采取了一些信息安全控制措施。那么,CSO应该如何开展工作?

Rapido写的《如何做好首席信息安全官企业安全体系与架构实现》这篇文章,列举了CSO12大能力要素,内容全面、见解入木三分,看的很有感觉,但是我认为绝大多数CSO都到不了这个平台,也没必要具备这么多能力要素。根据我的经验进行了一些裁剪,我认为CSO应该要做好4个核心工作(或者说是具备这4方面能力):1、定目标;2、带团队;3、沟通;4、获取资源。

 

1.       定目标

1)什么叫“目标”

目标是对效果、改进、提升的定义,可以是量化或者非量化的定义。目标一定要描述解决了什么问题、实现了怎样的改进和提升,而不是对任务、动作的描述,目标还应该包含时间约束。当然,目标分为当期目标、中长期目标。

举例如下:正确的描述方式应该是“Q1结束后,核心研发区域人员出入全部受到检查和管控,没有遗漏”、“到今年底,除访客区外,接入公司网络的各类终端全部符合安全策略”、“本周末实现办公网终端全部实现文件防丢失”,而不是“核心研发区域配备了24小时保安、金属检测仪”、“除访客区外,接入公司网络的各类终端全部安装了接入控制软件”、“办公网终端全部安装并启用了文件加密策略”。

不要小看这一条,是否能真正认识并做到这一点,安全团队的绩效会有质的差异。

2)梳理现状

定义目标之前,还要梳理现状、对当前的状态有充分的了解。参见风险评估的方法论,很多咨询公司、审计公司都可以帮忙做。但我的建议是,CSO和团队骨干要充分全面地参与到这个过程中、发挥主要作用,如果只是听汇报、看材料,肯定不如一手材料来的真实、客观和深入。

梳理现状的过程中,很重要的一点就是要识别出这家公司的信息安全驱动方式:是业务驱动型,还是事件驱动型,还是消费驱动型。这对于定义目标和后续执行是有很大帮助的。

3)确定价值、定位、目标、规划路径

确定目标的过程中有4个要素:价值、定位、目标、规划路径。

明确团队价值:就是用1-2句话讲清楚信息安全团队在公司里面的主要贡献、功能是什么,描述方式要让老板听得懂。比如“保护公司的商业秘密不泄露”、“保障公司办公网络不被入侵和破坏”、“保障公司业务平安开展、不被破坏、窃取,且合法合规”。

明确定位:定位就是讲清楚安全团队做什么、不做什么,现在做什么、将来做什么,把边界、尤其是“不做什么”的边界划清楚。如我在第一篇所述,企业信息安全的工作范畴随着“业务安全”概念的引入,有时候会变成一个大安全团队,所以要讲清楚:物理安全管不管?业务合规管不管?是只管办公网络,还是也要负责生产网络?和IT之间是什么关系?要不要负责对抗薅羊毛?和审计部门是什么关系?产品安全要不要负责?有没有处罚权?

明确目标:其实就是“确定要解决什么风险以及优先顺序”。当然,目标需要定期刷新,具体做法在后面的篇章中有介绍。

明确规划路径:目标不可能一步到位,可能分为几个阶段或几年。那就把每个阶段、每年要达到的目标列出来。定目标和规划路径的过程一定要和业务单位高管、公司领导充分沟通,这是统一目标、统一认知的过程,同时也是一个对业务单位高管、公司领导开展安全教育的大好机会。

4)关于信息安全与IT、流程、运营、质量的关系

在思考和实际执行过程中,信息安全团队不可避免地与公司的IT、流程、质量、运营团队发生关系。华为轮值CEO徐直军在
http://blog.sina.com.cn/s/blog_1326be2ff0102wbgg.html)详细论述了这几个模块之间的关系。非常值得学习、体会和实践。

5)关于业务安全

业务安全的概念见第一篇。信息安全团队在完成了对企业信息管理体系的建设之后,就要进入业务安全的阶段了。CSO必须清楚地认知到,熟悉业务、服务于经营是必由之路,让业务平安地、合规地开展、赚钱,是真正突破信息安全业务的天花板的唯一路径。必须从人才、能力、工作内容方面做好全面准备,后面的篇章对此会详细介绍。

 

2.       带团队

(1)     组建团队

选人用人的话题就不多说了。

信息安全团队内的组织架构一般要覆盖几个模块(1)安全意识教育;(2)安全策略与规划、体系与流程建设;(3)必要的业务安全;(4)技术防护;(5)攻防渗透;(6)审计和检查;(7)事件响应;(8)运营与优化。根据团队规模、资源投入、行业特点、公司经营重点选择、裁剪和组建。

(2)     提升团队能力

(3)     引入外部专业力量

这里请参考“7-2-1能力模型”,也就是70%实战、20%以老带新、10%才是培训上课,很多管理者在这个问题上容易本末倒置。纵观各个行业的大牛,都不是靠培训形成的,而是在实际工作中、通过解决一个个难题锻炼、成长起来的,这是根本规律,不能忽视。

在带队伍过程中,寻找、利用好外部专业力量是必不可少的,可以开拓视野、吸收学习别人的经验能力。一边实战,一边学习才是最有效的培训和提升能力的方法。

信息安全团队的绩效考核,推荐用KPI+OKR结合的方法。后续篇章会有详细介绍。

(4)     树正气

特别想在这里强调“树正气”这个要求,一方面是和供应商、合作商接洽要求,一方面是对内管理、协调。CSO要带头在团队内树立拒绝吃拿卡要的作风,坚持以能力和效果选拔供应商、合作商;CSO要带头在公司内部拒绝山头主义、帮派主义,真正以意愿、能力和成果管理队伍;这样才能带出一支有战斗力、能解决问题的团队。华南地区我亲眼见过、亲耳听过,有4-5家企业的安全团队负责人出身于某单位,能力大都不错,但很不幸的是,该单位号称金融行业的黄埔军校,内斗基因也很强大,导致信息安全队伍关系复杂、流失严重。希望大家都能避免这种情况。

 

3.       沟通

这一节其实和安全技能关系不大,但我认为是作为CSO角色必备的基本、核心能力之一。如果不具备这个能力,其实是一个不称职的CSO。所以想啰嗦几句。

1)首先搞清楚,沟通的目标是什么?

为什么要沟通?沟通是为了达成3个层面的一致:信息一致、目标一致和方案一致。

信息一致就是把双方掌握的信息搞对称,这是消除误解、达成一致的基础。

目标一致就是在信息一致的基础上,使得沟通双方的立场、出发点、想解决的问题、解决问题后达到的效果是一致的。很多时候不同单位由于部门利益或其他因素,往往会在这个问题上纠缠不清。这时就需要CSO的智慧、合理运用公司内部的规则、机制和潜规则。如果能达成目标一致,问题其实已经基本得到了解决。特别强调,这里的目标一要符合上面说的“目标”的定义,同时也应该是对公司最有利的目标、而不应该是部门利益优先的目标,只有这样,才可能达成目标一致。我个人遇到的情况,至少80%的误解分歧是由于双方的目标不一致造成的,而一上来就谈应该怎么怎么做,导致最后根本没有办法达成一致。

方案一致就是在目标一致的基础上,使得沟通双方就后续采取怎样的行动步骤和举措达成一致。在目标一致的基础上,这类分歧比较好解决。

(2)     和谁沟通、怎么沟通?

PMBOK项目管理知识体系中,我认为最重要的领域就是“干系人管理”,同样的道理运用在CSO的工作中也成立。找到信息安全工作的核心客户、核心干系人,及时、有效与核心客户、干系人达成一致,让核心客户、核心干系人支持信息安全工作,CSO的工作已经成功了一半;反之则会重重阻碍。很多技术出身的安全人员担任管理岗位后,往往没有特别好的业绩输出,其实就是输在和客户、干系人的沟通管理上。

同时,在沟通中怎么让核心客户、核心干系人听得懂、快速理解和接受,也是一个重要的技能,这里就不赘述了。

3)与合作部门的沟通合作

信息安全工作与IT、行政、人事、财务、法务、质量&流程部门往往会有合作,因此与这些合作部门的老大保持良好的沟通也是必要的。尤其记住,人事和财务是不能得罪的,有理有利有节最重要。

4)项目管理&及时的汇报、成果展现

是的,作为CSO,你的成果就是整个团队的成果。因此,及时的汇报、成果展现是必须的。既可以让客户、核心干系人看到你的进展和成果,同时也将工作进展中的问题、困难展现给客户、也是一个绝佳的教育措施。没有人会嫌弃你汇报的太多。记住,凡是沟通皆教育。

 

4.       获取资源

定了目标就要干,没有资源怎么办?作为管理者,获取必要的资源是CSO的重点工作之一,不同的企业环境下可能还是核心工作。

资源包括人、财、物、政策、内部支持者、供应商&合作商资源。具体就不多说了。

发表评论