元安全:甲方做安全最缺的一样东西

围观次数:506 views

没出十五都是年,先给大家拜个晚年,祝大家猴年平平安安,万事大吉!

 

春节期间,隔壁王大妈和她的儿子王小贱都很不爽。

 

王大妈的儿子王小贱,去年从新东方学习烹饪回来,一直没有找到合适的工作。没有正式工作,也就找不到媳妇,盼着抱孙子的王大妈很不爽,就天天叨叨王小贱。

 

叨叨来叨叨去,王大妈突然想到小区里还没有一个正式的餐馆,于是一不做二不休,租了个店面拉上王小贱开了个家常菜馆。

 

装修、办证、购置设备,一番折腾,“王氏家常菜”正式开张。王大妈老板兼打杂,王小贱掌勺。于是乎王大妈升级为王老板,王小贱升级为王大厨。

 

第一天

 

一大早王大妈就跑去菜市场采购原材料。

 

一进菜市场,王老板就被各种菜贩团团包围,有的说自己海参鲍鱼便宜的,有的说自己的鸡蛋好吃的,有的说自家黄瓜没有用农药的……

 

王老板耳根子软,菜贩子忽悠两句,就立刻掏钱,于是不一会就买了一大堆的鸡鱼肉蛋回来了。

 

午饭时分,第一个顾客上门,坐下点了“西红柿炒鸡蛋”。上茶、下单、备菜、备菜、备菜……咦,不对啊,王大厨翻遍了王老板带回来的原材料,没有西红柿!¥%……&……&***&*于是乎顾客愤愤不满的换了个菜。

 

过了一会,第二个顾客上门了,还是上茶、下单,客人点了个酸菜鱼,结果发现王老板忘买酸菜了%……&*()&……&*(*&,客户大怒拂袖而去。

 

更严重的是,王老板买回来的什么海参鲍鱼,菜单子上没有一个菜能用用上,只能眼睁睁看着浪费掉。

 

王老板一看这不行啊,还是跟王大厨商量以后原材料采购由王大厨负责。

 

第二天

 

吸取了第一天的教训,第二天王大厨一早就对着自家的菜单子比比划划了起来,把所有需要的原材料列了个清单,然后迎着朝阳赶到了菜市场。

 

还是那群菜贩子,继续围上来各种忽悠,“我家的海参鲍鱼便宜“,”我家的鸡蛋好吃“,”我家的黄瓜没有农药“。王大厨照着自己的清单挑选,不在单子上的一律不买,单子上有的一个不拉。

 

从此”王氏家常菜“再也没出现客人点菜没有或者大堆的原材料浪费的事情。

 


故事讲完了,下面进入正题

 

 

之前讨论过《安全江湖的门派》,原文链接:http://mp.weixin.qq.com/s?__biz=MzI1MjA2MDk1NA==&mid=400855790&idx=1&sn=b5af2c66bd89538fa63915e4fbefd730&scene=4#wechat_redirect

 

其中有两种分类:南、北派和管理、技术派。后来跟很多朋友聊天发现,大家自然的把南派=技术派,北派=管理派。

 

然而其实不然。一个企业,遇到了安全问题,可以技术解决就上技术手段,技术解决不了或者成本太高的就上管理手段,各取所需。不管选择技术手段还是管理手段,都是南派。就像王老板、王大厨去买菜,不管你是步行去、开车去,都是为了买菜,也都是南派的事情。

 

可是为什么第一天王老板去买菜导致了这么多麻烦事呢?对比第二天王大厨的做法,其实关键点就在于那张”买菜清单“

 

昨天在群里聊天,有些安全公司的朋友认为现在销售安全产品只能靠忽悠,因为人天成本太高,销售不可能为每个安全公司做差异化的方案,最终导致了客户花了钱还不安全。

 

恰恰相反,我个人认为关键原因是,甲方自己都不知道自己的安全需求有哪些。正因为此,才出现了乙方来推销什么安全产品和服务,甲方就采购什么,等到买回来才发现对自己的安全压根帮助不大。

 

造成这种局面的原因,其实在大潘之前的文章《网络安全的南向火热与北向回归》(原文链接:http://mp.weixin.qq.com/s?__biz=MzI1MjA2MDk1NA==&mid=400575596&idx=1&sn=c3014456e81b80fec50407b17bdf3cb7&scene=4#wechat_redirect)里已经指出来了,就是因为“北派”的严重不足。

 

借鉴“元数据”的概念,我们姑且把一个企业里安全的规划、安全体系的设计工作叫做“元安全”

 

元安全工作确实不如挖个漏洞、做个日志分析等看起来有技术含量,甚至不如做个网络VLAN划分、办公电脑安全软件安装来的直接明了。

 

元安全给人的感觉就是虚头巴脑的,在甲方也往往不被老板们重视,甚至被急性子的老板排斥,认为是浪费人力浪费成本,认为招来的人能力有问题。

 

但是,正如前面故事中所讲,如果没有那个“菜单子”,导致的结果只能是企业的安全被乙方牵着走,要么是需要的产品服务没有采购,要么是采购的安全产品服务不是最急需的。

 

对于元安全有很多的方法论,ISO27K中提出的PDCA是比较经典的一种套路,资产识别、风险评估、风险处置、内审、管理评审,周而复始可以确保企业不断的选择最需要的技术手段和管理手段,不断的降低自身的安全风险,提高自身的安全水平。

 

放眼国内各大企业,安全做得好的企业无一不是有着成熟的安全工作思路、安全体系规划和发展路线,一步一个脚印的沿着规划往前走,快慢不论,但是至少一直朝着正确的方向发展。

 

本文Sec-UN和个人公众号首发,关注信息安全治理实务,请微信关注

信息安全治理最基础的7件事 - 第8张  | Sec-UN 安全圈

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助