本文是《企业安全建设指南》的引言和部分内容,介绍了金融行业安全架构与技术实践的重要性,并总结了作者在金融行业多年的信息安全实践经验。书中系统化地介绍了金融行业中企业信息安全的架构与技术实践,致力于解决金融企业信息安全“最后一公里”问题。书中强调信息安全团队建设的必要性,并分析了信息安全团队存在的“痛点”,包括价值感和存在感缺乏、投入少、绩效衡量难、风险压力大、综合性人才和专业人才稀缺以及职业规划前景不明等。同时,书中提出了安全团队建设的策略,包括独立使命、愿景和价值观,遵从金融企业战略需要,建立学习型组织,提高员工学习意愿,激发学习潜力,以及培养创新意识等。
书中系统化介绍了金融行业中企业信息安全的架构与技术实践,旨在解决金融企业信息安全“最后一公里”问题。
强调了信息安全团队建设的重要性,并分析了信息安全团队存在的“痛点”,包括价值感和存在感缺乏、投入少、绩效衡量难、风险压力大、综合性人才和专业人才稀缺以及职业规划前景不明等。
提出了安全团队建设的策略,包括独立使命、愿景和价值观,遵从金融企业战略需要,建立学习型组织,提高员工学习意愿,激发学习潜力,以及培养创新意识等。
企业 · 安全建设指南
编者按:
《企业安全建设指南 金融行业安全架构与技术实践》——聂君 李燕 何扬军 编著,资深信安专家十余年实战经验的结晶,安全领域多位专家联袂推荐。
本书系统化介绍金融行业中企业信息安全的架构与技术实践,总结了作者在金融行业多年的信息安全实践经验,致力于解决金融企业信息安全“最后一公里”问题,内容丰富,实践性强。
第五章
安全团队建设
金
融
企
业的信息安全管理是一项综合性极强的工作,既包括信息科技治理架构、信息科技合规建设、信息安全管理体系等安全管理类工作,又包括安全运营、安全攻防对抗、安全态势感知等技术性工作。
随着信息安全技术发展
日新月
异,各种攻击手段层出不穷,而且由于金融行业面临的攻击具有获利高、影响广、危害大等特点,金融行业信息安全管理的要求日趋精细,对信息安全团队的基础能力、学习能力、创新能力都提出了巨大的挑战。
信息安全工作的完成是虚有其表,还是卓有成效,最核心的决定因素在于是否建立起一支懂管理、精技术、基本功扎实、战斗力强劲的信息安全团队。
大力加强信息安全团队建设,培养信息安全专业人才,在金融业信息安全防控工作中具有举足轻重的作用。
这个互联网上曾经红极一时的漫画(如图5-1所示),非常生动形象地反映了信息安全团队的痛点,其核心词就是“背锅”。虽然网络漫画有失偏颇和略显夸张,但真实反映了信息安全团队成员价值感缺乏、压力巨大的现实情况。
对于金融企业来说,信息安全工作非常重要,这是任何一个金融行业的董事会和高管层都不容忽视的领域。尽管所有金融企业都会将信息安全作为重要工作对待,基于信息安全工作与生俱来的特点,金融企业信息安全团队仍然摆脱不了整个行业的“宿命”。概括来说,金融企业信息安全团队主要存在以下几方面的痛点。
价值感和存在感缺乏
首先,对于金融企业来说,信息科技是“后台部门”,而信息安全工作是“后台中的后台”。信息科技工作是为前中台部门服务的,在业务发展良好的时候,信息科技工作往往并不会有很大的存在感,最多
在“功劳簿”中算上一笔(辅助作用)。而一旦因为信息科技风险事件影响到业务正常开展,甚或仅仅是某些系统的客户体验不好、用户操作不方便、功能不完善等造成业务使用的困难,信息科技就很容易成为“众矢之的”。而信息安全工作,更是可谓“后台中的后台”,在信息科技工作的“主流程”中很难排上位置,通常与综合管理、商务管理等一起被归入信息科技的辅助支撑性职能中。
对于信息安全团队来说,如何体现对科技工作的价值,进而体现对业务的价值,是一个亟待破解的难题。另一方面,对于信息科技部门的其他团队来说,信息安全团队就是不停地提要求、做检查、当监工、找漏洞,却往往不是最后的执行人。所以信息安全团队总有点“吃力不讨好”,经常面临误解、抵触甚至冲突,承受着巨大的压力。
其次,信息安全工作,核心职能是“踩刹车”而不是“踩油门”。信息安全工作,是考虑正常流程之外的风险控制措施,就是充分考虑可能出现的漏洞、异常,并且采取加强型措施来规避。但信息安全天生与客户体验是“背道而驰”的。例如,金融企业最常见的身份认证措施,如果要安全,就至少需要双因素认证,而且至少需要两类的双因素,通常一笔转账,就需要账户密码、短信两个因素。这必然需要客户更多的操作步骤。而如果只做一个因素的认证,客户操作方便了许多,但是却容易出现密码被盗取、撞库攻击或者短信被木马拦截从而泄露的情况。所以,为了快速响应业务需求,在信息系统开发的生命周期中,优先考虑的是系统功能如何最快速实现、客户体验如何最大程度优化,而在安全措施方面需要做一些牺牲或让步。这个时候,信息安全团队需要“冒天下之大不韪”地挺身而出,做“唱白脸”的人,在需求阶段就提出安全要求,在设计和开发阶段落实安全要求,在测试阶段验证安全要求落地情况,在投产后还要孜孜不倦地检查确保安全要求达到,在碰到安全事件时再次复盘,排查此前考虑的缺漏,从而实现螺旋上升。这些措施,对于业务来说,除了增加各类限制这种“阻碍业务发展”的措施外,几乎看不到安全团队的价值。业务跟信息安全团队的接触,除了就是否“踩刹车”而PK之外,几乎没有其他可以遇上的机会。而一旦没有坚持安全的底线,在漏洞真正被利用的时候,安全团队除了“背锅”,似乎别无选择。
再次,信息安全工作往往实施周期长,动辄需要几个月、半年,甚至一年的实施周期,所以效果需要很长时间的积累才能显现出来。例如,信息安全风险监测,指标设立后需要非常长时间的数据积累才能分析出结果;安全工具的实施,只是万里长征走完了第一步,后续的策略维护和日常运营,才是真正见功夫和水平的,需要很长一段时间的细心监测、数据分析和策略调优,才能发挥效果。信息安全团
队,必须秉承工匠精神,一步一步、耐心细致地做好每一个日常的规定动作,才能确保不出问题。
但这
些幕后的工作,确实很难走上前台,被领导、业务部门甚至本部门的人员所看到
、理解和接受,因此安
全团队强烈缺乏存在感。
金融企业的信息安全人员,普遍存在难以找到个人价值感和成就感,甚至默默无闻没有存在感的情况,很容易丧失目标,找不到方向,从而难以实现自我价值和突破,需要有人帮助信息安全团队形成自己的价值体系,实现“专业自信”,方可打开向上的进步空间。
投入少,绩效衡量难
对于金融企业的信息科技工作来说,信息系统建设是最能实现投入产出比的工作,所以大量的科技投入都放在系统开发部门。衡量开发工作的指标比较容易设置,例如,投产计划达成率、应用系统故障率等,甚至部分业务系统可以用新增客户数、新增用户数、存贷款量以及利润值等指标来衡量。
生产运行所必备的基础设施建设和稳定运行所必备的监控、审计等相关支撑类系统建设及维保服
务,也让运维工作的投入可以占到一定的比例。
通常可以用事件或故障数量
、运维工单数量等来衡量运
行工作的绩效。
但是信息安全工作相对来说就比较难得到大手笔的投入,通常能在信息科技投入中占比5%就相当不错了。因为在高层领导看来,信息安全工作就像个无底洞,投入很多却难以见效,安全工作的价值难以量化和表现。例如,金融企业信息安全工作的目标是防控风险,防止漏洞被利用而产生实际的经济或非经济损失。但是,如果信息安全工作做到极致,没有发生任何的风险或者没有出现任何的信息安全事
件,往往被认为
“
运气好
”
或者
“
没被坏人盯上
”
。
而万一一个风险事件成为现实,可能一切归零,之
前的所
有安全工作都被否定。
因此,信息科技风险的产生和安全攻击事件
经常是
“
碰运气
”
的结果而非安全工作可以完全避免的,导致信息安全工作的绩效难以得到相对公正的衡量。
此外,安全工作通常会被认为比较“虚”,难以直接看到效果,往往只能具体到每个月或者每周做了什么,如做风险防控、做策略优化、做安全检查、做整改督办,但是领导只看到你在做检查、做整改督办、做安全工具维护,而具体化解了多少个风险,堵住了多少次攻击,是运气好没被盯上还是自己篱笆扎得紧,却是难以评估和量化的。所以,安全团队的绩效,领导通常很难看到,也很难用一些量化的指标去向领导展现和报告。
风险压力大
信息安全团队的天职就是化解风险,可以说每天面对的就是各种各样的风险,所以信息安全人员很容易形成“职业病”,例如,有“工作洁癖”,看谁都像坏人,或者习惯性地对任何东西都形成备份等。
但是所谓“道高一尺,魔高一丈”,信息安全人员再高明,日常工作再认真细致,还是会滞后于黑产的发展,滞后于风险的暴露。所以尽管信息安全工作一再强调“风险前移”,但事实上绝大多数的风险,都是在事后才被发现。真正能做到事前、事中控制和化解的,毕竟是少数。因此,信息安全人员很多时间都是在扮演“救火队员”,都处于一种紧张、焦虑的状态。特别是金融企业信息安全人员,一着不慎,有可能面临的就是客户信息泄露、资金损失这样严重的事件,所以金融企业信息安全人员面临的风险压
力是非常之大的。
综合性人才、专业人才稀缺
我国普通高校的信息安全专业设立才不过区区数年时间,以前都是由计算机这个大学科背景的人员从事信息安全工作,密码学原理、攻防基础等课程,并没有成为信息安全人员的“标配”。很多的信息安全人员都是从具备一点点计算机知识开始,逐步通过自学知识、掌握工具、泡论坛学习交流以及血淋淋的案例教训等方式,慢慢成长起来的。
金融企业的信息安全人员,处理的信息安全问题大到信息科技治理、信息科技战略规划,小到具体的安全指标监测、安全事件处置、安全防控策略调优等,工作覆盖面广,接触信息量大,因此,除了具备安全专业知识外,还必须掌握金融领域的业务知识,同时必须了解安全企业的开发、运行等工作特
点,才能从各个角度全方位地做好安全防控,应对针
对网络、系统、应用、终端等各方面漏洞的攻击风
险。
所以,要既具备信息安全基础知识,又了解金融领域业务知识,还能对开发、运行的工作有所精通,这样的人才是稀缺的,往往是从某一个领域入手,逐步培养和转化而来。
职业规划前景不明,职业发展的“天花板”较低
职业规划对个人的重要性不言自明,有职业规划意味着有目标,有目标意味着有动力,有动力才能不断前进。因此,职业规划对于一个人的事业成败,起着决定性的影响。
对于金融企业的信息安全人员来说,要做好职业规划绝非易事。因为做任何一个职业规划,最重要的因素就是“天花板”在哪里,这个“天花板”决定了团队成员努力的最高目标。金融企业的信息安全虽然相对于其他行业来说很重要,也得到了更多的重视,但是通常都没有专门设置CSO(首席安全官),因此信息安全人员的“天花板”基本上就是信息安全团队的主管(如银行业的信息安全处室负责人,证券行业的安全总监等)。信息安全团队的规模,在大型金融企业中可以达到十余人至数十人之众,但中小型金融企业其规模往往不会超过十人,信息安全团队主管的权限范围较难扩大。且由于信息安全并非信息科技工作的“主营业务”,信息安全团队主管对业务、信息系统和生产运维工作的了解掌握往往难以深入,
因此继续升迁至部门负责人、CIO的机会微乎其微。
在这种情况下,金融企业信息安全团队成员的职业规划空间就较为狭窄。通常是一部分人走安全管理路线,一部分人走安全技术路线,其中的脱颖而出者就走至安全团队负责人。因此,团队中拥有更大
抱负的佼佼者,往往会想办法离开安全团队,走向更贴近业务、更贴近市场的开发、运行条线,以谋求更大的发展空间。
要解决信息安全团队的普遍“痛点”,需要从信息安全团队面临的企业宏观环境着手分析,从信息安全文化建设、信息安全团队意识建设、信息安全团队能力建设、信息安全绩效指标体系建设等几方面多管齐下,从而打造一个责任心强、有组织有纪律、富有战斗力的团队。
信息安全团队不是孤立存在的,信息安全的价值体现在对业务、对企业发展的价值。因此,信息安全团队的“痛点”,也必须放在金融企业宏观环境这个大格局中,先从分析团队面临的环境入手,才能真正有效地化解矛盾,解决问题。
信息安全团队要有独立的使命、愿景和价值观,但必须服从企业整体的使命、愿景和价值观
要建立一支具有优良作风和专业水平的信息安全团队,需要先确立团队自身的相对独立的使命、愿景和价值观,这是信息安全团队全体成员共同遵守的准则和纲领,必须贯彻到每一个信息安全团队成
员,并时常学习、互相提醒以刷出“存在感”。
金融企业的使命是服务客户,服务经济。信息安全作为支撑性工作,是为金融企业的业务和管理目标保驾护航的,因此信息安全的使命、愿景和价值观,必须遵从整个金融企业的使命、愿景和价值观。
不管采用哪一种使命、愿景和价值观,信息安全必须服从金融企业战略管理需要,为了实现业务战略目标而存在,不能为了安全而安全。信息安全工作是一个循序渐进、螺旋上升的过程,信息科技风险无处不在,信息安全建设永无止境,不管是大型金融机构的年均投入几个亿,还是中小型金融机构的几十万到几百万,不管是大型金融机构信息安全团队的十几至几十人,还是中小型金融机构的几个至十几个人,都不能堵住所有的风险漏洞,无法保证绝对的安全。信息安全工作,永远都是在做效益和风险的平衡和博弈,只能用尽可能小的代价,做尽可能少的事情,来实现相对最大的安全防控效果。
信息安全团队建设,是信息安全战略的重要组成部分。信息安全战略需要遵从信息科技战略,而信息科技战略需要遵从企业战略。因此,需要首先从企业业务战略目标推导出对信息科技工作的要求,从而制定信息科技战略;然后从信息科技战略分解出信息安全战略目标,从信息安全战略目标再推导出信息安全团队建设目标。
根据金融企业的传统做法,通常会选择相对稳健的业务战略风格,对信息科技架构、信息安全战略的要求也会相对传统、稳健,信息安全团队以合规、风险控制为目标,先期会将重点放在满足监管要
求、部署传统安全工具、防御外部攻击等工作上。
而现在传统金融企业纷纷进入转型期,积极拥抱互联网特别是移动互联网,通常会特别重视互联网
金融建设,相应的科技战略、科技组织架构会有很多适应互联网金融时代灵活、多变、可扩展性强的特征,对信息安全工作也就有着与此相适应的要求。信息安全团队的工作更侧重于云安全、大数据安全、物联网安全、人工智能安全等方面。
(1)企业风险偏好与企业发展周期息息相关
根据企业生命周期理论,企业的发展与成长的动态轨迹包括发展、成长、成熟、衰退几个阶段,处于不同生命周期阶段的企业将会建立与其特点相适应、并能不断促其发展延续的特定组织结构形式,使得企业可以从内部管理方面找到一个相对较优的模式来保持企业的发展能力,在每个生命周期阶段内充分发挥特色优势,进而延长企业的生命周期,帮助企业实现自身的可持续发展。在不同阶段的企业会有不同的风险偏好,也就意味着需要不同的信息安全建设目标和管控水平。信息安全建设,需要与企业不同生命周期的风险偏好相适应,才能更好地起到保驾护航的作用。
在金融企业建设初期,面临严重的业绩压力,发展是第一要务,通常会采用“进攻型”的战略,对于风险的接受程度相对较高,信息安全建设往往被放到不那么重要的位置,此时信息安全团队的数量和质量均会偏弱,甚至是由一个人兼职完成,相应的信息安全建设将主要以“合规”为第一目标,立足于达到监管要求这一最底线要求。
随着金融企业建设的成长,通常由“进攻型”向“防御型”战略转变,以使企业在战略期内所期望达到的经营状况基本保持在战略起点的范围和水平。相对应的,此时风险偏好会偏向于“平衡”,信息安全队伍逐步壮大,往往能建立起一支由几个人组成的信息安全团队。而且由于此时企业知名度日渐上升,受到的外部攻击威胁与日俱增(例如,仿冒的钓鱼网站多了起来,外部监测网站披露的漏洞也多了起来),
此时的安全团队除了满足监管要求外,需要建立起一定的安全攻防能力,安全团队中将分出1~2人来专职负责安全技术防控工作。
企业建设的成熟阶段,通常采用更为稳健的策略,对风险的接受程度更低,对安全合规和风险控制的要求更高,面临的攻击风险和声誉风险更大。此时的安全团队需要更加壮大,安全管理和安全技术并重,“两手抓、两手都要硬”。
企业建设的衰退阶段,可能会采用“紧缩型”战略,此时的安全重点是“不出事”,由于投入的减少,安全团队建设逐步开始萎缩,又回到“满足监管要求”的原始阶段。
金融企业是经营风险的企业,同时也是风险集中的企业,更是将风险防范作为头等大事的企业,在风险防控方面有着特殊的需求。但不同性质和管理风格的金融机构,其风险偏好也会大不一样。
对于风险规避型的金融机构,当预期收益率相同时,偏好那些具有低风险的解决方案,对于风险控制与合规性的要求更高,因此对于信息安全工作的重视程度和落地要求就相对高一些,安全团队建设也会处于扩张的状态。
对于风险追求型的金融机构,当预期收益相同时,会选择风险较大的方案,因为“高风险高收益”,能给他们带来更大的效用。这一类金融机构对于合规建设的重视程度相对偏弱,信息安全工作目标通常仅仅定为“不出事”,基本满足监管要求即可,安全团队建设会受到限制。
近年来,随着移动互联网、物联网、云计算、大数据、区块链、人工智能等金融科技新技术的广泛应用,传统金融机构在各个层面的运行模式被相继改变:移动互联网的快速普及大幅改变了用户的行为习惯,云计算和物联网改变了业务处理和基础设施部署的方式,大数据技术改变了营销模式、风控模式和决策模式,人工智能等技术改变了客户服务和运营模式,区块链重塑了交易流程和信任模式。精准识别用户需求,提供极致用户体验,成为金融科技时代业务发展的首要驱动因素。
随着新技术的发展和新业务、新产品的涌现,信息科技的治理架构、技术架构和运维模式不断演
化,以适应激烈的市场竞争需要。伴生于信息科技建设的信息科技风险管理工作也面临着新形势下的新问题,现有的信息安全防控体系面临防范不足、失当甚至失效的风险。而且,信息安全防御手段的发展往往滞后于信息科技的发展。在新的科技创新形势和新技术层出不穷的环境下,新技术风险的暴露以及随之而来的攻击手段创新,给信息安全风险防范带来了前所未有的压力和挑战。
因此,信息安全团队建设,必须着眼未来、立足长远,必须打造学习型组织,提高员工学习意愿,激发学习潜力,才能与时俱进地学习新知识和新技术,才能更准确、更有效地识别新形势下的新风险,才能更精准地应对风险,从而适应不断变化的内外部环境,实现更有效的风险防范。
“企业文化就是企业发展的DNA”,信息安全团队文化建设就是信息安全团队建设的DNA。文化建设就像一根纽带,把团队每一名成员的个人价值观和奋斗目标,与团队的价值观和整体目标紧密联系在一起,促使每个成员产生强烈的归属感和荣誉感,最大程度地激发每个成员的积极性和创造性,从而使他们能发挥最大的主观能动性,创造出最大的价值,实现团队整体合力最大化。
金融企业信息安全团队的文化,必须针对金融企业信息安全工作普遍面临的问题点和“痛点”,结合宏观环境而制定,必须取得团队的认同感,对团队成员有实实在在的凝聚和激励作用。信息安全团队文化,需要遵循“仰望星空,脚踏实地”的原则,既要有相对宏伟、虚化的愿景性文化,也需要有相对微
观、接地气的写实性文化。虽然不同的信息安全团队会基于各自的特点来开展文化建设,但以下几点“普适性”的文化,可供信息安全文化建设时参考。
在西方,这样一个故事广为流传:三个泥水匠同时盖一座教堂。有人问了这三个人同样的两个问题:
第一个人愁眉苦脸地回答说:“还能为什么?不干活就没有面包吃!不就是把这堵墙砌好吗?还能是什么工作?
第二个人面无表情地说:“我是干泥水匠的,这是我的职业,我已经干20年了,这个城市几乎每间房子我都知道是怎么盖起来的。”
第三位泥水匠面带微笑地回答:“我当然知道为什么干这工作,我正在盖这个城里最大的一座教堂,而且我是在盖教堂的正门部分,这是多么重要,以后每个来做礼拜的人都会看到我做的工作。”
相信很多人都听说过这个故事,也都知道这个故事其实到这里并没有讲完。很多讲故事的人会接着讲这三个人后来的人生成就相差之大:十年之后,第一个泥水匠手艺毫无长进,被老板炒了鱿鱼;第二个泥水匠勉强保住了自己的饭碗,但只是普普通通的泥水匠;第三个泥水匠却成了著名的建筑师。
这三个泥水匠的根本差别在哪里?大家都知道,最主要的差别绝对不是做泥水匠的经验或者技能,而是在于格局。第三个泥水匠的格局显然比前面两个泥水匠要大很多,所以他看到的不是眼前的一砖一瓦,而是未来大教堂的宏伟蓝图。由于格局不一样,对目标的理解不一样,导致工作的出发点不一样,自身能发挥出的潜力不一样,最后每个人的结局自然也不一样。
作为信息安全从业人员,也同样需要提升自己的格局,方可成就一番事业。对于每天从事的工作,
我们也有三种选择:一是把它看作养家糊口、不得已而为之的生计,“做一天和尚撞一天钟”;二是把它看作一项赖以生存的职业,只顾做好眼前的具体工作,“不求有功、但求无过”;三是看到它对企业战略落地、业务发展、科技工作、内外部客户保驾护航的重要价值,发自内心地热爱,充满激情地努力,“呕心沥血,孜孜以求”,最终推动价值的落地实现。显然,我们必须选择第三种。因为格局不一样,所以思考目标的时候,会把个人工作和企业目标关联起来,从企业价值的角度看待自己的发展。
格局不同,境界不同,达到的效果自然大相径庭。上述第三种格局,能让我们实现以下的效果:
·指导团队在制订目标时,更具有大局观,脱离自己的“框框”,打破自己的边界,看得更高、更远、更深。
·指导团队在完成具体任务时,习惯性地“以终为始”,凡事以目标为导向,在不能实现目标的时候及时调整方法,而非机械地执行规定动作,最终导致目标“谬以千里”。
·在团队遇到困难的时候,仍然保持坚忍不拔,在遭受非难的时候,仍然坚持砥砺前行,不因环境不利而消极抱怨,不因能力不足而妄自菲薄。
·在与其他团队协作的时候,以大集体、大团队的目标为先,突破小团队的局限,从而更好地互惠合作,实现企业的整体目标。
·带动团队开阔眼界,放开胸怀,多经历、多吸收、多学习,想办法多走出去,与同业、对手、合作伙伴更多地交流,吐故纳新,扬长避短,从而推动格局和视野的螺旋上升,形成良性循环。
信息安全团队通常都自嘲为“背锅侠”,功劳没有,苦劳一堆,没事的时候默默无闻,出事的时候首当其冲。当然,这是信息安全工作的“宿命”,作为信息安全团队的一员,必须首先从心底接受这一点,必须“认命”,因为信息安全的使命,本身就不是直接创造价值的。
因此,信息安全团队必须要树立良好的心态,从心底认同自己在金融企业中的价值,并且为了实现自己的价值而孜孜不倦。这样就不会完全被外界的评价而左右,才能尊重自己内心的呼唤,踏踏实实地做好基础性的工作,不好高骛远,不贪多求快。
大家都要认识到,信息安全团队的价值可以体现在很多个层面:
一是从国家、社会的宏观层面来讲,成立了网络安全和信息化领导小组,发布了《网络安全法》,
说明在国家层面对于网络安全和信息安全的高度重视和极大关注,网络安全已经成为关系到国计民生的大事。网络技术除了给人们的生活带来种种方便外,同时也为网络上的攻击、诈骗、侵权、窃密等事
件,以及网络上的造谣传谣、涉黄赌毒乃至利用网络传播暴力恐怖有害信息等等提供了便利条件。网络攻击和网络窃密事件层出不穷,匿名者(Anonymous)、蜥蜴小组(LIZARDSQUAD)等黑客组织对商业机构的攻击时有发生,社会上的黑产黑客时刻虎视眈眈,都给国家和社会造成了很大的威胁。
一方面,金融是现代经济的核心,中国作为世界第二大经济体和重要的金融大国,金融安全是国家安全的重要组成部分。另一方面,金融与社会上的每个人息息相关,金融安全事关每个人“钱袋子”的安全,是社会稳定的重要保障。因此,金融企业的信息安全团队背负着极其重要的使命,必须时刻警惕、厉兵秣马、未雨绸缪,坚守岗位,为国家和社会的稳定贡献自己的力量。
二是从行业、企业的微观层面来讲,信息系统运行的稳定性直接关系到企业金融服务的稳定性,客户信息泄漏及其引发的网络诈骗事件可能造成资金的直接损失,如果出现网络攻击事件,可能引发客户的恐慌,导致舆情的风险,危害是极其严重的。
信息安全团队通过自己的努力,保障信息科技工作的合法合规,保障信息系统的稳定运行,保障业务服务的连续和安全,保障客户的信息不被泄露,保护客户资金不遭受损失,维护金融企业的声誉。以上这些虽然不直接创造利润,但通过“合规创造价值”“安全保障创新”等保驾护航的手段,信息安全团队同样可以取得骄人的成绩,可以获得内外部客户的认可。作为信息安全团队的一员,既可以有很多的“小确幸”,也可以实现“大成就”。
金融企业的信息安全是一项涉及面很广但同时专业性很强的工作,保持专业水准,是信息安全团队自信的来源,是团队核心竞争力不可替代性的体现。因此,信息安全团队应该时刻思考,如何提升自己的专业能力,如何建立对工作、对自己的信心,满怀激情地将工作做到极致,才能使团队的价值最大
化。
信息安全专业自信,不是盲目自大,首先必须要有真材实料,应该对整个安全形势有自己的判断,其次对信息安全行业和市场要有足够的了解。应该建立自己的知识结构:
·要有规划意识,构建信息安全的整体逻辑架构。信息安全涉及范围非常广泛,有宏观也有微观,有横向也有纵向,有管理也有技术,信息安全团队要明确自己的规划边界,思考如何建立一个合理的安全架构。
·要了解安全形势。从国际安全形势、国家安全政策、国内安全动态、安全监管方向、金融安全态势等角度出发,了解最新的安全趋势,方可及时调整自己的工作重点和风险防范重点。时刻把自己的工作代入到宏观大环境中思考,就可以跳出局限性的思维框架,更好地把握和防控关键风险。
·要了解整个金融行业和信息安全产业。一方面,要了解金融行业的监管政策、业务趋势、业务风险,思考信息安全工作如何围绕行业要求开展;另一方面,要了解信息安全垂直行业,对于行业的发展趋势、前沿技术要持续学习,才能为我所用。此外,还需要知道金融同业的安全防控情况,客户最关心的风险等,确保工作有的放矢。
·要深入学习掌握专业知识。攻击手段的不断进化推动了防御手段的持续调整,导致信息安全技术演进和发展很快,信息安全团队需要不断地吸收专业知识,时刻保持自己对最新的政策文件、攻防技术都心中有数。
·要多思考、多总结、多分析,形成逻辑框架和专业经验。需要摒弃被动的吸收,多一些主动的思考和沉淀,形成自己的专业逻辑框架,在框架内发现自己的短板,有针对性地补充新的知识,才能在专业的深度和广度上走得更远。
·要分清主次,抓住重点。金融企业信息安全面临的风险是非常多的,要力图解决每一个问题是不现实的,资源也不可能无限制投入。因此,要提高对关键风险、重要问题的判断能力,针对关键风险和重要问题要深入理解,多想多问为什么,思考每个问题背后的意义,深究每个风险背后的原因,各个击
破,力求化解,切忌不求甚解、囫囵吞枣。如此以点带面,才能逐步提高整体专业水平。
综上所述,信息安全团队必须打造专业自信的文化,不给自己设框设限,要逃离自己的舒适区,开创更为广阔的天地。要对自己有严格的要求,实现两个“高于”的目标:高于领导的期望,高于领导的专业水平。
稻盛和夫在《活法》一书中,提到过这样一个故事:
他年轻的时候听过松下幸之助的一个演讲,松下幸之助演讲的内容是经营企业应该像水库蓄水一样,景气时要为不景气时做好准备,一定要保留一个后备力量。
那时松下幸之助的事业也刚刚起步,远没有后来的声望,很多人听了演讲之后,都不怎么满意。因为他们希望听到的是怎么让企业成功的经验,而不是企业如何在取得一定成功后做什么准备的话。因
此,有人说:“说些什么呢?不正因为没有储备,大家才每天挥汗如雨,恶战苦斗的吗……我们想听的是如何去建造这个水库,而你再三强调水库的重要性,这有什么用呢?”有一个男士站起来质问:“如果能进行水库式管理当然好,但是,现实上不能。若不能告诉我们如何才可以进行水库式的经营,那不是白说吗?
松下幸之助这时有些无奈,他停了一下说:“那种办法我也不知道,但我们必须要有不建水库就誓不罢休的决心。”
许多人哄堂大笑,但稻盛和夫却很有收获,并把这种不建水库就誓不罢休的决心应用到创业中,也许正是这种誓不罢休的精神,才有了他的成功。
从这个故事中,我们可以看到,一个“用心”的文化多么重要。只有先有“心”,才能把一切事情做好;只要有了“心”,就可以把一切事情做好。
对于信息安全团队来说,也必须先“用心”。“用心”的文化体现在很多方面:
·每个团队成员,都要把团队的目标作为自己的目标,凡事从目标出发,不停地思考实现目标的方法,寻找各种对策来实现目标。例如,信息安全团队的目标是发现并化解信息科技风险,一旦树立了这个目标,就会通过各种检查、整改等管理手段,以及各种各样的安全技术防控手段来提前发现风险,并采取各种降低、规避、转移的方式来化解风险。
·每个团队成员,都会自发地工作,主动把事情“做好”而非仅仅“做完”。团队领导考虑问题不一定非常全面,交代任务时也不一定能事无巨细地讲透每一个细节,这时就需要每个团队成员主动思考、互相补位,才可以形成强大的合力,推动目标更好地达成。
·每个团员成员,碰到困难时会迎难而上,出现问题时则会共同担当。由于大家都是非常用心地工作,在出现困难时,大家会一起想办法克服,用各种各样的手段去化解困难。
如稻盛和夫先生所说,“人哪里需要远离凡尘?工作场就是修炼精神的最佳场所,工作本身就是一种修行。只要每天努力工作,培养崇高的人格,美好人生也将唾手可得”。如果信息安全团队的每一个成
员,都把工作当作一种修行,认真对待工作,就可以把事情做到完美,让别人放心,这是一个很可贵的品质。对于团队来说,如果每个人都非常“用心”地工作,那将是团队的一笔宝贵财富。
在《习惯:习惯的力量》一书中提到,“没有什么比习惯的力量更强大”。习惯让我们“下意识”地行动,不用刻意思考即可遵循规范行事;让我们减少了考虑时间,简化了行动步骤,从而更有效率。
养成好的习惯远比具体完成任何一项工作都要重要。对于信息安全团队来说,需要养成以下几个好习惯:
一是计划的习惯。在工作中经常会碰到这样的情况,有些同事任务没有完成,当问及原因时,往往是“忘记了”或者“太忙了”。但怎样做到不忘记?最好的方法就是制订计划。每个人接到每项任务后的第一件事情就是制订计划,凡事必有计划,区别只是在于计划时间点的数量和时间的长短。“好记性不如烂笔头”,对每件事情都定下自己的下一个目标时间点,并把它记在本人的工作计划表或项目管理工具中,再每天/每周回顾计划表执行进展,就会不断提醒自己和别人,从而有条不紊、不遗漏地完成工作任务。
对于信息安全团队来说,计划主要分成四大类:
·例行性工作计划,例如,监管要求、制度要求中规定每天/每周/每月/每季/每年必须完成的工作任务。对于这类任务,需要在接收到监管要求后或者制度制定后就马上列入计划表,每年初回顾一下,是否需要根据监管要求或者制度规定对例行任务进行相应调整。
·专项工作计划,例如,某个信息安全技术实施项目(部署WAF、安全大数据分析项目等),或者某项安全管理类工作(通过ISO27001认证、制定××制度等),这些工作需要在每年初就确定工作目标,安排相应的预算和人力资源,并列入部门整体工作计划中。
·安全整改类工作计划,是针对在日常监管检查、审计或合规检查、风险评估、安全检查等工作中发现的风险的处置工作计划,这些计划需要在检查结果确认后马上制订对应的整改方案和完成时间表。
·突发性工作计划,例如,新颁发的监管要求需立即组织对照排查并提交报告;外部新披露的风险漏洞需对照检查和整改等,这些往往属于“重要而且紧急”的工作任务,在收到后需要第一时间明确完成的目标要求、需要调动的各方资源等,并立即推进完成。
无论是哪类计划,都需要明确完成时间、责任人、资源需求、配合工作方、工作提交件和完成标志等,然后纳入计划表中统一跟进直至最终“画上句号”。
二是敢于承诺和遵守承诺的习惯。金融企业信息安全团队的目标是防范和化解风险,为金融企业提供安全服务。信息安全团队必须敢于做出承诺,并想尽办法严格遵守承诺,树立“使命必达”的信念,才能博得领导或者其他团队的信任,有利于工作的开展。
·面对监管机构或者审计、风险、合规等部门发现的问题,信息安全团队要敢于代表信息科技部门给出限时整改的承诺。
·面对领导或其他团队给出的工作要求,要敢于承诺完成时间和目标,并不折不扣地达成目标。
·对于信息安全团队检查发现的问题,要敢于督促其他团队制订整改计划并给出完成计划的承诺,监督承诺的执行。
三是高效处理邮件的习惯。信息安全工作与很多工作都有关联,每个人每天都会收到大量的邮件,其中有些是阅知即可的,有些是要重点看并执行的,有些是收到后立即要处理的,有些是要花些时间才能完成处理的。人们每天都要花很多的时间来处理邮件,既导致时间碎片化而降低效率,又可能出现因邮件太多而使重要邮件没有及时处理。怎样才能高效地处理邮件,确保不遗漏待办事项,有几个小技巧可以参考:
·关闭邮件的“即时提醒”功能,每天安排固定的时间处理邮件(例如,每个上午的固定时间,下班前的半小时等),其他大片的时间专注于处理其他的专项工作。这样可以避免自己的工作思路总是被突如其来的邮件打断,保持专注力,从而提高工作效率。不用担心错过“特急”的工作任务,因为对于特急的事项都会通过电话提醒,这是一个大多数人都会遵守的职场习惯。
·对邮件要分类建立文件夹,例如,“已处理”文件夹,放置已经看过或已经处理完且以后不需要再看的邮件;“待参阅”文件夹,放置将来随时要执行的制度流程要求或者某些知识性的邮件,并将邮件标题修改为关键字的索引,方便今后查找和翻阅;“待处理”文件夹,放置自己要做且不能马上处理完、要制订后续计划的邮件,同时立即设置一条工作日历,提醒自己完成时间,并且在计划管理工具上立即建立一条对应任务,制订计划;“委办”文件夹,放置
已经通知别人准备、自己到时候看结果的邮件,同时立即设置一条工作日历,提醒别人应该回复的时间,如果没有按时收到回复则立即督办。按照上述分类邮件后,收件箱中的内容就会变得很少,待办事项如果没处理完就会一直放着,每天下班前检索一次,不易遗漏。
·每封邮件只看一次,且当日事当日毕。很多人邮箱里积累着成百上千封的未读邮件,“冰冻三尺,非一日之寒”,这些绝对不是一夜之间堆积起来的,而是对待邮件“拖延症”的后果。如果总是想着“有时间再来处理”,那些没有读过的邮件就会永远在邮箱中保留下来。因此,每封邮件打开后都要马上处理,做出立即行动、转发他人完成、转成工作计划、阅知即可等判断,并且尽力在结束一天工作的时候,实现收件箱里空空如也的目标,确保当天的所有邮件都被妥当处理。这不是一个容易养成的习惯,但是却会带来极高的工作效率,以及每天下班后的踏实感。
·总结和创建邮件模板。根据信息安全工作性质,总结出若干个常用邮件模板,可以提高效率,避免重复劳动。例如,安全检查结果通报、安全整改工作督办、发现漏洞情况通报等,都可以积累形成模
板。建立好模板库后,今后类似工作都可以从中搜索出结构相近、可重复利用的内容,大大缩短邮件创建的时间。
四是认真完成文档撰写的习惯。信息安全团队工作任务中很大一部分是“写报告”,如提交给监管机构的安全自查报告、提交给管理层的风险排查报告、提交给审计或合规部门的整改工作报告等,所以文档撰写能力非常重要。文档撰写要注意以下几点:
·力求逻辑严密。文字功底不是一朝一夕可以练就,但工作文档的逻辑却是有章可循的,可以通过技巧来实现“速成”。在文档撰写前必须先思考,用什么样的逻辑才能够清楚表达自己的思想,展现自己的工作成果;逻辑清晰后,先列出工作提纲,再补充“血肉”。麦肯锡国际管理咨询公司的咨询顾问巴巴拉·明托(BarbaraMinto)编著的《金字塔原理》一书,对于文档的逻辑给出了非常好的定义和方法论的指导,其中特别提出MECE(MutuallyExclusiveCollectivelyExhaustive)的原则,中文意思是“相互独立,
完全穷尽”,也就是对于一个重大的议题,要做到不重叠、不遗漏的分类,而且能够把握住问题的核心和关键点,非常值得在工作中参考借鉴。
·注意阅读对象。每一份文档、报告在构思和落笔前,先要问自己几个问题—文档的阅读对象是谁?
需要让他/她关注或记住的几个要点是什么?需要他/她解决的问题是什么?信息安全团队报告的对象包括监管机构、行内董事会或高管层、审计或合规部门、部门领导、其他兄弟团队等,对于不同的阅读对
象,信息披露的范围、风险描述的程度和方式都不一样,是“报告”还是“请示”,是“报喜”还是“报忧”,是要让对方对风险状况“放心”还是对风险严重程度引起“重视”,是要单刀直入讲问题还是先铺垫背景等,这些决定了行文的口气、内容选择、文档结构组织方式等关键要素,需要针对阅读对象以及想要解决的问题来组织逻辑和语言。
·避免低级错误。这是最容易犯的毛病,在日常工作中,大家总是会出现标点符号错误、错别字、语
句不通顺、附件版本错等看似“低级”的错误,很多人都不重视,认为就是粗心而已,不影响大局。其实不然。所谓“见微知著”,细节做不好,反映的是态度有问题。试想,如果信息安全团队交出来的安全检查报告错字连篇,那安全检查本身,能让人相信是踏踏实实认认真真做的吗,质量和效果能得到保证
吗?因此,需要养成习惯,每次邮件发出前或者提交文档前,自己从头到尾通读一遍,看看有没有错别字或用错的标点符号,语句是否通顺,邮件标题是否符合标准,附件是否是修改后的最终版本等。
综上,只要养成良好的工作习惯,脚踏实地、求真务实地做好当下的每一件事情,戒骄戒躁,把每一步的基础都夯实了,结果自然会水到渠成。
长期从事信息安全工作的人,由于与病毒、木马、漏洞、风险等经常打交道,会存在“职业病”,看到某些不合规、有风险的地方就会极其敏感、周身不自在。
例如,在工作中经常存在以下合规方面的错误意识:
·只要主观意愿和出发点是好的,违规一两次也情有可原。
·心存侥幸,不严格按照制度和操作规程一步步操作,而是认为只要没有被发现就算过关。
·以前都是这样做的,照做就是了,不用管合规不合规。
·效率至上,片面追求“快”,把事情做完就好,不合规也没关系。
·人情代替制度,领导要求的、其他兄弟团队想知道的、其他部门想知道的,即使制度不允许,告诉他们也没有关系。
·只要不违反大的制度流程就行了,个别的小细节没做到位也不算违规。·个别流程找不到书面流程作为依据,那自己想怎么做就怎么做。
·虽然违反了制度流程要求,但是没有给企业造成损失,或者反而还帮企业节省了成本或费用,这种做法不违规。
上述现象,对于很多金融企业都是常见情况,对于很多人来说都习以为常,但对于“有洁癖”的安全团队来说,是不可容忍的,他们对上述情况会有很强的风险敏感性,会习惯性地对这些不合规的现象刨根究底、决不轻易放过。正是这种对每一个环节每一个细节都要求出色、完美,不忽视任何一个违规细
节的习惯,才是信息安全团队的专业素养之一,才让信息安全团队与众不同,才让信息安全团队履行自己的使命和职责,尽全力去维护一个合规、干净的企业安全环境。
《易经·系辞》中有句话“形而上者谓之道,形而下者谓之器”,这是中国古代哲学的重要范畴,儒家哲学中无形的或未成形体的东西,与表示有形的或已成形的东西的对称。映射到信息安全领
域,“道”与“器”,可以理解为精神和意识层面未成形的“道”,和技能、工具层面的“器”之间的相互呼应和对称。
对于信息安全团队来说,团队文化可以说是在整体层面的“道”,而团队的意识则是一种更具体化的“道”。以下几种意识,是信息安全团队需要特别注重培养的意识。
对于任何一个组织来说,满足客户需求都是首要和核心的任务。信息安全团队作为一个行使独立功能的“组织”,也同样需要满足客户的需求。参考管理大师彼得·德鲁克(PeterF.Drucker)的“经典五问”,信息安全团队需要反复地问自己这样几个问题:我们的使命是什么?我们的客户是谁?我们的客户重视什么?我们的成果是什么?我们的计划是什么?
这些问题的答案,必须围绕一个核心来找寻,即“客户”。只有先识别客户,然后分析客户的需求,才能确定团队的使命、工作目标和工作成果,进而才能有工作计划。
信息安全团队的客户,分为以下两大类:
一是行外客户。金融企业服务的所有客户,包括资产端、资金端、中间业务等业务的客户,都是信息安全团队需要服务的对象。信息安全工作,需要围绕如何保障客户资金安全、客户信息安全、客户服务能够正常提供等内容开展。通过设计合理的业务逻辑、采取严密的身份验证措施和交易验证措施、建立风险监测模型、部署安全防控工具、加强运维保障等手段,在尽量简化客户操作、优化客户体验的同时,向客户提供安全稳定的服务。
二是行内客户。从广义上看,行内的董事会和高管层,信息科技风险防范的第二第三道防线(合
规、风险、审计等部门)、各管理部门和业务部门,信息科技部门的其他团队,都是信息安全团队的服务对象。信息安全工作,需要围绕合法合规、识别并化解风险等方面开展,通过监管要求对照达成、规章制度建设、信息安全管理体系建设、安全意识宣贯和培训等方式,主动地向行内客户披露风险,采取措施规避或降低风险,督促安全整改任务的完成,确保信息科技工作的安全合规。
不管是行内还是行外的客户,信息安全团队都需要在完成工作任务的时候心中时刻考虑这些客户的核心诉求,考虑如何做才能让客户满意度提升,如何主动开展工作才能帮助客户规避风险,如此方能有的放矢,措施行之有效。
正如俗语所说,“安全责任重于泰山”,金融企业的信息安全团队时刻与风险打交道,一个疏忽就可能导致风险无法被及时发现,一个放纵就可能导致风险无法得到及时的处置,而一个风险就可能导致客户重大的损失。在此环境下,信息安全团队每个成员的责任心就显得异常重要。
不管信息安全团队的成员负责的是整个安全规划的设计,还是某个安全制度的修订、安全技术策略的调整,都必须把责任意识放在极高的位置,把自己看成整个企业安全防控的责任人,对安全防控的整体结果负责,绝对不能“千里之堤,溃于蚁穴”。
有了责任意识,就会认真细致地制订方案计划,就会不放过任何一个风险隐患的蛛丝马迹,就会发现风险后立即承担责任并确保整改到位,就会遇到问题绝不退缩而是积极寻求解决方案,就会坚持学习了解新的安全动向并查漏补缺,就会努力调动一切资源来达成安全防控的目标。
信息安全团队是为金融企业客户安全保驾护航的“风险清道夫”,对于风险必须有最强的敏感性和最小的容忍度。“看不见的风险是最大的风险”,信息安全团队必须练就“火眼金睛”,先要识别风险,继而尽最大的努力化解风险。
关于信息安全事故、风险、隐患的存在与发展,有几个重要的理论和法则:
·“冰山理论”,冰山浮出水面的部分仅占总体积的十分之一左右,其余大部分深藏于水下。
·“海恩法则”,每一起严重的航空事故背后,必然有近29起轻微事故和300多起未遂事故先兆,以及1000起事故隐患。
·“墨菲定律”,如果坏事有可能发生,不管这种可能性多么小,它总会发生,并引起最大可能的损失。
从上述三条安全界的著名定律可以推导得出,真正令人害怕的,并不是已经发生的、可见的事故,而是更多潜藏的未知隐患和威胁。要避免发生严重的事故,就必须像轮船发现水面以下的冰山那样,提
前发现事故隐患,并将其扼杀在萌芽状态。
因此,信息安全团队必须建立对风险的“敬畏之心”,不能把安全防控重点放在风险事件发生之后疲于奔命的应急处置,不应该总是担任“救火队员”,而应该将风险前移,将工作重心放在事前预防、事中控制,重点放在对尚未暴露的风险隐患的排查、发现和及时化解,做到未雨绸缪,心中有数,防患于未然。当然,如果风险事件万一真正发生了,也不要逃避,而是应该深入总结分析,查明根本原因,举一反三,落实整改措施,直至彻底解决。
随着新技术的发展和新业务、新产品的涌现,信息科技的治理架构、技术架构和运维模式不断演
化,以适应激烈的市场竞争。伴生于信息科技建设的信息安全工作也在新形势下面临着新问题,现有的信息安全防控体系存在着防范不足、失当甚至失效的风险,传统的安全基础架构和安全技术工具在新形势下显得捉襟见肘,逐渐力不从心。
按照传统的安全思维和信息安全工作定位,信息安全的发展往往相对滞后于业务的快速创新和技术的高速发展。然而,在新的形势下,信息安全工作也必须与时俱进,信息安全团队必须树立创新意识,从创新中寻求突破和发展。
第一是理念的创新。在新的科技创新形势和新技术层出不穷的环境下,新技术风险的暴露以及随之而来的攻击手段创新,给信息安全风险防范带来了前所未有的压力和挑战。例如,云计算发展使金融企业的网络边界被打破,移动应用让终端安全管理成为挑战,大数据使信息保护的难度被放大。信息安全团队从理念上认识到创新的重要性,时刻更新自己的理念,深入分析新技术、新形势下存在的新风险,掌握业务和技术发展趋势,加快新技术的学习,抓住新技术中的关键风险点,针对性地建立防控措施。
第二是制度的创新。制度创新包括组织架构的创新、管理体系的创新、工作流程的创新和管理制度的创新等。为了更好地发挥信息安全工作对业务和其他科技工作的支撑作用,信息安全团队必须建立一套能快速响应互联网和金融科技创新形势的信息安全管理组织、机制、流程和制度体系,根据最新的监管要求、国际国内安全管理体系标准和技术规范,持续不断地更新迭代,既防控住关键风险,又不显著影响工作效率。
第三是技术的创新。金融企业普遍部署了防病毒软件、防火墙、IPS/IDS、WAF等安全相关的工具软件,以防范外部的攻击入侵。这些常见的传统安全防御手段主要针对传统业务和技术架构进行设计和部署。但是,随着技术不断进步,新技术往往引入新的架构和新的业务模式,一方面,存在新技术引入的
新风险,大量的新漏洞呈现集中爆发趋势,系统安全受到威胁,传统的风险管控手段滞后,无法满足新风险的防范要求;另一方面,金融企业引发的关注度增加,获利性吸引力增强,导致面临的攻击加大,而攻击方法和工具的进化速度总是领先于防控平台,传统的安全防范技术已经无法完全满足新形势下的安全保障要求。因此必须大幅加强安全技术的创新应用,如威胁情报分析、安全态势感知与安全大数据分析、人工智能等,才能应对千变万化的安全威胁。
要保持创新的理念、制度和技术,需要信息安全团队持续不断地跟踪、掌握和研判国内外发展态势,结合自身的深入思考,形成创新的氛围,专项研究创新成果的转化应用。
当今时代,新理念、新技术层出不穷,新攻击趋向产业化,新漏洞出现常态化,任何在信息安全方面因循守旧的传统金融企业,都可能面临安全防线被攻破的风险。
因此,必须打造学习型的信息安全团队,提高团队全体成员的学习意愿,激发学习潜力,才能保持源源不断的原动力,实现有效的风险防范。
·从信息安全团队负责人开始,就要在思想上提高认识,以身作则地学习,并在整个团队内部达成共识,形成向学习型组织进化的融洽氛围。
·要加强对员工的教育和引导,激发员工的主观能动性,实现从“要我学、要我做”到“我要学、我要做”的转变,使员工的个人追求和个人价值体现与安全团队目标和安全团队价值观保持一致。
·要推动从学习到生产的转化,鼓励员工切实把学习的内容消化、吸收并且变为对工作有帮助的原材料,最终实现事半功倍的产出。
·鼓励和营造团队内部互相交流和探讨的气氛,通过企业内训、员工之间互相培训、内部交流会等形式,达到“1+1>>2”的效果,将个人智慧转化为集体智慧。
通过打造学习型团队,可以提高信息安全团队对信息科技风险的掌控能力,也同时提高对风险的预判和防控能力,既避免“看不见的风险”,又能随时从容应对“已看到的风险”。
沟通在任何工作中的重要性都毋庸置疑。对于信息安全团队来说,大量的风险控制工作并非由自身完成,需要通过持续不断的沟通,来实现风险管控的目标。因此,必须在整个团队内部营造随时沟通的
融洽氛围,对团队外部注意沟通的方式方法,实现良好的沟通效果。
·通过沟通实现“管理”上级。信息安全工作的目标没有统一范式,必须通过沟通去逐步确定。例如,信息安全工作目标是否与企业战略目标、信息科技战略目标保持一致,信息安全工作相关成本与效益的平衡点如何把控,信息安全投入和管控的重点在哪里,都需要向信息科技部门的负责人、首席信息官、高管层、董事会等做各种各样的报告,通过多轮的沟通,方可确定。因此,需要通过良好的沟通方式,争取上级的支持。为了更好地“管理”上级,需要掌握几个沟通的小技巧:站在上级的角度思考,用数字和事实说话,建立固定的沟通机制(包括时间、频率、汇报模板等),凡事带着解决方案去请示(说明各套方案的优缺点),等等。
·通过沟通横向协调和合作。信息安全工作不是金融企业的主营业务,但是对主营业务会产生一定的制约作用,因此需要加强横向的沟通。与其他部门的沟通、部门内部其他团队的沟通,目的都是为了更好地协作,达成金融企业的整体目标,确保安全这个“大后方”对前沿阵地的有效支持。积极主动地进行横向沟通,向对方讲清楚信息安全工作的必要性和目标,以及对客户、业务、科技其他工作的帮助作
用,让大家理解安全不是为了“制约”而是为了“保护”,从而从心底理解和接受信息安全工作的出发点,心甘情愿地配合信息安全团队的工作,这样就能事半功倍,更好地达到风险管控的效果。
·通过沟通管理团队。信息安全团队内部必须建立顺畅的沟通文化,必须通过沟通确保团队成员对工作规划、工作目标、实现方法理解一致。在任何一个团队成员遇到困难时,必须敢于及时提出,并利用团队的力量共同讨论、沟通、协调并解决。
信息安全团队可以这样理解沟通的意义:上级、平级、下级都是可以利用的资源,沟通就是通过努力协调全方位的资源,用于达成信息安全管理的目标,从而实现信息安全对企业目标的支撑和保驾护航作用的过程。
根据中国信息安全测评中心发布的《中国信息安全从业人员现状调研报告(2017年度)》,我国信息安全从业人员年龄大多在20~40岁之间(占比88.4%),65.9%的人员从业年限在5年以内,仅15%是信息安全专业毕业。可见,信息安全从业人员相对较为年轻,信息安全行业经验较短,且绝大部分并非信息安全专业毕业的“科班生”。因此,该报告得出判断,“整体信息安全人员的职业发展都处于初步成型阶段”。
表面上看这些都是信息安全团队的劣势,但凡事皆有两面性,只要用心加以转化,劣势就可以变为优势。信息安全团队成员虽然普遍从业年限不长,存在一定的知识和技能短板,但年轻的团队处于学习和成长的旺盛期,只要推动组建学习型组织,建立合适的知识结构,形成有效的思维模式,就能推动团队快速进步。
一个好团队的建设标准,可以采用“两个离开”来衡量:
·团队成员要有能力离开,这就要求提升团队成员的知识和技能。
·团队成员不愿意离开,这就要求持续提升团队凝聚力以及团队成员的价值感和归属感。
“能力+意愿”二者的结合,必能打造一支优秀的、战斗力强的团队。其中,团队意愿建设有很大的普适性,已经有大量的书籍和文章研讨,此处不再赘述。团队能力建设具有专业特性,而金融企业信息安全团队的能力建设更是有鲜明的特点和要求,下文将重点阐述。
金融企业团队的信息安全工作涉及面广、安全保障级别高,对信息安全团队的能力建设提出了更高的要求,需要通过恰当的专业分工,一方面让每个成员各司其职,使个人职责范围内的知识和技能提升最大化,另一方面让团队成员之间优势互补,促进团队的整体效率和效能最大化。
1)确定团队工作目标,找准主要矛盾,明确团队整体职责。
2)根据资源情况、团队成员特点,将团队的整体职责进行梳理并细分为若干子团队的职责。
3)根据职责分工,确定各团队成员的知识和技能需求,再根据团队的知识和技能背景,找出差距,制订有针对性的培养提升计划。
4)掌握学习方法,实现事半功倍的效果。以下依次说明每个步骤的实践方法。
金融企业的信息安全工作目标通常分为两部分:
·安全管理类,主要是满足监管合规性要求和防范科技工作流程中的风险。
·安全技术类,主要是通过各种各样的技术防控手段,防范攻击入侵、信息泄露等信息安全风险。
不同发展阶段的金融企业,上述目标的侧重性会不一样。与科技企业、互联网企业等“技术流派”不
同的是,金融企业的安全团队往往优先满足第一类目标,因为金融企业面临的监管要求多,合规性是对外经营的基础,必须优先保障制度流程的完善及操作过程的合规。第二类目标一般先通过部署基本的安全工具(如防火墙、防病毒、IDS、WAF等)实现技术防控,再依托第三方安全专业机构的外包资源做渗透测试、漏洞扫描和日常安全监测等。
要根据本企业的特点和信息安全工作发展阶段,抓住当前信息安全团队工作的主要矛盾,确定安全团队的关键职责和团队能力建设的重点:
·如果距监管要求的达成还有较大差距,安全团队就要先把主要精力放在合规性方面,安全技术防控方面先部署基本的技术工具,并适当利用外包资源。此时安全团队的关键职责就是构筑信息安全的底
线,开展监管要求符合性分析和差距整改、信息安全管理体系建设、制度流程完善、内部安全检查等工作,将安全技术工具维护和安全外包服务作为辅助职责。
·如果信息安全管理工作已经达到一定水平,就要持续坚持信息科技合规建设不放松,同时加快培养安全技术防控能力。此时安全团队的关键职责需要兼顾管理和技术两方面,在巩固既定的安全管理长效机制的同时,逐步建立一体化、自动化、智能化的纵深防御技术体系,在安全工具和平台的新增引入和升级、安全技术策略的持续优化、安全技术服务的综合化和多样化、安全攻防的深入化等方面下大功
夫。
金融企业的信息安全团队工作目标、主要矛盾、关键职责等方向性的内容确定后,需要对团队职能开展进一步的细化,明确具体的工作任务。
信息安全管理职能,即通过管理手段防范信息科技风险。主要包括:
·主要负责信息安全管理策略、制度、流程的制定和优化,确保各项信息科技监管要求在行内制度和流程中得到贯彻,即“有章可循”。
·对各种监管合规要求、制度流程的执行情况进行检查和监督,确保制度流程在日常工作中落实到位,即“有章必循”。
主要工作职责包括但不限于以下几项:
·负责信息安全整体规划设计和计划管理。组织制订符合金融企业科技规划和风险偏好的信息安全规划,确定信息安全工作的愿景、使命、价值观和发展方向,明确信息安全工作的长期和短期目标,摸查现状和目标的差距,制订具体实施路径;制订年度信息安全工作计划并组织分解任务,确保计划达成。
·负责金融领域信息科技相关监管要求的达成。负责组织落实国家监管机构及行业组织颁布的信息安全管理要求和规章制度要求,对于不符合项组织排查和整改到位;负责向监管机构、行业组织及行内职能部门等报送信息科技风险监测情况,满足监管机构对信息安全的监测要求;保持与监管机构和信息安全机构的良好沟通与联络,掌握同业信息安全管理控制的动态信息,指导内部信息安全工作;建立完善与监管机构、行业组织、重要客户的沟通联络应急机制,保持应急机制的有效性。
·负责信息安全管理体系建设及维护工作。对于需要通过或持续维护ISO27001认证的企业,采用
ISO27001信息安全管理体系为标准,借鉴国际信息安全管理最佳实践经验,制定信息安全策略和方针,系统梳理企业信息安全管理存在的风险,采取有效措施防范信息安全风险,提高自身信息安全管理水
平;获得由国家权威机构颁发的ISO27001信息安全管理体系认证证书,提升企业形象和外部认可;持续维护信息安全管理体系并每年通过国家权威机构的年审,确保风险管理机制的长期可持续性。
·负责信息科技规章制度和流程的制定和优化完善。收集整理并组织落实国家监管机构及行业组织颁
布的信息安全规章制度和管理要求;将外部要求转化为内部制度和流程,建立健全科技规章制度体系,组织规章制度的制定、宣讲、评估、修订、废止等全生命周期管理;组织开展信息科技规章制度检查,检查各项制度流程的执行落实情况,评估制度流程的有效性和可操作性,适时开展制度修订或废止;负责将制度要求落实到内部管理系统中,实现制度要求的技术硬约束。
·负责外部信息安全检查的组织和配合。负责具体组织、协调、配合监管机构、行业组织等外部单位以及内部审计部门、风险管理部门、合规部门等开展的信息科技检查工作;针对监管机构现场或非现场检查、内部审计、外部审计以及风险评估发现的风险,组织落实信息安全风险整改,控制和化解风险。
·负责信息科技内部风险检查和评估。组织信息科技内部合规性检查、风险评估、整改机制的制定和落实,确保风险被主动的发现和整改,总体控制信息科技风险。
·负责组织其他部门和分支机构的信息安全工作。组织对其他部门和分支机构的信息安全现场和非现场检查和监督,确保信息安全制度和要求在全行的贯彻落实。
·负责组织信息科技突发事件的应急处置。组织信息科技突发事件和信息安全攻击事件的监控和分析,向监管部门和行内管理层报告,协调应急处理,控制突发事件带来的影响和损失。
·负责全辖安全团队建设和培训宣传。组织分支机构建立信息安全岗位,负责岗位人员的培养;负责全体员工信息安全意识教育和培训。
信息安全技术职能
通俗地讲,信息安全技术职能就是要通过技术措施,实现让攻击者“进不来,拿不走,打不开”的目标:
·“练内功”,致力于提高信息系统自身的健壮性和免疫力,通过制定安全技术规范,确保金融机构的信息系统遵循技术规范设计、开发和运维,减少系统运行的风险和漏洞。
·“防外贼”,在信息系统外围建立“篱笆墙”,通过设计安全技术架构,实施专门的安全技术工具,保护金融企业信息系统及系统中的数据免遭破坏或泄露。
·负责制订企业级的信息安全技术规划和技术架构。明确安全技术防控目标,构建覆盖物理安全、网络安全、系统安全、应用安全、数据安全、桌面安全等全方位的技术规划蓝图,确定技术架构体系;摸
查安全技术建设的现状和差距,制订安全技术防控措施的实施路径。
·负责组织制订和落实信息系统安全技术要求。根据监管机构、行业组织等发布的信息安全技术标准和规范,组织在行内的落实和转化;制订覆盖物理安全、网络安全、系统安全、桌面安全的信息安全基线;制订覆盖需求分析、系统设计、编码、测试、投产、运维等全生命周期的应用安全管理技术规范;
通过制订规范、宣讲规范、技术评审、落实情况检查、督促整改的闭环机制,分析评估和化解现有信息系统安全技术架构和安全措施存在的问题和漏洞,确保安全基线和安全技术规范在生产运维、应用研
发、科技管理等工作中有效贯彻落实。
·负责信息安全基础设施和技术工具的建设和运维。根据整体技术架构,分步骤地实施防病毒、防火墙、入侵检测、漏洞扫描、安全事件管理平台、安全情报分析、安全态势感知平台等信息安全技术措
施,负责安全技术策略的建立、调优和维护,开展日常信息安全事件的应急响应和处置,防范安全攻击和入侵风险。
·负责安全漏洞检测和防护。信息系统投产前开展网络、系统、数据库、应用等各层面的漏洞扫描和风险评估,组织漏洞分析排查和修复;组织外部专业安全机构定期开展应用系统渗透性测试,有条件的组建内部渗透性测试队伍,评估漏洞风险等级并制订修复方案;针对外部披露的漏洞信息、病毒风险、
威胁情报等,组织应急响应和风险防范;组建内部安全攻防队伍,制订安全事件应急预案并开展攻防演练;组织开展应用系统防病毒、防挂马、防篡改、防钓鱼、抗DDOS攻击等方面的安全监控和应急处置。
·负责组织开展信息系统安全等级保护工作。按照国家信息安全等级保护相关法规和标准,开展定级、备案、自查、测评及整改等工作,实现等级保护“同步规划、同步建设、同步运行”。
·负责信息安全新技术的跟踪研究。组织收集和研究同业信息安全技术及管理发展动态,研究行业信息安全技术发展趋势,提出信息安全技术和管理发展方向建议。
在准确梳理上述信息安全团队职能的基础上,根据信息安全团队人力资源、当年可以投入信息安全工作的财务资源情况,确定本企业当前形势下最关键的信息安全职能是哪几项,然后将关键职能分配至团队成员。最好至少设置安全管理和安全技术两个岗位,在信息安全团队达到一定规模后,可划分为安全管理和安全技术两个小团队,每个小团队中的成员赋予一部分的职责。
上述步骤完成后,就可以形成信息安全团队岗位职责对照表,如表5-1所示。
表5-1信息安全团队岗位职责对照表
所谓“工欲善其事,必先利其器”,在明确目标和绩效指标后,就要通过持续的学习知识和锤炼技能,提升安全团队的专业能力,从而达成目标和绩效指标。
要实现高效的学习和提升,需要先构建学习的框架,然后根据框架对照发现自己的不足,并逐步弥补短板。学习框架主要包括三个方面:
安全管理类的知识和技能可以细分为以下七类。
(1)监管要求和行业组织标准
金融企业的监管要求来源和种类较多,包括国家法律法规,以及监管机构发布的制度、指引、通
知、要求、风险提示等,例如《中华人民共和国网络安全法》《商用密码管理条例》等法律法规;银行业的《商业银行信息科技风险管理指引》《商业银行数据中心监管指引》等监管要求;证券业的《证券期货经营机构信息技术治理工作指引》《证券期货业信息安全保障管理办法》等监管要求。
行业组织标准,包括国家标准和行业标准。国家标准包括物理安全相关的GB50174—2017《数据中心设计规范》、数据安全相关的GB/T35273—2017《信息安全技术个人信息安全规范》、等级保护相关的GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》等;行业标准包括JR/T0068—2012《网上银行系统信息安全通用规范》、等级保护相关的JR/T0071—2012《金融行业信息系统信息安全等级保护实施指引》等。
监管要求和行业组织标准异常繁杂,如果全部记住既不现实也没有必要,关键是要能活学活用,这就要求做好归档并形成地图,同时,安全人员的头脑中要形成一个大致框架和索引,需要的时候知道怎样能够搜索和引用。
首先是归档。要收集齐全这些监管要求和行业组织标准并随时更新维护,指定信息安全管理团队成员承担起职责,在每次收到文件后立即集中归档保存,然后按照一定的逻辑形成监管要求文件汇编,建立知识地图。
其次是学习。信息安全人员应该从多个角度反复学习监管要求和行业组织标准,掌握其中的主要概念和要求,形成知识框架。主要的学习方法包括:
