企业如何做好信息安全规划-2021新春务虚会要点参考(已脱敏)

=== 会 议 背 景 ===
“解决信息安全建设最后一公里”实现“价值共赢” ——这是金融业企业安全建设实践群(简称“金融实践群”)创办的初衷,也是我们永恒的宗旨。
2020年即将过去,各家公司也进入了规划总结的阶段。金融实践群可以为大家做些什么呢?君哥抛出了“新春务虚会”的IDEA,立马得到了响应。
2021年1月,随着一张张红色请柬的发出,金融实践群群友纷纷赴约,齐聚鹏城。此次务虚会,主题是“信息安全规划”,为了提供尽可能多的思考维度,提高与会者参与度,我们将会议设计成了两部分:

  • 第一部分叫做“安全规划诊断”。分成三个环节进行,第一个环节是“首轮汇报”,由三位嘉宾分别汇报所在单位的安全规划,嘉宾分别来自银行、制造业、证券,代表了不同规模、不同成熟度的企业。第二个环节,圆桌讨论,每桌配备一名导师和三位同行,共同针对规划中存在的问题给出建议。第三个环节是“二轮汇报”,由三位嘉宾介绍经过讨论后,拟修改的内容点,然后由评委给出点评。

  • 第二部分叫做“安全规划参考”。制定安全规划,离不开对当前热点技术的考察。过去的一年,云原生、零信任、SOAR、DevSecOps、ATT&CK等技术开始成为各类安全会议的热点话题,哪些会给我们的工作带来实质价值,哪些仅仅是炒作终将一地鸡毛?这需要各位已经“入坑”的群友,给大家现身说法。与此同时,如何利用红蓝对抗做好向上汇报,为安全团队争取更多资源。包括人力、预算、制度等等,也有群友进行了成功的实践,相信会给规划编制带来启发。

遗憾的是,受疫情影响,很多群友无法报名。部分群友因临时工作安排,报名后也只能无奈取消。参会人员纷纷表示本次会议受益良多,希望能将会议成果以某种形式进行沉淀,与其他群友分享。
考虑到“信息安全规划”的敏感性,经过内部讨论,以及征求参会嘉宾意见,我们决定以《信息安全规划编制要点参考》(以下简称《要点参考》)的形式,对外进行发布。
《要点参考》将分四部分:
Part1、规划要点
Part2、常见问题
Part3、优秀案例
Part4、补充建议
=== Part 1、 规 划 要 点 ===

1、明确汇报对象
首先要明确自己的汇报对象,是来自于供给侧还是需求侧。针对不同的对象,报告的内容、重点都会有区别。对于不懂技术和懂技术的领导要有不一样的讲述方式,要接地气,贴合实际和具体的业务。例如在预算缩减了50%的情况下,围绕现有的人要具体做什么事,哪些要严防死守等;
其次报告人是否需要对结果负责?是尽责的角度还是尽职的角度?如果负责,核心的重点工作是什么?需要提前想清楚。
总的来说,针对不同的汇报对象,需要达成的目标、使用的汇报语言、材料的精细度等等,差异巨大。对这些问题的思考结果体现在报告上的写法是不一样的。
2、规划的高度
横向上,要与行业情况进行对比。例如规划安全人员规模时,需要了解所在行业IT 技术在公司里占比多少?制造业,可能就1%-2%之间,但如果是高密度行业应该大于3%。

如果IT技术人员占比增长时,安全人员占比却没有增长,就需要反思是哪里出了问题。
同时,在现有比例下我们应该做些什么?
纵向上,要对技术或趋势具备前瞻性,考虑其对IT架构变化带来的影响,要思考如何提前应对这些技术变化带来的安全影响。举个例子,2020年 SolarWinds 事件,从研发人员到供应链,如果我们遇到应该如何处理?

网络安全只做常规的事情是不够的,我们应该做一些超越常规的事情,敢于挑战。
3、规划的方法论和框架
编写规划的过程中,通常可以按照以下步骤进行展开:
(1)识别客户和对手(威胁);
(2)了解客户的需求;
(3)定目标、价值、定位;
(4)分析现状、差距、原因;
(5)风险和需求评估。
(6)制定实施计划。
在每一个步骤中都有通用的分析框架可以参考。借助成熟的框架开展系统化梳理,避免遗漏重要内容。针对规划的不同环节,有不同的分析框架。例如定目标时可以使用“网络安全滑动标尺模型”,做风险评估时可以参考ISO27001、NIST RMF,在做攻防对抗能力建设时可以参考ATT&CK,做纵深防御可以参考PPDR。
框架繁多,要清晰的认识到,所有的模型、框架都是我们用来完整呈现自己思路的工具,能够逻辑自洽即可。
4、现状和差距分析
这就绕不开信息安全驱动力的问题了。通常情况下,信息安全的驱动力来自于四方面:

  • 合规驱动

  • 事件驱动

  • 业务驱动

  • 自我驱动

在做现状分析时,大家往往是基于合规和事件的视角,对业务视角分析不多。例如,某份规划中,从讲述中得知分行似乎有自己独立开发的业务,但材料中对分行业务发展的理解没有展示,那么安全对业务支撑有哪些?需要将这些支撑点予以展开,把工作做实做细。对于分支机构,在合规工作上,要将必做的事情和总部予以区分。
在做差距分析时,很多时候问题的落脚点是人员不足。某大型制造业公司,整个安全团队只有6个人,安全团队人数不但没有随着业务增长,反而在缩减。要去分析一下为什么是这个现状,和公司管理层要有沟通,确定是否是领导层没有认知到问题的严重性。
5、实施路径
通过比对发现了差距,识别出一系列信息安全任务,接下就需要设定可行的实施路径。对于路径,可以按年为周期,在内部细分出半年度、季度、月度等。也可以年为单位,进行滚动更新。
这其中要注意,规划的任务项中要添加top级的工作任务,然后配置相应的资源来集中解决,例如成立攻击战队。同时,这个滚动表需要向上抽象出一些任务,便于内部汇报。
=== Part 2、 常 见 问 题 ===

1、高度与深度
从本次的诊断会内容来看,对技术或趋势的发展,对IT架构变化带来的影响,还缺乏前瞻性。在规划编制中,要思考如何提前应对这些技术变化带来的安全影响,否则安全工作将会持续处于被动状态。
在具体规划内容中,汇报人给出了部分网络拓扑、安全防护方案,这里举两个存在问题的例子:
  • 某单位给出了网络拓扑。首先测试业务出口太重载,可能无法落地;其次边界实现不太清楚,例如公有云接入后你是否会参与管理?如果核心的一些数据上传到云上,那么架构应该如何做?
  • 某单位的分模块规划中有多项问题。比如有一项工作重点是抗DDoS。提到了购买抗D设备,但其实这个效果是递减的,花大力气在抗D上可能不太值得;再比如,在工控上的举措投入产出比可能也不是很理想,防火墙之类起到的作用有限,对主机可能有用,但是服务器不一定,需要一些其它安全防护策略;
2、规划内容过于技术化

多位汇报人的材料,一上来就谈到各个具体的模块,进入技术点的陈述。没有事先建立一副全局视图,从多个维度介绍规划的总体目标,尤其是缺乏业务需求的驱动点。
3、心态问题

在讲述过程中情绪较为负面。负面情绪可能来自于多个方面,比如:

  • 对资源不足的无奈。如公司薪酬不具备竞争力,无法吸引到优秀人才,或者无法留住优秀人才。

  • 认为领导不够重视。如公司在流程制度建设方面不重视,导致某些工作推进困难。

在汇报过程中一定要采取正面的情绪,否则只能得到更糟糕的结果。
4、逻辑性问题
逻辑是汇报的“纲”。纲不举,目不张。如果汇报材料逻辑混乱,很可能遭受领导挑战。
例如某份规划在开篇部分提到了2020年成果,其中重点提到了抗疫工作。但是后文中,抗疫和业务贴合得并不紧,这中间逻辑不连贯。
5、集团内部规划对齐
对于集团公司的子公司,报告中缺乏顶层规划,你的安全团队、子公司的安全团队、总部安全团队的整个分工没有交代清楚。
6、规划的内容过于理想化
对于某些目标的设定,因为缺乏经验,可能导致难以达成。举个例子:
某公司设定的度量指标中,微软补丁更新率为100%。要知道,即便微软公司自己,补丁更新率也只有90%。更新率100%不是不能达到,要看情况,服务器和应用少可以。有些例如工控补丁是打不上的,这类又应该如何处理,可能需要用别的策略规避;
7、规划内容太虚
画了一个大饼,看起来目标很远大,但是怎么达成呢?语焉不详。对于领导、听众来说,具体的安全工作与他们本身工作之间找不到锚点。例如:

  • 某单位计划安全团队在2023年要达到B、B-,即二线安全公司的攻防能力水平。但是如何实现,需要多少资源投入,如何度量能力水平等,却没有进行细化。与此同时,前面汇报的内容给人感觉就是,以现有的人力、公司政策,很难实现。

8、忽略团队内部诉求
规划是讲给“上面”的,也是写给“下面”的。在做好向上管理、业务诉求管理的同时,更不要忽略了团队成员的“需求”,毕竟,团队的每一个人与你,才是最终的执行者。
规划的内容明显超出了团队的承受能力,在执行过程中势必会怨声载道。
规划的内容明显低于团队承受能力,会让团队得不到充分锻炼,也可能让成员觉得负责人不思进取,或者业务不精、视野狭隘。
=== Part 3、 优 秀 案 例 ===


以上PPT截取自参会嘉宾分享材料,已脱敏

=== Part 4、 补 充 建 议 ===

嘉宾1:
做安全就是讲故事,安全规划/计划就是讲故事的主线,安全团队就是故事的主人公,安全团队日常工作的预防风险、解决问题等等就是故事的情节。
讲故事讲的好要吸引领导,安全规划作为主线要清晰明了,安全团队作为主人公要个性鲜活有血有肉,日常安全工作作为故事情节要节跌宕起伏、可圈可点。所以,安全规划怎么能做好?这个问题实际就是:怎样讲好一个安全团队成长的故事?
今天各位嘉宾的规划里都有主线,虽然有的不够清晰;也都有主人公,但多数缺少配角和情节。要有目标,有优先级,有步骤,有顺序。规划主线可以高高飘在天上(务虚可以高大上),但主角和配角要说清(安全和其他团队怎么分工协作),情节要落地(项目目标和过程优先级要靠谱可操作)。
规划保守一些,故事的前中后3-4-3阵型,虚虚实实,多数领导都百搭。规划想激进一些用5-4-1阵型,虚的多点,后盘不稳,可能领导听的嗨但执行难落地。规划从来不是务虚,是实打实的,之所以虚,是情节不够细腻不够煽情(后续需要落地的项目讲的不够透,不够让领导明白)。
故事不光要有逻辑,还是要适合听众。大多数高层在自己不懂的领域,是靠严谨的逻辑判断来做决策,这个情况多适用于大公司。对于中小公司来说,领导本身的嗅觉也不一定强,有时也不一定有很强的逻辑判断能力,也会因为信任,用人不疑,尊重专业等等因素,来做决策。所以,有的安全团队故事讲得不漂亮,领导出于对负责人的信任,不疑和尊重,也会给资源。
嘉宾2:
做规划还是要层层分解,安全规划是企业战略规划的更下层分解。

给更上层领导汇报规划,就是要让TA了解,你正确理解了他所面临的问题,你的工作内容能帮到TA实现TA的目标,并且要用TA能听得懂的话来讲
更高层的领导不是什么都懂,那么他们凭什么来把控全局?大多数是靠逻辑,当汇报内容逻辑性经不起挑战的时候,汇报就是失败的。比如分行领导,他关心的首先是分行的业务怎么做好,IT是支撑业务的,安全也是业务的保障,“业务”是他最关心的事情,安全工作如果和业务发展建立强关联,就容易得到支持。
如果规划得不到上级批准,分配不到资源,得不到支持,安全团队在组织内部会寸步难行。但是规划不能搞的太美好,否则交付不了,安全团队的信誉就会被消耗,今后的规划就更难以获得批准。
嘉宾3:
一场暴雨很难解决问题,认知很难一次对齐。一次规划汇报解决不了问题,要有润物细无声的渗透能力。能落地的规划才能算是好的规划。
另外,我们不能根据现有的人力资源去做规划,不能说有多少人办多少事,这点很认同。只是往往规划喊出去了,人没招到。在人才招聘这一方面有什么好办法吗?
回答:
1、给合适的待遇,或合适的事业平台,或合适的团队(待遇留人,事业留人,感情留人);
2、校招培养;
3、外包补充;
4、从研发运维挖人;
5、群内群友互帮互助,互通消息,为优秀的人背书,给优秀的人更多机会;
6、跟HR争取,降低招聘门槛。


对活动本身的思考:

活动干货很多,包括很难得听到的挑刺,希望今后能更多参与。不足之处是,本次规划中,对技术或趋势的前瞻、对于IT架构变化带来的影响,应该要有一些前瞻性的思考,要思考如何提前应对技术变化给安全带来的带来的影响,这点在今天的团队规划内容中略有欠缺。
本《要点参考》由会议出品人郭威和主办方金融业企业安全建设实践群整理。
最后,感谢所有与会嘉宾的支持,我们下次再会:-)
(0)

相关推荐