1+2+3一直加到無窮大等於幾?答案竟是負的十二分之一。從專業角度來講,這是一種重整化思想,解釋為此求和是對ζ函數做了解析延拓。不去管其中的數學專業性,單只這結果本身是不是很有趣?包括黎曼猜想、量子力學、雙縫干涉實驗等等。不禁遐想,是否一味的盲從科學也算是一種迷信?又是否科學的盡頭真的就是神學呢?
對此朱誠感慨道:「多緯度的去觀察這個世界,了解其中的運行規律,有時候我真的覺得這一切並非那麼簡單,我對這些神奇的事特別感興趣,因為了解得越多就越能使我坦然的面對生活。茫茫宇宙之中,我們每個人都只是一個小小的質子,生命很短,個體很小,因此只有從容不迫的活在當下才最為重要。而每當我工作很累、壓力很大的時候,我就會這麼安慰我自己。」
朱誠將電影比作一個個視窗,他慣於從不同的角度去看待社會、看待文化、看待每處地域裡所呈現出的不同的風土人情。他覺得這就是一處處的人生,遙不可及而又讓人身臨其境。訪談就是在這樣的語境下,朱誠告訴了筆者該怎麼做好信息安全上的管理工作。
朱誠畢業於南京理工大學,專業為電子科學與技術。他畢業後不久就做了軟件開發。2016年夏天,一次偶然的機會他接觸到了信息安全管理,從業至今,六年過去了。
從項目經理到安全管理,陌生領域的未知性給朱誠帶來了極大的挑戰,而直到今天他終於明白自己的選擇沒有錯。「這兩年,無論是國家的形勢,政策的變化,還是數字化的轉型,動輒就會威脅到企業的存亡。近年來全球多個國家紛紛頒布相關法律法規,對信息安全與隱私保護相關問題進行嚴格的規範與引導。如中國的網絡安全法、GB/T 35273個人信息保護條例;歐盟GDPR通用數據保護條例;美國加州CCPA隱私保護條例;美國內華達州SB220數據隱私法;英國DPA2018數據保護法等,都說明了社會對信息安全管理有着巨大的需求。」
那麼對朱誠來說,開發、測試和信息安全到底有何不同?朱誠回答了一個詞:大局觀。
「作為開發工程師我只需要負責一個模塊,因為幾乎沒有工程師是負責一整個軟件的,所以我只需要關注這一個模塊就行,我只要把這一個模塊開發好、測試好就可以了。但是信息安全管理不一樣,第一他需要更多的溝通,比如我們常需要和開發人員、測試人員溝通,有時還需要和客戶的管理人員溝通。然後我們得站在開發、測試的角度去想問題,甚至還得站在消費者的立場去想產品的價值問題、使用情況。因此,我覺得信息安全比起一般的開發測試崗位得更具整體觀念和大局意識。」
正是這樣在意識上的轉換和品性上的堅韌不拔,公司才會讓朱誠接手新業務信息安全管理的開拓和建設。朱誠認為這純屬機緣巧合,而筆者則更多的覺得該是「機會總會留給有所準備的人」。
外包行業的信息安全管理和甲方的信息安全管理有着較大的區別,甲方更注重策略,乙方更注重管理和執行,而朱誠所在的外包行業就屬於乙方公司。
對朱誠來說,在長達六年的安全管理工作中,較為有趣的內容是違規調查,因為這需要和不同的人鬥智鬥勇,有時候甚至還會牽扯到心理戰,用朱誠自己的話說,就像是在預審犯人,即如何讓違規的人員說出違規經過和違規動機,這對公司的安全十分重要。要知道的是,外包公司所導致的信息安全違規會使甲方公司被嚴重罰款,動輒上百萬。
「我司在業內可算得上TOP3,只我所負責的業務線就有上萬人。所以我們有自己的內控制度,我們需要依據具體的事項來定員工的處罰級別,有時候還會涉及司法程序。聽我言語是不是覺得好像就這麼回事?其實不然。在調查的過程中我們需要關注員工的表情、動作和表述,要時刻留意他的措辭有無漏洞,在不同的處境和情節面前,或需嚇唬,或需安慰,目的是為了儘量避免被調查的員工做出過激的舉動,這就需要去把握一個適合的尺度。而我呢,常常會比較嚴厲,也就是所謂的唱黑臉。」
朱誠為此舉了個例子。某分公司曾有個即將離職的同事,在離職前相關專員與他做了信息安全上的溝通,簽署了必要文件,並進行了流程上的檢查。結果在檢查途中,該名員工主動交代了自己在工作上的一些違規事件,但卻對所盜取的文件和代碼自稱記不清了,相關專員因此發現該名員工在交代事件時常常含糊不清、避重就輕。於是在意識到問題的嚴重性後,專員並未直接戳破,而是將之前公司所發生的真實案例和一些「主動上報免於處罰」的事實緩緩道之,並安慰對方讓其可先回家思考,若有遺漏或未及時想到的,明天再做補充也不遲。
當時該名員工態度堅決,一口否認,承諾自己所做的都已交代完畢,沒有絲毫隱瞞。但相關專員還是堅持讓員工仔細斟酌,並言明「被公司查出」和「自己交代」之間的性質區別。就這樣,無奈之下員工只好先行歸去。而有趣的是,第二天眾人都還未上班,大概早上六點左右,該名員工就打電話給專員說昨天交代的事情還有些許遺漏,今天想來補充。最後所有違規之事都被他全盤托出,甲方公司因此才避免了重大違規。
「當然也有不到黃河心不死的。曾經有名員工在微信上和我們專員叫囂說『有本事就告我啊』,在眾人的認知里,公司是不是很難在司法上勝過員工?因為法律對員工會有所偏向,但反過來思考,公司若沒有足夠的證據又怎麼會和你一個員工去計較?所以直到傳票發至該名員工的老家,直到他家裡人通知到他,這名員工才意識到了事情的嚴重性,最後將所有賠償都付清了。」
CISPP書裡面指出,公司的高層應該為信息安全管理負責,朱誠認為這句話不管是在甲方公司還是在乙方公司都非常正確。這裡的負責指的不是具體的管理,而是要推動安全管理措施將其落地,這是公司高管應該做到的。
「信息安全管理畢竟是一個吃成本的部門,有時候還會影響業務開展的效率,所以我相信大家都遇到過不被公司主流業務待見的問題。說白了,公司沒事的時候,安全部門的存在感很低,公司一旦在網絡上、合規上、安全上出事,安全部門馬上就要出來背鍋。因此,『業務不待見,主管不配合』仍是信息安全管理中最大的問題。」
2019年,朱誠接手了公司互聯網業務的信息安全管理。為了開展公司里的相關工作,他和各業務高管交流了信息安全管理的相關內容,發現部分業務主管仍不清楚安全部門在公司里是什麼角色、什麼職能,只覺得安全部門是打雜的。
朱誠需要招收一名信息安全專員,連續面試了三十多人都沒有找到合適的,最後問了面試者才發現,HR在篩選候選人時是這麼形容信息安全管理的:這是一個職能崗位,比較簡單。
「我把崗位描述、職能內容都發給他了,我還交代了外包的信息安全專員和甲方的信息安全專員會有哪些區別,結果和每個面試者都好像雞同鴨講,足見這個崗位的存在感。而其實信息安全從嚴格意義上來說是一門獨立的科學,和質量管理是一樣的,沒有區別,信息安全也有自己的方法論。」
也正是在這一年,朱誠所在的業務發生了信息安全事故,業務主管被問責,這才逐步扭轉了眾人對業務信息安全的態度。朱誠說,這可算是塞翁失馬。
對朱誠來說,在工作上所遇到的難題除了崗位不被重視外,大環境下安全人才的缺失也是一大痛楚。「就好像那三十多位面試者,他們雖然對IT行業有一定的了解,但對安全管理一竅不通,這所引申出的行業問題就是在專業上沒有針對性。」
朱誠指出,什麼叫信息安全管理?很多人在涉及信息安全之前就只是做IT的,所以他們不明白作為一名管理人員的心態該是怎樣的,隨着95後、00後的加入,管理人員得明白這群人在想什麼?這些年輕人需要的是什麼?管理的側重點在哪兒?很多策略、很多人員、很多場景,得對症施藥,才能藥到病除。公司要有安全制度,安全管理人員要告訴員工、告訴開發、告訴測試,什麼東西能做,什麼東西不能做,這樣才能避免信息安全的違規。
許多精通於技術的人才會在管理上偏弱,還有一些完全側重於制度編寫的,他在技術上又會存在問題,這便是朱誠認為的安全行業人才發展不均衡的根本所在。
「三分技術、七分管理才能做好信息安全,而我認為最起碼也得是五分技術、五分管理。我們得和IT對接、得和運維對接,得知道IT在說什麼,網絡拓撲怎麼看,同時也該明白上網行為如何分析,後台審計策略如何設置。能和IT溝通,也得學會怎麼和業務主管溝通,從入職到離職的員工都要有所交流、有所管理。其實言下之意就是這些專業人才他們在自己的職業發展上,要麼過於偏向技術,要麼過於偏向一些和技術無關的內容。」
如今朱誠有了自己的團隊和架構,自然對管理方式有着自己獨特的方法論和見解。朱誠表示,當下公司里的信息安全管理從兩方面入手,一是人員管理,二是IT技術管理。
人員管理分為四個階段,入職、在職、轉項目轉部門、離職,朱誠採取的是端到端的管理方式,即每個員工都需要在各階段有所學習、有所管理。
入職階段,員工的安全風險體現在意識層面,因為毫不誇張的說,信息安全在很多公司里是沒有的,所以很多員工入職時的安全意識幾乎為零。因此朱誠的管理手段就是對其進行意識上的培養,比如上安全教育課、考試、讓他們簽署承諾書、讓他們進行定期的自我檢查等。
在職階段,員工雖然漸漸有了安全意識,但他很快就會被業務淹沒,比如員工經常需要加班,那麼在這個時間段,朱誠的管理方法裡常要做的就是宣傳和巡檢。宣傳可以用海報的形式,也可以發送宣傳郵件,或者進行知識競答,目的就是花較少的成本去達到最大範圍的宣傳覆蓋。而巡檢就是到現場去察看員工有沒有做出違規的舉動,比如他們會偷拍一些機密的文件,或把U盤、存儲設備等帶到辦公區域
轉項目轉部門階段,會出現出差的情況,比如原來是在南京公司的員工挪去了杭州,此時朱誠的管理方法裡主要做的就是審計。首先是要審計人員有無轉項目和轉部門的資格,針對於他的工作情況,需要找到他的項目經理,去分析他有沒有可能持過一些高風險的權限,包括這名員工在原來的項目組裡有沒有和同事、客戶、項目經理等起過衝突,因為有些違規可能是激情犯罪,因一時情緒而突然發作。同時還會審計員工的辦公設備,看有沒有留存於不屬於這個項目的文件,還會審計工作產出、代碼合格率、工作情況、背景調查、成績業績等等。
離職階段,主要的管理手段是簽署和承諾,即讓員工去簽署一些不擴散承諾書,並同時讓員工按下指紋,其目的在於給員工一種心理暗示,因為簽字和指紋只有在極其嚴肅的事上才會同時要求做到,這樣員工才會對此事上心,他才會明白,一旦違規公司是會追究責任的。
相對比於人員管理,IT技術管理上的內容就比較少了,主要是上網行為的管理,即通過上網行為管理AC,審計員工的傳輸數據和日常上網行為習慣,用於分析員工是否有信息外發的風險。「比較有意思的是,我們在和違規人員交談時會把平時他的上網記錄、上網行為給打印出來,放到他的面前,這樣他才會謹記,以後就不敢再隨便違規了。」
當談及有什麼事讓朱誠感到自豪時,朱誠不假思索的說道:「組建了互聯網業務的信息安全管理團隊,建立了互聯網業務的信息安全管理體系,這是一個從0到1的過程,很辛苦。但當客戶說我司是所有外包公司信息安全管理體系最完善、管理措施最紮實、管理結果最優秀的團隊時,那一刻,我覺得什麼付出都是值得的。」
朱誠說他的團隊偏向於制度和策略,算是一群管理人員。在人才缺失、人才發展不均衡的背景下,朱誠的每位隊員都能像作戰部隊一樣做到以身作則、身體力行,這點讓朱誠特別有成就感。十二人,從最初的「業務不待見,主管不重視」,到如今的舉足輕重,朱誠覺得每一位隊員都是非常值得信賴和依靠的。
「雖說我是他們的主管,他們是我的下屬,但我們之間更像是在相互成就。對我來說,我會爭取給他們提供更好的崗位、更好的發展,而對他們來說,嚴格遵循每一次的安排和計劃實施,才會讓我所負責的管理團隊更有底氣和力量,這就是所謂的團隊。同時,我的安全團隊還能和業務團隊之間做到相得益彰,這在許多公司里都是很難得的。業務和安全不該是相互對立的關係,信息安全可以幫助業務更好的做到業務交付,而業務團隊則可以配合去把信息安全的管理策略落實到位。很欣慰,我的團隊在這點上做得很好。」
最後,朱誠對行業的未來總結出了三點建議。
1、信息安全管理不能束之高閣,更應該普及化。當下的社會環境雖然有着各種法律的頒布,但對群眾生活上的影響還是比較少,電信詐騙、個人信息泄露等仍舊屢見不鮮,而個人信息保護只是信息安全的冰山一角。
2、信息安全管理人才應該有意識、有目的的在大學階段進行培養,應該增加安全管理人才儲備。就像上文所說的那樣,人才發展不均衡,在大學裡沒有關於「信息安全」這樣系統的專業和學科,比如密碼學、信息安全學、數據安全管理學等。
3、信息安全管理應該滲透到每一個開發測試人員的心中。每位開發人員、測試人員在對自己的模塊、自己的代碼進行編譯時,他就該有安全意識,該具備數據安全和個人信息保護的概念,這樣才不會導致所開發的軟件在起初就已經有了「過度收集信息」的傾向。對IT人員而言,往小了說,這是違背職業道德的,往大了說,這就是違法的。
同時,朱誠也對行業的未來做了三點展望。
他認為,以後安全行業會人才濟濟,有偏於制度管理的,有偏於技術監控的,有偏於策略設定的,不再會有「用工慌」。信息安全從業人員也不再被誤解成IT人員、甚至是打雜的,而是對任何企業來說都是一個不可或缺的崗位。
其次,當下的信息安全多存在於IT行業、金融業,以後信息安全定會普及向工業、製造業、服務業等各種領域,而這每個領域裡的公司都會有適用於自己的、可執行、可落地的信息安全管理手段。
最後他希望不久的將來,每一位軟件開發人員,每一位公司里的員工,都能具備信息安全意識,主動避免信息安全事件,這樣才會為企業、為社會、為國家帶來長久的繁榮安康。
推薦閱讀
人物 | 陳鵬有:言簡意賅,矢志不渝 齊心抗疫 與你同在
留言列表