【廉环话】漫谈信息安全设计与治理之运维支持和IT管理决策

原创
安全 应用安全
算上这一期,廉哥根据自己这些年来实际工作和操作的经验,花了3次和大家漫谈了企业信息系统特别是安全治理环节中的人员管理的各个方面。正所谓“三分技术,七分管理”,管理的对象是人员,同时管理的主体还是人员;人员既是治理的基础,也是治理的核心。

【51CTO.com原创稿件】看到廉哥那日冒着暴雨加台风去图书馆查阅资料,同事妹纸奚落道:“现在都是网络时代了,你还老跑图书馆看那些过气的资料,而且还是电脑方面的…”。看来,我俩的确是“从彼此的全世界路过”了。她怎会知道:就是图书馆里前人总结成文的资料和当前网络上前沿知识技能间存在着“断点”,所以需要我这个一个小小电焊工,用我自己的经验作为“助熔剂”把它们熔合到一起,通过二次加工,再分享出来。这叫“回首与前瞻的普拉斯(加号)”。

[[174568]]

闲言少叙,书接上回,我们继续开聊。

网络/系统/应用

这些部门的人员主要运用专业技术来维护企业的信息安全,保持整个IT服务系统在健康稳定的状态下运作。

1. 从IT软/硬件系统的设计、架设和维护方面对服务器,网络,存储设备,数据库,目录服务,中间件,网站以及各种应用程序(包括财务/人事软件)等进行信息安全的管控。

一句话,这里是技术“大咖”的江湖,技术实力直接决定系统的安全等级。有兴趣的朋友可以参考我前面第一part的系列漫谈。批判式的接受哦。

2. 充当“二线”人员,去处理由服务台和“一线”运维和支持人员提升上来的安全事故。

说白了,就是充当应急处理小组,处理各种Troubleshoot之类的工作。

3. 及时更新各个服务器和网络设备的系统补丁和病毒库等。

“做好更新”应该是IT运维的basic也是best practice,但我们也提防诸如微软的有些补丁包会发生“乌龙”事件。比如我哥们他们单位去年底就发生了系统打好Office补丁后,Outlook 2013发出去的多附件的Word类型文件其内容与文件名相互混淆的现象。没办法,IT只有打上针对补丁的补丁了。当然,若干年前赛门铁克误删启动文件的事件,也必要在这儿重提了。

4. 根据企业的安全策略监控网络和系统资源的滥用与误用情况,如有需要可以对员工运用即时通讯工具的聊天记录等进行敏感信息的侦察。

具体操作的可行性,一定要事先和公司的法务沟通哦,以免人家告你侵犯隐私,neng死你。另外,在实施上,最好是用第三方成品的监控分析软件。尽职免责是很重要的。

管理决策

IT管理决策层多由一个首席信息官和IT各子部门的带头人组成。正如亚历山大大帝说过:“由狮子率领的羊,远胜由羊率领的狮子”。在实操中,往往他们与其他业务部门的代表一起组成信息安全委员会,履行如下职责:

1. 信息安全相关项目和服务变更的发起、规划和管理。

在当前各个企业里,各类管理人员基本上都受过项目管理的相关培训甚至已持有证书。因此在日常运行中融入项目制是司空见惯的。好的管理者要在项目的起始阶段发挥重要作用。我只谈我的一点感受:因为套用“马斯洛需求层次”信息安全项目不同于一般的IT项目,它解决的不是“能不能用”的问题,而是“用着放不放心”的问题。因此任何信息安全相关的发起都要体现对业务的好处或是提升的价值。而且这种价值要能在企业内部,至少是企业所有者所认可和意识到的。而这将是你后期工作的根基。说过分一点:所有以业务为敌的信息安全项目都将以失败告终。与其最后扼腕叹息、名声扫地,不如一开始就不要开展。

说到发起、规划,我的脑子里突然想起柳传志提到过的管理三要素:搭班子,定战略,带队伍。而定战略时要有一定的前瞻性,凡是周全考虑。IT技术日新月异,千万不可禁锢发展的空间。很多系统初始设计的局限性是滞后才体现的。比如说最新技术可能带有一些自身的安全漏洞,而这些与生俱来的fault可能会被另一种技术所迅速迭代了。所以我们不要盲从最新的技术,“且行且珍惜”,不然还会导致IT部门人员长期处于“布朗运动”的状态,“累成狗”似的。可见,虽然身处发展前沿的IT框架下,我们信息安全管理者还是不要过于fashion,淡定,淡定啊!

2. 定期对整个系统进行风险识别、分析、评估和管理。

我们所规划和维护的系统不能流于形式成为one-time job。就算一开始构建得固若金汤,时过境迁,技术发展,内外漏洞在不知不觉中滋长。因此不可小看定期评估与审计这种舶来品,曾子他老人家不是也经常“日三省乎己”吗?定期给自己的系统“抓虱子”吧,以免“千里之堤毁于蚁穴”。

3. 制定针对企业整体信息安全管理体系框架描述的信息安全的方针和手册,完善并更新各种安全管理和操作的具体流程。

还记得《杜拉拉升职记》里提到的吗:“你是先迈左脚,还是先迈右脚,都能在SOP(标准作业程序)里面找到答案”。所以说“虽然是人总会犯错”,霸特,标准化流程化可以把各种误操作降到最低。

4. 对供应商和外包商进行安全管理并对其合同进行风险约束。

正所谓“手中有粮心中不慌”,有了和他们的合同,你会觉得自己手中的硬件和服务资源充沛了许多。而且他们也无形中会有“一荣俱荣,一损俱损”的行业名声连带感。

5. 为信息安全的操作和管理提供支持,调配资源并定期审查这个系统的安全达标情况。

我曾听到过一位IT管理决策者向我坦言,他从基层人员慢慢自我提升上来,回首走过的路,发现以前做底层操作实施人员的时候,仅仅机器打交到反而是最简单的,因为有明确的对与错。而越往上走,越多的要和人打交,他发现可以遵循的“手册”越少,面对形形色色的人员,特别是理科IT男的时候,要想实现“支持,调配资源”,真是好难,好难啊!(我这里可没有诋毁wuli理科IT男的意思,虽然我自己也是。)而且因为你是领导,我们常说的要负有“领导责任”,所以该出来为属下顶子弹或背锅的时候,你可千万别含糊哦。 “人在江湖飘、哪有不挨刀”的?

而说到定期审查达标情况,除了policy的贯彻,第一手数据还是来自于各种记录(logs)。而不管是外审、内审还是自己审,看的都是各种运营中的记录哦。相信不少看官和我一样是从微软的Windows意识到log的魅力和重要性的吧?衍生这个概念,其实我们在做任何项目、任何系统的时候都要牢记记录(包括各种check point data)。这又要说会到ITIL里提到的配置管理数据库了,所以说如果你不够前瞻性,那么就做好记录,步步为营吧。那句话怎么说的“雷锋叔叔只是把做的好事都记在日记本里了。”你该知道学习雷锋有多么重要了吧?

外包人员

话说我们公司前几年有个电话系统服务公司,他们会定期派服务工程师来我处维护,每次我都会拿出可乐雪碧等招待他们,记得有几次一个毛头小伙子,顺手欲把开瓶喝了一半的可乐带进机房,被我制止了。不了过了一段时间,我居然在同行口中听闻到了说我们公司抠门,连一口水都不给外包人员喝的谣言。这顿时让我有种“我将真心照明月,奈何明月照沟渠”的心塞。

其实,企业在不增加固定人员成本的情况下,根据与第三方签署的服务合同,外包人员定期以直接(如上门)或者是间接(如远程)的方式提供专业技术服务,这大概是时下“分享经济”早年的雏形吧。当然,外包人员对于信息安全来说是把“双刃剑”。从管理学来说,将信息安全的风险进行了分摊和转嫁;而从运维角度看,却可能有些技术断层和重复投入(别急,下文有解释)的可能。可见外包人员在对企业提供服务的同时应当做到如此几点以保证该企业的信息安全:

1. 上门服务前,先联系并告知企业接口人到访的具体时间和工作内容概述。

2. 出入企业办公区域时应接受必要的安全检查。

3. 技术操作的全程接受接口人的陪同和值守(此处特指非常驻服务人员)。

4. 操作之前出示施工单;完成后填写并提交接口人签署完工单。

5. 有义务和责任不泄漏并保护该企业的信息和知识产权。

6. 建立例会制度,及时沟通和解决服务过程中双方发现或碰到的问题。

我们再从业绩考核的角度来看看。对于甲方来说,应该注重的是下述两点:

1. 进场服务外包人员的服务时间的量化管理;

2. 人员的工作完成效率和满意度评审。

作为甲方,应当在服务合同签署之际就考虑制定短期甚至是中长期的对外包人员的类KPI考核标准,并保证执行的客观性。这边有了第一手的数据,不但是对企业内部管理层负责,对于各类外包商的整体“形象”也会有综合评判。

说到评判外包商,每年甲方在谈外包合同也要注意技巧,因为毕竟服务人员是由外包商所提供的,特别是那些按次服务,且到场人员不固定的合同,如果谈合同的时候甲方只想着压低价钱,所派过来的人员素质和水平是可想而知的。我个人经验觉得根据整体行业或经济形势给定一个增长幅度,再按照实际服务效果的反馈给予适当的加减足矣。这样提供商也会在签合同的时候心服口服的。

另外,从甲方企业自身来说应当采取兼容并包的“开门办事”作风。由于每个公司都有自己的管理风格和控制流程,而企业IT主管虽谈不上是“闭门造车”,外包服务提供商及其服务工程师则很少有机会参与客户IT管理或决策。他们普遍沦为由企业IT主管传达具体指令开展工作的“临时工”。然而实际上,往往他们才是最了解用户的需求、最善于给IT系统把脉的“痛点按摩师”。因此,我们何不多创造点机会将他们“请进来”,或是凝听或是QA,让他们也能充分发挥主观能动性。

当然从员工个体来说,无论contractor和regular都是工作上的partner,愉快的一起“玩耍”很重要,不应有什么贵贱之分。然而实际情况则是,对于驻现场的外包人员,常会有种蛋蛋的忧伤:一方面在服务公司出了问题时无人帮忙担当,team building、seminar基本没有他们的份;另一方面,基本不进自己母公司,就算偶尔回去办事也处于“人我两相忘”的状态。还有些诸多因素,甚至是个人问题,都会导致外包人员一旦有改变的机会,他们很容易选择跳槽。人员流失无疑对甲方和乙方企业都是风险和影响。有句话说得很对“人才因为企业而进行,却因为老板而离开。”大家可以仔细品味一下其中的道理了。别问我怎么讲得怎么仔细,哥曾经就是光荣的一员,而且是“大写加粗的”!

不过,我们也要警惕另外一种极端现象:就是那些外包界的“老炮儿”,他们反客为主,或是将技术“荒于嬉”、或是自恃牛掰,常将散漫态度带到甲方现场。我就曾听说有乙方外包人员,居然在甲方办公室里上班期间溜轮滑,并把睡午觉叫做“与地面平行会儿”的。你这么能玩儿,“你咋不上天呢?”,这完全是在用慢性毒药“自费武功”嘛!真心提醒这样的外包人员,指不定哪天就有“接盘侠”的空降了。甲方不是傻瓜,丢卒保车好过全军覆没的道理他们清楚着呢。

总的说来,毕竟中国的外包企业实在没法像国外那样做得professional,由于面对签署服务的企业增多,服务人员的流动,很难保持服务水平的一致性和延续性。所以企业自身应当要求外包方“完善流程,文档储备,实时更新,如实记录,顺畅沟通”这五个方面。

算上这一期,廉哥根据自己这些年来实际工作和操作的经验,花了3次和大家漫谈了企业信息系统特别是安全治理环节中的人员管理的各个方面。正所谓“三分技术,七分管理”,管理的对象是人员,同时管理的主体还是人员;人员既是治理的基础,也是治理的核心。因此只有通过动态发展的策略去“做足文章”,才能把信息安全的运维和治理做到有证可据、有约而循、有责可追、防范于未然。

有朋友可能会问:那巨廉哥接下来还和大家唠嗑点别的什么吗?我的回答是“确定一定以及肯定!”好了,末了,我套用的一句《机动战士高达》的经典弹屏来回答各位:“前方高能!”

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2016-12-15 09:46:15

信息安全资源治理廉环话

2016-09-18 09:42:50

2016-11-24 08:25:41

2017-01-12 08:51:41

2016-09-29 10:56:32

信息安全人员治理安全管理

2016-12-22 08:28:26

IT核算预算信息安全

2016-11-09 21:42:14

信息安全廉环话

2016-10-20 08:07:27

信息安全人员治理廉环话

2016-10-13 10:49:57

云平台选型信息安全

2016-09-08 09:25:40

BYOD信息安全

2016-11-17 10:16:37

2016-08-18 09:26:37

2017-01-19 09:30:10

2016-12-29 10:06:43

IT管理信息安全

2016-12-08 10:14:23

信息安全变更管理廉环话

2016-08-11 09:58:39

2016-12-01 09:17:30

2016-09-22 08:55:31

信息安全备份廉环话

2016-09-01 06:51:23

无线覆盖与管控信息安全

2016-08-25 09:59:48

点赞
收藏

51CTO技术栈公众号