FreeBuf甲方群话题讨论 | 甲方安全量化指标&安全培训有效开展
2021-02-02 19:00:00 Author: www.freebuf.com(查看原文) 阅读量:169 收藏

FreeBuf甲方交流分享群

纯甲方:囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员,具备严格的入群审核机制,非甲方安全从业人员拒绝进群

真实有料:从甲方企业CSO到安全工程师,从安全方案应用到产品技术应用,社群定期组织相关主题话题讨论,共同交流最真实有趣有料的甲方安全建设经验

专属权益:一旦认证成为FreeBuf甲方会员,即可享受FreeBuf报告在线免费阅读权益,同时参与社群话题讨论便有机会获得FVIP月卡奖励。更多权益,期待解锁ing~

近期精彩讨论集锦

【关键词:甲方安全如何衡量&量化指标】

@楼主

2020年刚刚过去,大家的安全工作年终总结或许也才刚刚结束。不知道大家是否有为写好总结而发愁,比如向领导汇报时,如何体现上年的成绩和当前公司的安全水平?如何找出工作的亮点?如何提炼不足和差距?如何确定来年重点工作与KPI?

群伙伴回复

1、衡量的话,可以采用OKR方案,将自己要做的事情在年度开始的时候列出来,细化,组内评估下工作量,设定下预期结果,然后年终对一下,看看是否达到了预期。

2、我们今年开始不让写PPT了,领导们嫌烦,让写小作文。中层汇总,一层层负责,到头头就他自己搞PPT了。

3、甲方安全总结要体现规划建设完成度、安全意识提升做了多少次、检测的提升效果。

4、高层喜欢看态势感知那种炫酷的画面-换个政治正确的说法,那叫挂图作战。

5、从此前一个人安全,汇报老板的经历中,老板比较倾向于看重安全规划建设的进度情况、安全投入是否值得、对于业务健康性发展的帮助在哪、需不需要做某某某合规、为什么需要增大投入、未来规划是什么、是否符合企业战略等等。。对于修了多少漏洞,对抗提升多少等具体技术类数据,基本不太关注。

6、我老板就一个要求,别出事。

7、我们老板希望知道今年花了多少钱,明年还要花多少钱,之后每年要花多少钱。

8、换个说法就是展现今年建设的情况,建设完成后达到了什么级别,有什么效果,明年需不需要继续投入。

9、一个小提示,老板不懂技术细节的,千万别讲,讲了要挨骂,因为浪费大家时间。

FreeBuf总结:话不多说,简单康康两位甲方安全人的KPI。定好KPI冲冲冲,年底是吃糠咽菜还是鲍鱼海参,就看自己了。


【关键词:安全汇报对甲方工作有无改善】

@楼主

大家觉得自己或部门的汇报,有助于第二年的工作改善吗?或者说会因为汇报改变上层的决定吗?

群伙伴回复

1、不会,没作用。基本还是事件驱动,汇报不会改变上层决定。

2、不仅如此,老板还会认为网络安全没什么工作量,要求承担更多信息化建设的工作、运维类的工作。。

3、如果汇报有涉及到企业战略的话,会的。所以汇报那些问题发现能力提升多少啊、整改了多少高危漏洞啊、合规做的怎样啊、监控怎么到位啊,这些可以和部门领导交流。但是老板层面只会关注投入成本和收益,他只会认为这些是你份内事。

4、当然有作用。底层数据材料是领导汇报的数据来源,能更好的向上争取资源。

5、比如说,今年APP监管很严,如果做APP认证或者隐私政策权限做合规会躲避下架或罚钱风险,这时上层会考虑改变决策的。

6、跟老板汇报的时候,可以说下外部情况。比如今年多少家公司出了什么问题,特别是竞品情况,以及我们要怎么做可以避免这些问题。最好是可以构建一个成熟度模型,和老板达成共识,这样每年的工作可以简化为我们在成熟度模型上又推进了多少,行业内其他公司的情况如何等等。

7、我们搞安全一个是因为业务跟钱挂钩,需要安全。还一个原因是TOP1公司有3个安全合规认证,而我们一个都没有。去年开始搞安全,老板最关心的是搞安全要花多少钱,多长时间能拿证,是不是花了钱就能保证一定安全。另外方案我只做了1页给老板,让我不要写小作文。

8、合规驱动是很有力的方式。在合规上也要想办法让老板知道我们在合规上做了哪些工作,如何才是更好的。不能仅仅以通过或者不通过来判断,或者处罚和没被处罚来判断合规工作的好坏。当然不能被处罚是底线,在没被处罚的前提下也要想个模型来展示工作的成果。

9、领导不懂安全的话一般只会问同类系统有几家友商用了什么安全设备,花了多少钱做安全。

FreeBuf总结:预算掣肘的一粒灰,落在甲方安全人头上就是一座山。尽管如此,总需要领导替他们遮去背后质疑的目光,为安全意志撑腰站台。

【关键词:甲方安全培训如何做】

@楼主

不懂就问,安全培训各位都是如何做的?

群伙伴回复

1、针对不同岗位制定不同的洗脑方案[手动狗头]

2、有做微信推文、新员工入职培训、三方人员进场培训、定期信息安全考试;还定期全员培训。以前有定期VIP培训,考试;还有信息安全宣传月,活动呀什么的。

3、新人入职先洗脑(公司安全策略,日常安全办公意识,安全法律法规,最后结合业务抛出一些具体的场景),员工转正先信息安全考核。

4、我现在在借鉴三级安全教育 搞三级信息安全培训,入职先公司层面一次培训, 进部门后再让部门针对培训一次,到岗位了再针对岗位培训一次,完事考核上岗。

5、我们要求每个月要做邮件推文安全宣贯,而且每个月主题都要求不一样,还要适合大众的。

6、我现在每个月有在做内部全员的安全简刊,做内部安全简刊、安全意识壁纸、漫画,还有PS海报。内部安全刊物用邮件发送,打开率80%。

7、我们不舍得花钱,刚和HR的培训部门一起组织了一个信息安全相关的讲师认证,鼓励这些专员来参加,指导他们开发课程。个别子公司很积极,每个部门都来个人,个别子公司TM一个都不来 也是蛋疼,后面继续搞的话要强制了。

8、必须强制,要么就是给甜头,去年搞了个安全联络员评选,第一弄了个60吋液晶电视。

FreeBuf总结:别人只关心你飞的高不高,只有FreeBuf咨询关心甲方安全人飞的累不累。FreeBuf咨询出品https://www.freebuf.com/articles/es/255360.html已发布啦,快来搬运让老板涨工资!

【关键词:安全管理体系建设干货分享】

@楼主

我们要建立安全管理体系,有啥经验嘛!

群伙伴回复

1、按ISO27001要求写一份文档,根据自身企业特性做些微调。

2、初期规划照抄27001其实是糊弄自己,没有技术措施管理形同虚设,先试两腿泥才好制定流程规则。不过前期参考27001,能避免试错。等保要好好做,不比27001差,可惜了现状,几乎成了贴牌买卖,也成了厂商忽悠的噱头,能安心落地实践的单位几乎没有,等保也不是测评机构说了算,自己也要吃透标准,要有抗辩的能力,相应的风险缓释措施列出来,可以让测评机构哑口无言。

3、制度是制度,能不能落地,制度的具体内容等,这个还是要自己根据公司来的。不根据公司情况直接把制度架起来,确实没意义。

4、如此看来,网络安全转行律师有没有搞头?还有转做咨询呢?——我觉得可行,这是我想要发展的方向,这个市场缺安全顶层架构设计的专家。

FreeBuf总结:还是那句话,安全人,安全魂,安全人都是十八般武艺精通的人上人!

由于篇幅有限,本次FreeBuf甲方群总结到此结束啦!

更多详细内容可点击下方链接申请入群详聊〜

FreeBuf甲方申请入口

不止于此,

FreeBuf特此发布2021企业安全建设投入调研,

企业的安全建设支出与新年预算是多少?

安全建设的投入比重又是多少?

...

这些甲方&乙方通通关注的问题,

我们想和大家一起了解。

在此诚邀各位参与本次研究,

我们特别准备了诚意礼品FVIP 月卡,

点击下方链接或扫描二维码即可参与!(比心〜)

FreeBuf咨询-2021国内甲方企业安全建设投入调研问卷入口


文章来源: https://www.freebuf.com/articles/neopoints/262688.html
如有侵权请联系:admin#unsafe.sh