安全汇报工作的意义
周六,天氣不錯,因為還沒有過年,所以不愿意承認有點初春的感覺,或者是不太記得初春是怎樣的感覺了。
年紀大了,還在學習,可能還是會被人覺得有點那個,原本也沒有關于年齡和學習的標準模式吧,那就還是努力活成心里想要的那個樣子吧。
對于我:每天做的這點事是有趣的,有意義的。
作為安全人士,相對基礎工作的人士,可能每年或者在一些特殊節點,需要進行網絡安全工作匯報,那么匯報的意義何在呢,這里討論一下安全工作匯報對第二年工作的意義或者是否會影響領導決策。(內容多是來自網上,經過了個人的加工處理)。對于非售前或技術,但是也要能和乙方的安全人員或負責人能進行所謂的洗腦工作,安全意識貫宣,所以你的腦海里要有一些能夠說法對方的概念。下面的內容,你也可以思考一下,幫助乙方的一線人員爭取資源。
1、匯報工作,也許看領導。我覺得還是要做一下,總結就是沉淀,中肯的自我評價一下工作,雖然對領導來說,作用不大。通常還是事件驅動,發生了重大事件,可能就會有對應的投入了,但是,那樣是不是工作沒做好呢。
2、安全工作很難有建設性成果,保障類的基本出不了亮點啊。那么就想辦法拔高。領導都喜歡作戰大屏,可以考慮大屏上能顯示一點工作的方向或者不足,也許有機會。
3、匯報高度如果涉及到企業戰略,那么可能會有用,但是這個,呵呵,真的很難,領導也不是那么容易被忽悠的。。。匯報中的安全問題發現能力提升多少、整改了多少高危漏洞、合規做的怎樣、監控怎么到位,這些可以和部門領導交流。但是老板層面只會關注投入成本和收益,他只會認為這些是你份內事。
4、匯報數據材料是領導匯報的數據來源,可能領導會向上面的領導爭取資源。所有,有時候實事求是很重要,一味的說好,那么上升的空間就有限了。
5、匯報要結合現狀和行業要求,如果做APP認證或者隱私政策權限做合規會躲避下架或罰錢風險,這時上層會考慮改變決策的。所以對于行業的一些反面案例,可能還是要適時適當的收集一些。
6、匯報的時候,可以通過外部情況來曲線救國。比如今年多少家公司出了什么問題,特別是同行的問題情況,以及我們要怎么做可以避免這些問題。最好是可以構建一個成熟度模型,和老板達成共識,這樣每年的工作可以簡化為我們在成熟度模型上又推進了多少,行業內其他公司的情況如何等等。
7、安全的重要性的延伸,和業務跟錢掛鉤,需要安全,這個要有足夠的講故事畫餅的能力。。。也需要對相關業務有足夠的理解,類似SDL,需要貫穿在整個業務的開發周期中,有個完整的閉環。
8、合規驅動是很有力的方式。在合規上要想辦法讓老板知道我們在合規上做了哪些工作,如何才是更好的。不能僅僅以是否合規通過或者不通過來判斷,或者處罰和沒被處罰來判斷合規工作的好壞。當然不能被處罰是底線,在沒被處罰的前提下也要想個模型來展示工作的成果。
9、對于不懂安全的領導,通常會關注友商用了什么安全設備,花了多少錢做安全。領導可能不想花太多錢,既不想在這個方面做領頭羊,但也不想毫無作為,被人詬病吧。
如果甲方的安全人員不擅長向領導爭取資源,或者希望乙方來寫匯報或者方案,那么作為乙方,了解這些,可能會幫助甲方安全負責人員打動決策領導,或者直接打動決策領導。
最后來個詞語掃盲,其實是我自己不了解:KOL :?關鍵意見領袖,Key Opinion Leader的簡稱,在營銷學上,為各廠家宣傳的專家或權威被稱為“關鍵意見領袖“,通常被定義為:擁有更多、更準確的產品信息,且為相關群體所接受或信任,并對該群體的購買行為有較大影響力的人。關鍵意見領袖通常是某行業或領域內的權威人士,在信息傳播中,他們不依賴其自身活躍度,也容易被承認和識別出來。
Game Over
總結
- 上一篇: 编程语言入门YC创始人Paul Grah
- 下一篇: 【HelloKitty团队项目】Alph