==Ph4nt0m Security Team==
 
                       Issue 0x02, Phile #0x03 of 0x0A
 

|=---------------------------------------------------------------------------=|
|=---------------------------=[ CSO的生存艺术 ]=-----------------------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
|=--------------------=[           By ayazero          ]=--------------------=|
|=--------------------=[    <ay4z3ro_at_hotmail.com>   ]=--------------------=|
|=---------------------------------------------------------------------------=|


    本文主要面向管理人员,对于有特殊需求的技术人员可适当参考。

引子:

    偶尔看到一篇文章《2008预测技术派CIO面临失业》,其中“预测指出2008年对那些专注
于IT运营和成本裁减的CIO来说将是一个转折点,CIO必须证明他们作为商业伙伴的价值,否
则就会被打入冷宫。报告还指出现在许多CIO还埋头扎堆于"技术丛林"中,却对战略管理、
业务营运、财务融资、人际关系等一知半解,这都将会面临被淘汰的困境中。随着企业的发
展,传统技术派 CIO已经无法再胜任高层管理工作,如果还一直只专注于技术的角色,将与战
略化的角色不符,表示CIO已经不胜任高层管理岗位。而且传统技术型CIO通常还会忽略一件
极其重要的工作,就是对公司运营现状和管理需求的不甚了解,使IT部门只成为一个信息技
术中心,而不是管理信息的中心。实际上,只有与管理、业务相结合,技术才能有用武之地,
否则只能导致闭门造车,当技术脱离业务时,再好的技术也徒劳无益。

    事实上,一位IT技术专才和一个合格的CIO之间是存在着巨大的差别,技术和管理几乎完
全是两个领域:管理对人、技术对事;管理贵在均衡、技术追求完美;管理看宏观、技术重细
节。一名IT技术人员即使可以做好研发管理、项目管理、甚至IT部门经理,但要想成为在残
酷市场竞争下生存的CIO,就必须改变其思维和言行举止,经历更多的磨炼。一般来说,传统
技术派CIO有以下几个难以逾越的障碍。

    (1) 只关注技术,业务知识面窄
    (2) 团队协调管理能力弱
    (3) 人际沟通协调能力不足
    (4) 技术精英的清高与孤傲

    其实成为一名CSO本质上和CIO是一样的,对于个人而言最重要的是解放思想,切勿固步
自封。本文涉及的内容是管理人员必须考虑的,是技术人员可以借鉴的,是有志于进一步提
升的人需要理解的。这些都是“术”而不是“道”,懂得“道”的就不用看这些了。

    我认为CSO需要三种技能:智慧、管理、技术,Cobit、ITIL、7799等一大堆安全治理标准
虽然是站在了管理的维度,作为一名咨询顾问应该是可以了,但是对CSO来说是绝对不够的,
你还需要一种能力叫做智慧。“以智治国,国之贼也。”我说智慧并不是提倡“人治”,我们的
最终目标肯定是要建立一个和谐的法制环境,但是安全标准仅适用理想的法制环境,而这个
环境的建立和推动需要的正是智慧!诚如我在《信息安全的职业生涯》中所言,建立安全标
准、策略、程序等都是相对简单的事情,在组织中成功开展工作最大的能力是EQ,尤其对于
国内的企业而言更是如此,力挽狂澜建立法治环境需要的是CSO的情商。指望老板把信息安
全捧在手心为你铺石开路这个出发点本身就错了,因为君王没有为臣下服务的义务!只有当
你的“建议”非常合理、切中要害时,他才会为你提供资源。

    1.为什么不重视信息安全

    这是一个被谈及太多的问题,我觉得我们应该尝试理解一下自己的老板。为什么平时一
个销售跑过来大吹特吹的做一番售前演示,而你根本无动于衷,好像对牛弹琴一样,因为没有
切中要害。当且仅当博弈发生在同一个层面时,博弈才是有效的。在MBA的教科书案例中,企
业危机通常都源于战略选择和治理结构等问题,信息安全往往还没有进入高层管理者们的视
野。现实生活中有不少信息安全做的不好的企业仍然大受投资者追捧,华尔街的分析师都推
荐高价买入,因为他们看的是财务报表而非IT审计报告。信息安全固然重要,但是它通常排
在战略、人力等一堆名词之后。扪心自问我们说安全重要很大程度上因为我们自己是做安
全的,综观我们的知识体系结构,是不是安全占了主导呢?因为双方的信息不对称,视点不对
称,思维方式不对接,使得我们在观点营销的过程中处于弱势。

    但是信息安全确实很重要,游说是必不可少的,因为这是CSO的职责所在。

    舌战群儒,嘴吞六国岂是一日之功?说服高层管理者对于CSO的知识背景和能力来说是一
个很大的挑战。CSO的内涵应该是多层次、多维度的。实际上,与老板对话说明安全的重要
性往往不在于你那些安全或是风险管理的知识,呵呵~

    另一方面,我们嘴上要坚持说“安全”的事,但心里要想着所有的方方面面。如果你只想
着安全,就说明你已经思维定势。

    记住:CSO不只是CSO!

    我们看那些菜鸟销售总是见了面还没听客户需求就开始卖东西了,而那些老鸟则是先做
朋友,然后卖你东西还是为了“帮你解决问题”。

    这说明一个很重要的问题:博弈的角度不对,也许你换位思考了,但是考虑的还不够,就
好像你明明知道千米之外有一个目标可是云雾缭绕,你就是看不清靶心在哪。

    要解决这个问题,首先要不断让自己的知识重心向高维度和多平面迁移,例如有时间可
以看一些经营管理方面的书,尽可能的熟悉公司的业务,多看一些分析师,投资者,专家对本
行业的评论,多培养自己的逆商AQ,知道你的上司、老板的业绩压力是什么,知道他们的痛处,
很多时候出台一个什么政策,让你去做一个什么策略,写个什么文档,往往只是表面现象,背
后另有深层次的原因。如果不闻不问按自己的理解往往会对不上需求,切勿闭门造车。等EQ
攒到了一定程度,自然临渊而知深浅,闻一而知三。

    2.极端强势的作风

    有人奉行强势的策略推动,有一句广告词叫“刚柔并济,以退为进”太强势了反会伤了自
己。当你把所有策略一下子推出去的时候,当你爽的时候一定有很多人不爽。有句话叫“水
至清则无鱼”,往铁板上狠狠使出一拳,自己也会痛的。强势的策略推动还源于另外一种心理,
即他认为所有安全策略均是合理的,别人都是不安全的典型,都应该抓了打PP。其实这是本
位主义的表现,试想没有那些业务部门还怎么会给你这个就业机会呢?有些问题从你的角度
是对的,但从别人的角度未必是对的。敬业,其中一点就是要有大局观。我们的最高目标是
要实现股东利益最大化,所以有时候应该适当折中、甚至妥协退让。为什么要退?以退为进!
很多人都想让信息安全具有影响力,又不懂得因势利导,欲望和信仰不统一,自然只剩郁闷。

    例如:在会议上,不要急于表达安全策略的具体内容,应该倾听业务部门的“牢骚”,分析
他们的牢骚的原因,从而变通策略的形式或者暂时搁置在所有的策略文件中,要非常注意措
词,在发送邮件前,要仔细斟酌,不要逞“快”,一定要站在阅读者的立场揣摩一下对方的心理。
推策略尽可能通过流程,而不要把自己放在炭火上烤,是安全职能向公司的业务推策略,而不
是你在向别人推策略。

    3.过分弱势的作风

    反过来,如果CSO缺乏智慧,整个团队必定弱势,更不用谈那些分蛋糕的事情了。

    4.“借势”而行

    孙子兵法曰“如转圆石于千仞之山者,势也”,向人借势,向事借势。站在高山上,那是势。
有时候没法站那么高,即使在平地上,如果临千尺之渊,你也自然有了势。信息安全事件/事
故是我们不愿意看到的,救火奔命是消极的一面,但积极地看,这是可以大肆借题发挥的机会。
往往顺风望去,此时你就在高山之上,而别人就成了千尺之渊下的鱼。出了问题,自己不要躲
起来,而是要把号令百军的旗帜树起来!很多事情,让自己换一个思考方式,让别人也换一个
思考方式,结果马上就变了,权变再权变,变通再变通,引导再引导,刚才千里长江东逝水,现
在马上滔天巨浪向你涌!能否站在浪尖上取决于你是否能因势利导。就好像曾国藩说“屡战
屡败”后来又改成了“屡败屡战”。看~一个字都不换,稍微变通一下结果就完全不一样了!

    例如:安全事件发生时你可以以退为进的暗示:人、流程、技术上的一系列问题,以及资
源的不足。在关键事件响应之后趁势抛出一堆诸如BCP(业务持续性计划)的流程,有些东西
不是第一次抛出马上就会被管理层接受的,接而第二次、第三次……对方的感性认识也有个过
程。

    5.中庸

    中庸,这应该是精髓了,这是笔者所提倡的做事方式。中庸的正解是“恰到好处,和谐圆
融,不偏不倚”而不是妥协退让和毫无特点的代名词。中庸应该是在企业内推行信息安全及
风险管理策略时的主基调,掌握了中庸,你就超越了CSO其实中庸是符合风险管理理论的,风
险承担和价值收益的关系是呈正态曲线分布的,承担过高的风险,或过低的风险(过多的控制
从而影响了盈利效率)都是不恰当的。恰如财务杠杆,维持适当的债务可以减税从而提升股东价值。
总的来说我们应奉行:“坚持原则,以退为进”该唱红脸时也当仁不让!

    例如,当你只懂安全而不懂业务时,开出的药方往往是“过激”的。所以呢,一定要熟悉业
务,应该是当你的策略出来的时候你就已经知道“控制”会对生产经营环节产生多少影响,大
局观不仅依赖于你的“意愿”,还依赖于你的“能力”。此外,多聆听业务部门对ISMS的反馈,这
样你才可能越来越恰到好处。所以不只是沟通的形式重要,沟通的内容更重要。

    6.奉天子以令不臣

    让其他部门遵循ISMS的标准是一件不太容易的事情,第一步就是要“奉天子以令不臣”,
这也是ISMS中要求管理层签署发布信息安全文件的原因,只是单纯的靠文件是不够的。具体
还体现在做事方式上,把水流重定向,让他们流到老板的大山脚下去,可别把你这座小土堆给
淹了。但是,不能屡试不爽,因为老板站在他自己的角度要追求的也是“平衡”,切不可有了一
点小事就往老板那里推,那样的话就显得你很“无用”。

    注意:这里用的是“奉天子以令不臣”而不是“挟天子以令诸侯”,后者是行不通的,而且会
有很大的反作用。

    不管你说“洗脑”还是“忽悠”,目的都是一样的,建立风险管理的“共同语言”,让别人的思
维方式顺应你所建立的“模型”,这样才方便与管理层对话,甚至主导思维过程。在我看来给
管理层的培训远比给普通雇员的培训重要,因为在企业里,只有自上而下的“营销”才是可行
的,反之只会力不从心。

    7.深入关键业务,利润中心

    为了显现信息安全的价值,我们的工作首先要与关键业务绑定,凡事分轻重缓急。不深
入应用,停在表面做技术平台的安全是没有价值的,OS,数据库,代码等等只是业务的承载媒
介,只是IT基础设施,他们并不是业务本身,真正重要的是信息,是数据!这也是信息安全前面
那两个字的含义。理解了信息,你才真正清楚自己在管理什么。

    8.IT,是对人的流程和对技术的架构

    之前说过IT,Information Technology是一个复合词,是信息+技术。操作系统、数据库、
代码这些属于T,属于技术平台如果只做这些,那么尚处于外围,只有当你贯穿企业内部的价
值链、整合产业链上的信息传递做安全管理的时候,信息安全才可能被提到战略高度,否则
安全就是一个可以外包的边缘职能。最简单的理解信息安全=人(权、责)治理+事(流程,程
序,操作指南)+技术(标准、策略)坐在办公室里,闭上眼睛,马上能想象出公司所有主营业务
的数据流向(包括第三方)的时候,就能理解如何利用现有的“安全技术”来保护企业的“信息
流”。

    9.创建治理结构,变人治为法治,但仍需要变通

    这是信息安全的核心,创建一堆标准、策略是简单的事情,但是让雇员都去遵循,不是遵
循一天,而是持续的自觉遵循是困难的事情。建立治理框架,绩效评价指标,能力标杆,貌似
游离于安全之外,却是画龙点睛之笔。这是变“人治”为“法治”的关键!

    “下君尽己之能,中君尽人之力,上君尽人之智”。

    治理:是为了鼓励期望行为,而明确的决策权归属和责任担当框架。简而言之,就是明确
权责,建立绩效标杆,让组织中的成员自觉drive自己对应的process,治理结构完善后方可成
为“清静无为”的上君。

    这还不完,任何法治都存在“不合理”“不近人情”之处,任何体系都需要不断的PDCA以日
趋完善,所以有些地方还是需要变通的,变通不是为了耍小聪明,不是以身试法,而是为了弥
补我们工作中的纰漏。

    这一段可能比较深奥,其实这篇文章原来没这么长,也没有例如,是应了某人的要求而增
加了不少解释性的内容。关于法治的问题,可以理解为国家的法律,地方的法律,在名为公司
的企业组织内就表现为一系列西方管理学所推崇的制度、流程等。在流行的安全标准中,
Cobit是最贴近该领域的一个,想要quickstart可以借鉴一下这个,若要抓本质,就要去学“儒
道法”。

    10.技术体系

    技术重要么?非常重要。否则就流于形式。但这并不是你要考虑的首要问题,招聘一名
合适的技术经理是非常现实的问题。从管理的维度看,任何技术都只是最后的实现手段,问
题只在于select哪一种。当试图解决问题时,应首先从管理的角度去分析,因为技术现象背
后的本质往往是管理的问题。在执行的时候应恢复到具体的技术视角,这样不断的切换视角,
变换维度才能在组织中、工作中的各个层面游刃有余。

    技术对于CSO而言其实是一个可管理的过程,首先是要选择做“对的”事情,然后才是把事
情做好。并不是什么事情都要做,有些事情看起来是“对的”,但在特定的阶段就不应该去做。
有些事情,收效甚微,却执行繁琐,徒增加矛盾,吃力不讨好,那样的事情就不要做。安全建设
应该Follow企业的“现状”,切不可一马当先。

    另外一些事情可以让其他部门做,自己“后台管理”就行了,关键在于时刻明白自己在过
程中所充当的“角色”。

    之余,在技术的执行层面,标准流程,通用模型,做事方式都是比较重要的。

    商业世界里不存在所谓的“真空”环境,CSO决不可能只是让你单纯的发布策略,写流程,
写标准难么简单,那样的话人人都能当CSO了。

    其实,信息安全管理最大的技能并不在于安全本身,如果你深切的理解“CSO不只是CSO”
这句话时,你将发现你已经没有“上限”。

    文中所述内容在于引导,不适用于“刻舟求剑”或“守株待兔”,因为每个人所处的“环境”
不一样,但知“音”者皆能自渡。

-EOF-