安全企业持续增长的关键:避免年轮效应
作者:星期三, 五月 13, 20150

图

许多人都不知道有这样一种自然现象,不是所有的树木都长年轮。比如,南美洲哥斯达黎加的树就是没有年轮的。原因非常简单,气候温暖适宜,树木从未停止正常生长,因此不会出现由于生长速度不均匀而形成的年轮。

信息安全业务的成长与此类似。大多数安全机构的发展状况都会包含四个主要阶段:

构想–>实施–>运营–>停滞

虽然最后一个听上去很痛苦,但这就是大多数安全机构面临的事实。我们接着简要描述一下这四个阶段。

构想

构想是第一个阶段。通常包括招募人员、描述构想、设置战略目标,以及计划第二个阶段:

实施

一旦确立了计划,安全项目将进入到实施阶段。这个阶段非常新鲜有趣,一切从零开始,并开始建立一切。人员位置、业务流程,以及指导、授权、批准和推动业务运营的工作。当工作流建立,人员培训完成之后,运营阶段终于要启动了。

运营

在运营阶段,日常安全工作开始进行。建立轮班制度、遵循业务流程、处理冲突、执行响应……这时,困难来了。

运营工作不可能一直一帆风顺,总有更多的事情需要去做,反反复复,并从处理事情的过程中加强学习。这些经验,包括新的控制和分析技术,流程改善和安全趋势等等,都可以作为整个安全运营工作的良好补充。运营工作是一种常规性的工作,人们应该不断地从日常工作中寻求提升工作效率的方法,而不是满足于当下。但现实情况却往往相反,于是停滞便不可避免。

停滞

毫无疑问,谁也不喜欢停滞。但愿望终归是愿望,一个永远不会停滞的世界在现实中是不存在的。在安全企业发展的停滞期,当初在实施阶段的创造者开始离去,他们带走的还有宝贵的创业经验和难以获得的技术,而留下来的大多为更加习惯安稳和循规蹈矩的人。业务虽然还在正常继续,但始终无法突破实施阶段的框架水平。与此同时,外部的威胁环境和攻击理念却始终在进化,最终导致机构无法跟上大环境的发展。

四个阶段简述完毕,我们现在回来看看年轮。

年轮是由于树木的生长季节结束,成长停止而形成。同理,安全企业为了避免停滞,必需不断成长。业务要不断的提高和成熟,要尽可能的在实施和运营两个间断之间永久地循环下去。一个机构如何做到这一点呢?

· 有时机构会陷入日常的业务运营中,所有的精力都投入到这些日常工作中。但却没有意识到,他们之所以埋头苦干,就是因为缺乏效率。而效率是可以提高的。适当的放下脚步,休息一下,留出一定的资源来考虑业务的改善和效率提升,而不是把所有的时间精力都用来埋头苦干,否则就会是那句老话:“只见树木,不见森林”。

 

· 质疑一切,既要尊重传统也要建设性的思考。不管什么流程、决策、方法、结果,只要不合理就要去置疑。“为什么这样做?”,“不知道,一直都是这么做的”。不要让这种问答发生在企业的工作中,如果事情看起来不合理,为什么还要一直做下去呢?仅仅是因为之前就是这样做的?

 

· 不要成为默默无闻的机构。安全企业要与同类机构,乃至整个信息安全行业一起与时俱进。了解同行所做的事情,思考的理念,甚至与之竞争,以从中得到启发并保持警醒,从而不断地发展,避免停滞。

 

· 引入自动化。研究业务流程并识别出低效率点。引进自动化,减消手工流程以提高工作效率。这样可以把人力资源解放出来,从而留有用于从整体上分析企业,即“从树木看到森林”的时间。

 

这些方法也许并不全面,但至少也说明了几点重要性。企业的发展停滞从来就不是好事。顶尖人才的离开,安全业务的弱化,企业态度的消极。安全领域的机会就会反转,并给企业带来害处。因此,不要让企业这颗大树出现年轮,要让生长季节永不停歇。

CS论坛

关注网络空间安全(Cyber Security),解读趋势前瞻,聚焦管理策略、体系指引,为企业、机构安全规划与实施提供咨询建议。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章