亚洲首富李嘉诚,有一段关于鸡蛋的理论,引起了很多人的共鸣。“鸡蛋,从外打破是食物,从内打破是生命。人生亦是,从外打破是压力,从内打破是成长。如果你等待着别人从外打破你,那么你注定成为别人的食物;如果你自己从内打破,那么你会发现自己的成长相当于一种重生。”
如果讲这个论调用在信息安全行业,恐怕是要反着说了“安全,从外打破是推动力,从内打破是魄力”,作为任何企业当中的边缘部门,安全有种说不出来的感觉,没出事,别人认为你啥都没干,出了事,绩效考核你又不合格,做预算,你做的比天大,批预算,至少砍你50%,到了年底还要给你做绩效考核,妈妈不疼,姥姥不爱说的大概就是做安全的这类人。
记得刚跨入安全这个行业时,对于安全的认知还停留在盗QQ阶段,特别是每当回老家,老家的人总会问“尼在外面做什么啊”“信息安全”“能帮我盗一个MM的QQ密码么”“……..不能”“那你能干嘛?”“额………能做帮别人识别针对企业的那种攻击并提供解决方案”“哦,这样啊,能帮我破解网吧的计费系统么?”“……不能”“那你到底能干嘛” “哥,我就是个修电脑的(貌似连不会修电脑)”“….原来就是个修电脑的啊,这下我懂了,你哪天帮我重装一下系统呗”“………………….”
人们对于自己不熟悉的行业,总是会有自己在日常行为当中有自己的初步认知,你只要是做IT的,非IT类的人群只认得你懂电脑,殊不知IT还分细化的各种类别、开发、网络、主机、数据库、安全等各类组件组成,并且各类细分职能在一般状况下是不会相互贯通的,就类似于我们IT认为律师对外接口都是打官司的,不管什么都是打官司的,人家其实也分各种类别:建筑工程律师、工伤类、离婚类(前段时间播放的离婚律师就是这种)、合同专员、人身伤害等各类细分,对于行业的区分大都如此。
对于IT当中的安全角色,其他行业是否也存在和安全同样境地的细分领域呢?答案是肯定,而对处于这种地位的安全来说,我们该如何将安全这个鸡蛋打开呢?对于这个问题,也应该从内外部因素来考究:
外因:对于特殊行业,有行业监管,例如银行业的银监银,运营商层面有工信部等,这些行业特性决定自身必须接受这种外部的监管,监管从外部推动了安全的发展,对于此外的企事业单位都没有这种监管,安全基本上就是靠着安全事件的发生推动安全行业的进步。这几年应当算是信息安全发展的黄金一代了,从08年的艳照门开始,信息安全开始走进公众视野,3年后CSDN数据泄漏将信息安全推向风口浪尖,各行各业开始关注信息安全,13年棱镜门事件爆发,信息安全达到井喷,14年中国网络安全小组成立,战略层面得到重视。如何利用好这些外部因素我个人的看法有以下几点:
1、宣传。为什么我D一直牢牢把控着宣传口,因为从我D成立之初就深刻懂得宣传所带来的价值。远的追溯到国共合作时期《新华日报》没有条件创造条件也要办下去,近的追溯到《新闻联播》天天播报播报就知道宣传口的重要性了。在试着想一想开始听《凤凰传奇》很难听?但是现在一听到“我在遥望”也习惯性的接上“月亮之上,有多少梦在自由的飞翔”?安全也需要宣传,不然谁鸟你啊。怎么搞呢?没钱就整个月报跟新闻联播似的“前十页安全产业肿么肿么样,中间十页哪家又爆艳照了,隔壁老王偷别人家独家秘方之类的事件,后十页该肿么肿么做嘛”,再有条件就在OA上面开辟专栏天天整的情感专栏样,把情感换成信息安全嘛,墙壁不是还有电视机嘛。广告中间插播插播安全教育培训视频嘛。大家天天看广告也会有审美疲劳的嘛。再有点钱就把这块包出去,花了钱的才肉疼…………..
2、B格。每一本关于信息安全的书上不止一次的提到“得到高层领导的支持”,领导那么忙,肿么支持啊。那就需要找到B格更高的东西吸引一下领导,blackhat门票整一张呗,再不济整个RSA国内的门票,再再不济整个国内民间会议的票,再再再再不济自己公司举办一个业界的安全会议不难吧。邮件发送又不要钱,电话通知几毛钱,哪天狗屎运来了领导一下去了就喜欢上了。剩下的不就好办了………….
内因:稍微有点规模的企业都会有审计部这个部门,业务范围涵盖内外审,成立之初的目的不是为了IT,但是谁让IT那么屌呢,还搞那么大,人家觉得你这么搞不行啊,我整个IT审计出来,这下好了吧,你也归我了吧,这就成为了很多内部做安全的部分内因;另外一部分内因就是随着业务的增长,多多少少会被个别别有用心的人或公司盯上,投资点花在安全上面也不过分吧,有了外部安全事件的推动,内部在捣鼓捣鼓,差不多也可以投资点吧……..从内因彰显魄力个人觉得应该从下面展开:
1、斗转星移。天龙八部里面的慕容复的看家本领,演化成俗语就是”以彼之道,还施彼身”。有外部监管要求 的好办,拿着官方通关文书去领导那边通关呗。没监管的有内外审的肿么办,让他们审呗。审个一两次就会 发现问题太通用了,到后来发现都是历史遗留问题,没法改,要肿么处理呢?靠,那么好的机会还不会把握 ,人家审计也要考核的嘛,总不能年年都是一个结果吧。他们就会挖空心思的在审计报告里面一步步加上原 来在IT内部都推动不了的项目。。。这时候你心里就可以默默的呐喊了”孙子,爷等你这份报告等的花都谢了 “。即木有监管,又木有内外审肿么办?这个就简单了,天空中飘来5个字”哪凉快哪待去”,业务都木有起来还 想着安全,老板脑子秀逗了还跟你玩安全(个别以数据为营收点的除外)。
2、科技改变生活。但凡能当上领导的,必定有其过人之处,而且对新技术发展也是比较感兴趣,移动互联网 、云计算、大数据…..哪个不需要新技术的积累?伴随着他们对这些技术的追逐,定当顺势而为,移动互联 网你就没事多唠叨唠叨byod,云计算你就多扯扯云安全、大数据你就多整整数据安全和隐私等。不然领导被上级领导问道了说不上来估计也会把你搞的秀逗了”整天嚷嚷着安全重要重要,也没见你有啥动向啊” “………….”
3、内外兼修。平时没事多学习,搞IT的还是要不断学习的,练好自身比啥都强,加强和行业内的技术交流,多积累积累人品,人品攒多了就算是出了安全事件也好低调处理。反过来还能被领导记一功。人在河边走,哪有不湿鞋,就算鞋已湿,还有云备胎。
当Boss的都是“人精”,如何将安全提高到“人精”的视野确实任重道远。平时的话要多吓唬吓唬领导,虽然领导不是吓大的,吓多了,可能真的会被吓到哦。安全工作不好做,但是非安全工作也好不到哪里去。安全的鸡蛋不可能单一的从内部或者外部打开,需要的是里应外合,外部因素推动行业进步,内部因素利用外部因素整合后形成内部革新,共同推进企业的整体信息安全。
分阶段瞎写完成。轻喷。
有个故事耐人寻味,特贴出来与君共赏:
关于佛主与波旬的一段对话,本师释迦牟尼佛在世,讲经说法四十九年,应得度者皆得度。魔王波旬看到释迦牟尼佛度了很多人,心里很不舒服,他来见佛,请佛赶快涅盘:“你度了那么多人了,可以涅盘了。”
佛祖觉察到自己与娑婆众生的缘分已到,就答应了波旬的请求。
波旬说:“你涅盘后,我一定要破坏你的佛法。”
佛说:“佛法是正法,没有任何力量能破坏。”
波旬说:“呵呵,正义永存,邪恶也不会消失。你在世时也不是人人都信仰你,我的徒子徒孙不也很多吗?人性本恶,学坏容易学好难。你入灭之后,信仰你的人会越来越少,信仰我的人会越来越多。”
佛说:“你破坏我的佛法对你没好处。佛光是普照之光,照耀着善良的人,也照耀着邪恶如你之人。如果正法时代一旦结束,你的福报也就玩了,等待你的就是无间地狱,你会在地狱中受无量种种苦。”
波旬:“我知道佛祖是不说谎的,但是,佛祖你也知道命由心造。我会设法避免地狱之苦的。”
佛说:“多行不义必自毙,哪里能避免得了!”
波旬:“圣人无常心,以百姓心为心。波旬亦无常心,以百姓心为心。在顺应百姓方面,你是比不上我的。你戒律森严,极力强调贪欲的危害,教人远离贪欲。而我顺应百姓的欲望,满足百姓的欲望。众生没有贪欲那里有我波旬?”
佛说:“我有佛经留世。”
魔王波旬:“经典是死文字,要教化众生,还是需要人来解释。”
佛说:“我有僧宝留世。”
波旬:“你要教化众生得引进新人吧。你老人家不会拒绝我的弟子接受你的教诲吧。”
佛说:“不会。”
波旬说:“到了末法时期,我叫我的徒子徒孙混入你的僧团队伍里,住你佛家庙宇,穿你佛家袈裟,吃你佛家饭,破坏你的佛法。他们曲解你的经典,破坏你的戒律!”
佛祖听了魔王的话,久久无语,不一会,两行热泪缓缓流了下来。魔王见此,率众狂笑而去。
博主看完此文作何感想
你有何感想?