小規模團隊如何開展信息安全工做？科技創新型企業|金融|互金|遊戲行業

想寫這個話題好久了，筆者之前有很長時間的大團隊工做經驗，看各位大佬探討交流大公司的信息安全架構和運做方法，老是有不少共鳴；這2年在一家高科技企業負責信息安全，團隊最多時4人、如今就2我的，而筆者也發現除了互聯網企業，在金融、互聯網金融、遊戲行業竟然也大量存在小規模信息安全團隊（有時甚至只有1我的），因而就一直思考小團隊應該如何開展信息安全工做，應該如何基於大團隊運做的方式作優化和剪裁。

同時筆者也看到，在中國可以構建信息安全大團隊的企業應該是少數，大量企業仍是在小團隊層面上運做。因而，總結提煉、共享交流小團隊的信息安全工做經驗成爲一種必然。業內既然鮮有說起，咱就斗膽拋磚引玉，只是試圖作一些總結和歸納，以饗讀者。文中觀點如能讓讀者參考或引起思考，目的也就達到了，請各位同行指正。

壹 小規模信息安全團隊的特徵

一、團隊人數少於等於3人

不算可支配的外包人員，專職信息安全總人數少於等於3人，或佔企業人員比例小於千分之二（經驗數據；IBM好久之前給出的建議比例是千分之2.7，但如今也找不到可類比的數據了）。據瞭解，甚至會存在1我的的 「信息安全團隊」。

二、信息安全投入少

企業年信息安全投入（不含人力投入）少於200萬，或佔企業年營業額比例少於千分之一。（經驗數據：金融企業IT年投入一般是年營業額的1-3%，安全類投入一般是IT投入的10%左右。）

三、一般沒有獨立部門

一般沒有獨立的實體部門或行政編制。大機率是IT部門的幾我的，更大可能落在IT運維部門。

四、身兼多職

團隊成員廣泛身兼多職，或多個崗位的工做內容。有多是一人兼多個信息安全崗位的工做內容，有可能還會兼任合規、風控、運維等崗位，甚至還可能幹文員的活。

貳 小規模信安團隊常見的困境

一、有短時間、明確須要解決的信息安全問題，但缺少長遠的信息安全路線圖。

既然有專職信息安全人員，說明企業管理層已經意識到了信息安全風險的重要性，或者曾經出過事，因此一般短時間以內有明確須要解決的信息安全問題。可是因爲工做職責（組織架構相關）不清晰、資源能力不足等問題，對於信息安全人員（或團隊）將來應該幹什麼、解決什麼問題，要麼不清晰、要麼缺乏一個路線圖，致使信息安全工做整體上偏被動，屬於事件驅動型或合規驅動型。

二、資源少

「事多人少錢難要」是典型特徵之一，有時也僅僅是「人少」，有時僅僅是「事多」。究其緣由，可能：

（1）信息安全在企業業務中的重要性還不夠突出，傷的還不夠痛，領導的專業能力不足，致使領導認知不到位、投入不夠；

（2）金融行業因爲監管或編制緣由，每每有專職的安全人員，可是正編較少、外包人員多；據稱不少城商行、互金企業都存在「1人信息安全團隊」的狀況。這時管理外包商、內外部的溝通可能就會耗費大量精力，反而沒法集中精力開展建設，有可能會出現供應商管理風險，或者是核心能力喪失的問題。

（3）企業經營和盈利能力不強，雖然領導重視、可是手裏能花的錢都得精打細算，但凡花點錢都想一分錢掰成2分錢用。好比這些年的互金行業、遊戲行業活的其實挺艱難，除了幾個巨頭以外，其餘企業能活下來都挺不容易，在安全上的投入是真的緊張。

（4）信息安全人員和領導對於「資源」一詞的認知不一致。在我之前的文章中提到，信息安全人員每每把「資源」等同於「人、錢」，但實際上資源還包括「物、政策，內部支持者、供應商&合做商資源以及管理層在信息安全事務上投入的時間精力」；

（5）信息安全人員自身追求職業發展和企業經營須要之間的落差。做爲一個摸爬滾打了十幾年的業內人士，我深入理解一個專職人員但願年年作事、作新鮮事情的感覺，因而不斷地發現新風險、指望作新項目、但願擴大團隊，可是管理層須要的只是把風險控制在可接受程度、而不是完全消滅，這時每每就會產生落差；

（6）監管部門這些年逐步增強了互金、遊戲行業的監管力度，從等保、客戶信息保護、網絡輿情安全等等各類傳達要求、開會、檢查、整改，從銀保監、央行到網監、網信辦，雖然說確實提升了行業的安全水平、控制了行業風險，卻也給這些企業帶來不小的管理成本，相比就容易感受到資源不足。

三、人員流動大、留人難

若是是大公司、小團隊，有一個較好的事業平臺或薪資待遇支撐，那可能這個問題還不夠突出。若是是小公司、小團隊，自己的平臺和事業空間有限，薪資待遇很大可能也就中等水平，作幾年估計就差很少了，想留住人很是困難。

四、本身能力不夠，或者面臨挑戰多、漏洞多、問題複雜

基於問題3，小規模團隊大機率就會遇到人員能力不足或者人數不夠，「事多人少錢難要」；或者因爲信息安全工做在內部的職責、定位、協做關係不清晰，手裏也缺少足夠的資源使得話語權不夠，看上去就會挑戰多、問題複雜。

大機率的狀況下，一個公司設立專職信息安全人員以前，其實信息安全並不是從0起步，多少仍是推行過一些信息安全要求、部署了一些工具，但必定在執行中遇到這樣那樣的問題。那麼，設立專職人員以後，如何整合、優化這些信息安全要求和工具，如何解決這些問題，如何保障內外部用戶體驗的前提下有效控制風險，也使得問題更加複雜。若是公司的信息安全是從0作起的，那麼從哪裏入手呢？

叄 小規模信安團隊工做思路 問題分析完了，那麼如何解決這些問題？談談個人思路。

一、挑個好的團隊帶頭人。

無論是1我的的團隊，仍是2-3我的的團隊，事以人成，這個帶頭人極其重要。兵熊熊一個，將熊熊一窩的道理你們都懂。這個帶頭人必須：

（1）熱愛信息安全，承壓能力強或者熱愛接受挑戰；

（2）具有信息安全專業領域資深經驗，在行業內有較好的人脈資源；

（3）既能向上溝通，也能向下管理；有全局視野；

（4）具有動手能力，畢竟小團隊工做的時候，不能只動口、不動手。

在金融、互金、遊戲行業裏面，我以爲還必須具有必定的技術能力，雖然不必定要很專業，但像CISSP/CISP那樣的知識寬度仍是要有的，至少能夠保證不會被忽悠。

二、作好規劃，明確重點解決的問題。

作個規劃，明確2-3年內重點解決的問題、架構、路線圖。這是我解決問題的一向套路，先從全局着眼、把總體佈局作好。規劃中要明確信息安全工做的價值、定位、目標，和2-3年內須要重點解決的問題（風險）、信息安全架構和路線圖。尤爲是小規模信息安全團隊的工做，尤爲在金融、互金、遊戲行業裏面，安全團隊極大可能就是IT團隊的補一份，所以就整個公司IT基礎設施的架構達成一致就很是很是重要。推薦採用EA的方法論去分析和搭建，這樣能夠保證安全項目的實施效果不會誤差太遠。若是自身能力還不足以作這個架構和路線圖，能夠找大牛或諮詢公司。

這當中尤爲須要注意和IT部門、人力資源、行政部門達成目標、分工合做機制的一致，IT部門與IT基礎設施的建設和運營相關，人力資源和員工培訓、獎懲相關，行政部門和物理安全管控相關。必要的話，能夠採用聯席會議（溫和的溝通機制）、績效考覈（強硬的保障機制）等手段保證目標一致。若是這樣仍是作不到，能夠爭取在公司現有的管理機制（好比經營例會、風險例會）上爭取一個議題，每次都能講十幾分鍾、半個小時，經過不斷地宣講來統一思想、統一目標。

若是領導的想法特別多，可是又不太願意（或不能）投入更多的資源，其實這時蠻考驗團隊負責人的溝通能力。常規的作法，就是把信息安全風險仔細作個風險評估，能夠本身作，也能夠請外部諮詢公司、安全公司作（大部分時候外面的人說話管用），或者是帶着領導去參觀學習同行標杆企業，而後跟領導一塊兒把最重要的風險識別出來、定下來。

三、以合規驅動爲主，提綱挈領地解決核心問題。

雖然你們都說新官上任三把火，可是感受不適用於信息安全小團隊的運做。咱們的第一件事情是站穩腳跟。如何站穩？就是首要解決管理層關注的重點問題、緊迫問題（我稱爲「核心問題」）。如何解決呢？個人觀點是以合規驅動爲主，一邊解決核心問題、一邊搭建架構。固然，作起來確定不是面面俱到，而是要提綱挈領。具體怎麼作呢？

就「合規驅動」而言，就是利用監管機構出具的各項指引，或等保測評標準，從制度體系、IT基礎架構到安全組織、人員意識逐步、從虛到實地作起來。這些「規」都很是體系化，因此合規的過程自己就是一個體系化的建設過程；同時因爲「合規」這個動做對於金融、互金、遊戲行業來講也是一個強制性要求、必需要被知足，所以能夠在這個階段，藉助合規驅動的機會，順帶着把架構性的問題基本解決，還能得到資源支持。

那麼什麼叫「提綱挈領」呢？仍是圍繞前面提到的「管理層關注的重點問題、緊迫問題」這些核心問題，在解決問題的過程當中逐步地實現總體架構的改進。好比要優先解決「保護客戶數據不泄漏」的問題，那可能就須要實現終端安全的基礎防禦+數據防泄漏+准入控制，網絡要劃分安全域並設置訪問控制策略，互聯網邊界先作到能夠應對普通攻擊，應用要分級、隔離、作到數據不落地，這幾個大方面的改進完成了，基本上整個架構就搭起來了，即使在推動過程當中遇到阻力，也會由於這些任務是爲「核心問題」服務而化解。作完以後，再逐步推動數據分類分級脫敏審計、應用系統開發標準和代碼審計、NTA分析、應對APT、攻防對抗、部署蜜罐、態勢感知等高階動做。

這當中有幾個注意點：

（1）整體上遵循架構。這裏主要說的是IT基礎架構，這樣能夠保證安全控制措施的協調性、有效性；可是各個部分的推動能夠根據實際狀況、尤爲是IT部門自身的業務規劃來調整。

（2）能夠先把制度體系創建起來，完成立法。爲何這麼說呢？由於首先須要合規、知足監管要求；同時也能夠在創建制度體系的過程當中，對照業內標杆或者最佳實踐，把企業自身的差距識別出來，造成後續改進的依據。對於工做推進所需的資源抓手（好比硬性的培訓要求，對員工的獎懲權），務必在這個過程當中搞定。固然，制度體系的落地須要較長的時間，這個下面再說。建制度體系這個事情，能夠請諮詢公司作，也能夠花點小錢買一套再改改，先保證有東西。

（3）協調好業務需求跟合規需求。金融、互聯網金融、遊戲等強監管的行業的合規需求和業務需求到底誰輕誰重？我沒有實際經驗、說很差。可是若是企業經營形勢通常，彷佛仍是應該優先知足業務需求，先使得企業在大致合規的狀態下生存下去，這時就須要和管理層、監管機構創建良好的溝通。

（4）與核心干係人保持密切溝通，得到管理層和業務部門的支持。與核心干係人保持密切溝通、彙報進展，不但能夠展示成績、暴露問題、推進問題的解決，還能夠持續對管理層和業務部門主管進行意識教育。不少安全工程師每每只顧埋頭作事、無論業績展示，是致使「缺少資源」的根本緣由，也是我一直強調的安全人員要有管理技能和管理視角的緣由。與核心干係人保持良好的關係，也爲後續的信息安全工做開展找到了更加有力的支持者，而這也是我所說的「資源」之一，並且是重要資源。

（5）作到PDCA。凡事要閉環、要PDCA轉起來，這是信息安全管理體系最重要所在。風險是否獲得控制，要經過運營、檢查、審計等綜合措施運行一個階段（通常是半年到一年），以實現閉環。這樣既能夠保證問題真正獲得解決，又可讓老闆、業務主管等核心干係人放心，他們會以爲你靠譜，後續對信息安全工做的支持力度也會更好。

四、關於應用安全、業務安全。

互金、遊戲行業的業務開展很是依賴互聯網，所以每每對應用安全、業務安全（好比第三方非法接入、薅羊毛、借貸欺詐、內容安全等直接影響企業利益的問題）看的很重，而內部的IT基礎設施、辦公應用反而比較初級：要麼用SaaS服務搞定，要麼用大廠的企業郵箱，或者基於企業微信、釘釘知足絕大部分辦公業務；金融行業也愈來愈加大互聯網應用的投入。在這種局面下，小團隊應該如何開展這方面工做？我提幾個想法：

（1）能花錢解決的問題，就不要本身幹。從App安全、應用系統安全、抗DDoS攻擊、內容安全，安全廠家都有成熟解決方案，拉過來用就能夠。若是有精力就貨比三家，沒精力也能夠全包給一家。

（2）若是應用是自研的，那麼就要和測試團隊、質量控制團隊合做，在測試或QA環節把風險控制住。該定標準定標準，該用自動化代碼審計工具就用。

（3）若是管理層確實對應用安全、業務安全重視，能夠把這個做爲短時間內的「核心問題」，按照等保或者ISO27001的要求，先制度標準、工具平臺、意識教育等幾個領域作起，容易看到效果、也容易獲得資源支持；而後再解決內部的終端管理、網絡架構、服務器管理、數據流管理等。這是一個切入點、突破口選擇的問題。

（4）用好事件營銷。一方面及時響應、處理事件，一方面用事件驅動體系化的建設，但對團隊在這個階段的數據分析能力、風控能力、響應能力有較高的要求。

五、用好事件驅動，補信息安全管理體系短板。

用好事件驅動，逐步補全信息安全管理體系的短板。剛纔提到了核心的「點」的問題，下面談談如何解決「面」上的問題。通常來講，除了核心問題以外，多少仍是有其餘一些信息安全風險須要面對和控制。資源投入仍是要關注，但不建議超過20%；從解決方式來看，我認爲這些問題用「事件驅動型」方式來解決，效果和效率更好。還有一種狀況，就是企業已經大致上知足合規要求了，如何作的更好更深刻，每每還須要事件驅動。

以我所見，即使是對信息安全很重視的領導，也一般是優先解決能看到的風險、已經發生了安全事件的漏洞，畢竟資源都是有限的。所以，經過持續的事件驅動一個一個問題的解決，或者是更加深化地解決。逐步積累以後，就會連點成面，有點相似「農村包圍城市」、「積小勝爲大勝」的套路；同時，經過一個一個事件的處理和改進，不斷地對員工、主管進行安全意識的教育，也是很是有效果的。再反過來想，若是信息安全工做的上級領導要去驅動同級的其餘部門領導，他是否是也須要「事件」這個武器？你給領導提供資源，領導才能給你支持嘛。那麼，如何才能得到這些事件呢？

（1）專項審計，包括調研訪談、現場查驗。這不是審計部的活，是安全團隊應該乾的；

（2）運營和巡檢。別看是平常工做，「安全無小事、出事必然都是大事」，若是在小的地方持續出問題，那說明必定是運行機制或人員意識上出了問題，須要當即糾正；

（3）滲透測試。好比能夠策劃模擬真實的釣魚郵件等社會工程學的攻擊，看看到底有多少人中招，而後把數據擺在領導面前，讓領導真實感覺到觸目驚心的結果；好比能夠集中資源抓2個月的上網數據分析，把互聯網出口形成的信息泄露結果呈如今管理層面前。

（4）接收外部的漏洞報告、威脅情報。接收、評估並解決一個漏洞，並向管理層彙報，既是成果展示，也是意識提高。

（5）蒐集並展示同行案例。同行案例、身邊人的故事，對老闆、主管最有說服力，因此要和圈子裏的同行多交流。監管機構也會常常通報一些案例，也要用好。

以上「事件」應該保持至少每季度一次的頻度，太頻繁了就會「風險疲勞」。經過每一次事件觸發的安全改進，逐步地把信息安全管理體系的短板補足，把PDCA的循環轉起來，把「虛」的制度轉變爲「實」的執行，把「書面的控制項」變爲「有保障的控制點」，減小事件的發生、減小重複事件的發生，進而實現螺旋式上升。在本文編寫過程當中中，個人友人提出「小團隊的安全歷來就不是技術問題」的觀點，發人深省。

六、組建團隊、用好外部專業力量。

組建團隊不能太着急，要持續關注、找合適的人。小團隊的人，我認爲要招喜歡信息安全的、學習能力強的，經驗不必定要太多，這樣相對穩定、有忠誠度；校招也是一個很是不錯的途徑。對於金融、互金和遊戲行業來講，招聘次序上來講建議先招運營，作策略、技術、意識宣傳的按需補充，最後招審計人員。

建議小團隊就不要招滲透測試的人了，仍是用外部專業力量好。若是遇到疑難雜症須要解決，找諮詢公司或者大牛諮詢一下，其實基本就解決了，沒必要招大牛。

團隊負責人平時要特別注重團隊建設，總得在事業平臺、團隊氛圍、薪資待遇的某個方面讓員工有成長和收穫吧？平時還要注意學習業務知識，讓團隊成員逐步樹立「信息安全要爲業務服務」的意識。特別還想說的，團隊負責人必定要學會如何與90後相處、溝通，既能更好地管理團隊，也可以讓本身保持年輕的狀態。

團隊成員要多交一些圈子裏面的朋友，一來有問題能夠尋求諮詢和指導，二來也可讓本身多一些解決問題的選擇、或者掌握更多的信息。

這裏有一個問題就必須討論到：不少金融企業正編很是少，必須依賴供應商的外包人員，且人數還很多，隨之而來的問題就是：

（1）外包人員是否可信；

（2）如何讓外包人員盡責；

（3）自身團隊人員長期只作外包商的協調管理，核心運營能力喪失，容易人走茶涼。

對此個人建議以下：

（1）與外包公司前述保密協議、落實責任；

（2）對接觸核心業務的外包人員要有背景調查；

（3）將外包人員的KPI與團隊成員的KPI保持一致，並創建激勵機制（好比在合同中約定：完成平常任務拿100%收入，有突出表現能夠多拿20%）；

（4）從生意、技能、幫助外包公司的成長，雙方結合成長期的夥伴關係，提高互信；

（5）若是始終認爲外包只是外包，那就設定一個可行的計劃，讓團隊成員逐步負責安全策略、安全運營等核心工做，將外包的安全能力內化。

七、儘可能用標準化、商業化的技術產品和服務，儘可能自動化。

小團隊在信息安全建設過程當中，儘可能採用標準化、商業化的技術和產品，少定製化、少本身開發，少用開源工具。大量經驗代表，把工具用足用好最重要，不要想着買最好的工具。對於小團隊來講，實用是第一位的，應儘可能選擇架構簡單、學習成本低的工具，那種須要投人進去琢磨、研究的工具平臺看着美好，但不適用小團隊。開源工具雖然免費，可是須要時間琢磨研究、非標準化的作法也會帶來架構上的風險漏洞，搞很差還會引入供應鏈風險。

不要一開始搭太多工具平臺，成本高、項目多，效果還不必定好。我建議在團隊初創期間，人均負責運營的工具平臺不超過2個。但同時，我認爲也要勇於打破舊的束縛，若是之前上過一些工具、平臺，在保證投資收益比的前提下，該廢止就要廢止，能利舊仍是要利舊，千萬不要在這方面有束縛。若是團隊人員規模始終控制在2-3人，必定要想辦法整一套運營或監控工具（至於它叫SIEM、SOC、態勢感知仍是大數據分析平臺，就是蘿蔔白菜各有所愛了），起碼要達到「事中及時響應、過後快速回溯」的效果。

能快速用起來的、自動化的工具，只要可以知足當下關鍵需求就先上，切記多頭出擊還都是手工活。自動化的好處就是團隊能夠把更多的精力放在溝通匯報、協調資源、救火上。

八、中後期的團隊管理建設與分工規劃。

等到團隊成員達到4我的左右的規模，就能夠逐步造成這樣的分工：團隊負責人主管向上溝通協調、資源協調和團隊管理，同時能夠負責數據安全、業務安全等須要高端資源協調的工做：

A.負責項目管理、制度文件管理、意識教育；

B.負責IT基礎架構的建設、項目評審、SDLC；

C.負責審計、應急響應和調查，運營的工做能夠根據實際狀況讓每一個人都承擔一部分。

ABC的工做還要注意造成互相備份，這樣不至於在人員流失的時候耽誤工做。同時想辦法把瑣碎、低價值的工做交給外包人員去作，或者交給公司內部的低價值崗位（好比文員、行政前臺），或者嘗試利用一些工具、改進一些工做流程來提高這些瑣碎工做的處理效率、下降對團隊人員的時間精力佔比。

時間久了以後，團隊成員難免面臨流失的風險，所以仍要保持對可用人才的關注，可經過校招等途徑適當補充。隨着團隊人員價值的逐步實現，在安全專業平臺上的發展空間已經不大，能夠考慮這幾種方式:

（1）公司內部輪崗，安全的人去幹運維，運維的人來幹安全，橫向擴展團隊成員的技能和視野；

（2）努力提高團隊成員的薪酬待遇水平，以保更好地留人員。經驗數據代表，安全人員的薪酬上限和公司的人均產出是基本至關的，這時就須要團隊負責人多想一想辦法了；

（3）對於團隊負責人來講，去從事和安全相關的工做內容（好比合規，好比業務風控），可能也是一個選擇。

若是團隊成員+外包人員規模應該要增長、但始終上不去，一方面要找找自身緣由、看如何改進，一方面其實也能夠琢磨琢磨是否是應該動一動了。

九、逐步地過渡到關注和解決業務安全問題，找到更大的價值空間。

當信息安全團隊的短時間目標實現，就要考慮下一步發展的問題。從情理上來講，都但願擴大團隊、爭取更多的資源、實現更大的價值，但我仍是建議團隊負責人可以以務實的態度看待這件事情，畢竟這個必須創建在企業大規模發展和盈利的基礎上，不要盲目追求擴大團隊和資源。

若是但願找到更大的價值空間，那必需要結合行業發展趨勢、企業經營戰略和對將來風險的認知，在與安全密切相關的方向上整合資源和能力，作一些技能、工具或外部資源的調研儲備，或着力幫助公司業務的提高，好比合規、風控。但其核心思想依然是我以前提到的，「保企業增加，保企業核心競爭力」。至少在須要你滅火的時候能頂上去，也就爲團隊打開了一片新的天空。若是找不到，該功成身退也就退吧，把機會留給其餘人。

十、向上管理、以及對監管的驅動。

互聯網小企業有可能還有專職安全崗位設立，可是在金融、互金、遊戲行業的小規模安全團隊，大機率在IT部門，也容易面臨級別不夠、跨部門推進困難等困難。在和幾位業內人士溝通的時候，都不約而同提到了這一點，同時提到了目前最大的難題就是「數據安全」推不動。

爲啥推不動？

一、自身級別不夠；

二、就是雖然別人出了不少事，但企業管理層還不夠痛，外力不夠強；

三、企業管理層認知不夠，或者企業經營顧不上這個事情。

可是「數據安全」這個事情真的不敢出事，一旦出事極可能就是滅頂之災（這個說法可能有點誇張，但安全從業人員應該有這樣的意識和責任感）。那怎麼辦？考慮到互聯網小企業、金融、互金、遊戲行業有很強的合規驅動性，也必然須要和監管機構保持良好的溝通，個人建議是：

（1）安全團隊成員應堅持向上管理和溝通。積極地、在不一樣場合向管理層溝通和灌輸數據安全的重要性。若是是我，會在恰當時機安排對管理層的我的信息利用的滲透測試。

（2）業內同行應該造成協力，鍥而不捨、想法設法驅動監管機構對「數據安全」的重視，以監管的力量（合規、獎懲、排名措施均可以）來促進「數據安全」水平的提高。

在「數據驅動業務」的時代，數據安全應該早下手，安全建設和系統平臺建設同步開展，不能再走先建設、後補課的路子了，這一點相信監管機構也是有認知的。