【廉环话】漫谈信息安全设计与治理之组织与团队

原创
安全 应用安全
前面我们花篇幅聊了企业里各种人员角色的日常工作中所涉及的信息安全相关问题,而现在不都讲求团队协作吗?那么怎么才能通过无形的“桌边板”来使得这些骁勇善战的“豆子”,既能跳的高,又不落到桌子下面呢?

【51CTO.com原创稿件】我们的漫谈又如约而至了!这次我们先来设想一个场景:有一把豆子散落在桌上,你用力一拍,虽然会有几个豆子随着你的震动高高跃起,但也难免会有些借此跳到地上。前面我们花篇幅聊了企业里各种人员角色的日常工作中所涉及的信息安全相关问题,而现在不都讲求团队协作吗?那么怎么才能通过无形的“桌边板”来使得这些骁勇善战的“豆子”,既能跳的高,又不落到桌子下面呢?

好,开篇我们先来看两个就发生在廉哥身边的安全事件。话说上周我同学收到他老板转发来的内容是***行业资料的短信,老板还亲自到他身边解释说,发信人是他有一段时间没联系的朋友,老板怀疑是病毒,所以让作为IT的他下载着试试看,并附言“你们技术大牛,这方面有经验,就算是病毒也不怕。”他明明一眼看出是病毒,但不敢驳老板的面子和信任,所以“门槛精”的他迅速转发给了我这个所谓的“安全专家”。而我碍于和他多年的“生死之交”,又无人转投,只有仗着自己手机有防护软件,硬着头皮去试了。结果不出所料,只剩下孤独的我忙不停的给手机杀毒,并咒骂这个“猪一样的队友”啊。

我们再来看另一个真实的安全事件。为了方便交流,我们信息安全部身处各地办公地点的同事们有个微信群,一天我突然收到群里的一哥们发来的“能交话费吗我手机停机了帮我交200话费152XXXXXXXX我改日给你钱”。我本以为这种低劣的骗术没人会上当,可是过了一会儿,就真有个小伙伴大呼:刚刚反应过来是诈骗,而且已经上当了,并归咎发信人是自己很熟悉的同事,平时互相帮忙充值乃常事,怎知这次被盗号了。接下来的剧情就很狗血了。大家一致批判他身为信息安全中人还犯低级错误,甚至有人从文法的角度分析了此盗号后的欺诈短信的各种破绽。中招之人不配留着群中,云云。可以想象如果这个时候“舔屏”可以把钱弄回来的话,那人肯定做了。

【廉环话】漫谈信息安全设计与治理之组织与团队

可见这两个安全事件都与技术攻防无关。正所谓“猎人终日打雁,却被雁啄瞎了眼。”对于基本的安全知识,我们IT人员比一般用户更明白,但关键是在人情面子的压力下和似曾相识的情景里能否保持头脑清楚恪守规范的处置流程进行应对呢?警钟要一直长鸣啊!

有道是:二人为从,三人为众,有人的地方就有江湖。所以我们有必要来进一步讨论一下对于同等职能人员群体的安全治理(说人话!就是组织与团队的治理)。大家都知道,一般非IT类企业不同于专门的IT公司之处在于:需要有一个比较稳定的IT运维团队。而要留住人,就需要满足人的需求。IT运维人员多是技术出身,因此除了一个员工所关注的工作环境、职业发展和薪酬待遇外,还注重个人技术水平的提高。因此可以从如下四个方面入手。

组织的建设

在IT团队的组织架构上,一般企业可采取一种扁平化的矩阵式结构,即:在各个区域(regional)配置一名IT经理(direct line),以全面负责技术、项目管理和资源调配等工作;而各个分支机构(local)的行政人员(dot line)则管理所辖区域内IT人员的事务、考评、职业规划等人力管理工作。在管理矩阵里的每个交点的时候,要做到全面立体,公平公正。在这样的架构下要建立一支有凝聚力,有战斗力,齐心协力的团队应注意如下四点:

1. 曹孟德曾友情提示过:“疑人不用,用人不疑。”适当授权与合理管控相结合,使运维人员既感受到信任,又能使其操作行为符合既定目标。

2. 通过技能征集、知识库创维和技术问题公示/竞赛等方式来激发运维人员的参与意识并使其才能得以施展,同时塑造出相互学习、取长补短的氛围。乔帮主不是告诉过我们:Stay hungry stay foolish?

3. 通过在一定范围内通报或表扬运维人员的突出表现或取得的集体荣誉,可使员工感受到尊重和赏识,同时也能形成和强化“榜样的力量”,从而产生"倍数效应"。

4. 及时发现团队中工作有抵触情绪,抱怨多、合作差,以及缺乏责任心的人员,并予以教育和纠正。果断的将屡教不改的人员清理出团队。该出手时就出手!

人尽其才

企业应当给运维人员创造和提供广阔的个人发展前景与空间。根据人员自身特点一般可以分为三大类:创新型,事务型和复合型。

1. 对于创新型人员,可以安排系统设计,改进或编程等工作。

2. 对于事务型人员,可以安排例行检查,操作实施等工作。

3. 对于复合型人员,可以安排项目管理与跟进,用户沟通的工作。

不同类型的人员适合不同岗位,组织和部门只有合理安排、科学分工才能让各种运维人员各司其职,并不断在本岗位上锻炼其技术能力、协作能力和问题处理能力,进而实现这个“不可能三角”的平衡与和谐。

培训与交流

IT技术的发展日新月异,因此运维人员的培训应当尽量制度化,常规化。其内容除了基本的工作职能、组织方针及流程外,还可根据员工的角色的不同进行定制“学习曲线”,从而起到规范日常行为,保持技术更新,加强安全意识等作用。不求团队里各个都能以一当百,也至少要做到互为“备份”。

这是一个“分享经济”的时代,在运维过程中很多事务是需要团队协作完成的,因此人员之间的交流必不可少。在交流的过程中要注意把握知识与信息的区别,即:技术和专业知识是可以用来共享和交流的;而与个别工作相关联的信息特别是一些涉密信息是不可以用来共享与交流的。IT管理层要努力使整个部门的人员能每两周或者每个月有一次集中交流和沟通的机会,主管可以籍此倾听来自不同层面的声音,正所谓“上级知道下级在干什么,下级了解上级想干什么和自己要什么”。这对于地域较为分散的员工来说不但可以增强组织凝聚力,还可以发挥大家对各种事务、项目等方面的参与精神。甚至可以将一些潜在的问题解决在萌芽状态。

另外,外企里经常会出现一种会叫做talkfest(恳谈会),其目的是以on the table的形式,将很多事情放在桌面上大家谈开来,也就方便推进和开展了。形式上不必拘泥在公司的会议室。什么出去team building的时候,或者微信群的方式,都是可以的。大家在一起brain storm出一些好的解决办法,亦或关起门来吐吐槽,不需要什么所谓的“一场和谐的大会”,哪怕是同仇敌忾的编排那些我们不得不待如“初恋”的甲方都是好的。当然作为team leader,要注意把握和控制好“度”,要善于去引导和lobby大家,以达到项目或工作的推进目的。手段上嘛多种多样啦,就像爱情中的男女常挂在嘴边的那句一样:“合适才是***的”。

目标与考核

除了由直接领导的工作分派外,员工也可参与其自身工作目标的制定。这里可以借鉴工程项目里的“里程碑”的概念,明确“时间、目标、资源三个要素”,以时间轴为主线,制定出清晰明确的短、中、长期目标和所涉及到的人力、物力、财力等资源,并以此来定期衡量工作的阶段性成果或是达标情况。

对员工的考核一定要客观公正,特别要抓住其关键指标(KPI)。直接领导***为每位属下设置一本“工作台帐”(or工作笔记),及时准确的将表现情况和工作完全情况进行记录,以免时间推移所造成的“一叶障目”或“人格假设”。在实际考核环节中,可采用非常普遍的“360度全方位考核”标准,即直接领导、属下、本部门同事和受服务的用户,综合对一个人进行匿名考评。而对于考核结果,在单独向被考核人员沟通的同时,也保持开放的态度凝听其反馈。精神与物质兼顾;奖励与惩罚奖励并重。这样既保护运维人员的工作积极性又保证其岗位的稳定性。

团队保值和用户应对

这里我习惯借用企业管理的SWOT分析法来考量运维团队自身的S (strengths)是优势、W (weaknesses)是劣势,O (opportunities)是机会、T (threats)是威胁。这是团队常青的法宝,也是不断证明自身存在价值(对于IT运维团队,实际上这一点非常重要。)的利器。不过具体如何实践操作真的因人而异,因地制宜,并无定式。旨在证明我们的团队在企业中“存在必定合理”而不是大家印象中的“烧钱部门”。

既然我们运维说到底也是服务部门,那么搞定服务对象,应该是我们的最终目的之一。这里可以借鉴的方式有如下:

1. 设立用户开放日或组织用户关怀培训。

邀请用户来参观或业务学习,此举既能让他们了解我们小伙伴们的日常运维活动及处理流程,又能培养他们基本的问题应对意识与能力。还记得吗?一些知名奶制品企业,不是经常要去消费者去奶源基地参观吗?这既表明对自己的产品有信心,经得起检验,也暗示着:“大家都是出来混的,都不容易啊。”

2. 和用户开通气交流会,请他们定夺一些事情。

我们小时候经常被教育要发扬“主人翁精神”,现在周围也经常提倡和讲究“体验经济”,请用户来商量或是参与决策,无疑是让他们既刷出了“存在感”,又体会到了“作上帝”的感觉。

3. 定期发送报告并有针对性的回复

人与人的交往以及好感都是遵循“遗忘时间曲线”的。很多电商经常会以定期短信或微信的形式remind甚至是attract你。而你真正能动心的莫过于,收到的内容是为你定制的,并且对过往的消费以及问题有解答。运维团队同样用此法对待用户,友谊的小船也不会说翻就翻的。

4. 多做一步的服务理念

这一点对团队的观察力和业务能力要求比较高,比如到用户那里,不但帮他把job A做了,发现B也需要帮忙,就在告知对方的情况下,把job B也完成了。说白了,提供了增值服务(Value Added Service)。你说用户能不爽吗?

大家喜欢看《复仇者联盟》就是因为它把不同能力的动漫英雄们集结在了一起去持续“打怪”。而现在演绎到两派“开撕”也就是因为美国队长和钢铁侠产生了意见分歧。可见,用组织和团队的一些既定的“餐桌礼仪”来规范部门员工的日常运维工作是非常必要的。少一点“独立玩耍”,多一些“化合反应”,才能使得有机体在一起产生正反馈。大家下期再见!

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2016-12-15 09:46:15

信息安全资源治理廉环话

2017-01-12 08:51:41

2016-12-22 08:28:26

IT核算预算信息安全

2016-09-29 10:56:32

信息安全人员治理安全管理

2016-11-24 08:25:41

2016-09-18 09:42:50

2016-09-08 09:25:40

BYOD信息安全

2016-10-13 10:49:57

云平台选型信息安全

2016-12-08 10:14:23

信息安全变更管理廉环话

2016-08-18 09:26:37

2017-01-19 09:30:10

2016-12-29 10:06:43

IT管理信息安全

2016-10-20 08:07:27

信息安全人员治理廉环话

2016-08-11 09:58:39

2016-11-17 10:16:37

2016-09-22 08:55:31

信息安全备份廉环话

2016-12-01 09:17:30

2016-09-01 06:51:23

无线覆盖与管控信息安全

2016-10-27 09:12:28

2016-09-27 17:40:02

网络安全技术周刊
点赞
收藏

51CTO技术栈公众号