安全经理,或者称为首席安全管,安全主管,这里指的是在企业组织中负责网络安全工作的经理,通常是一位中层领导,他还主管着信息系统的其他方方面面,例如运行维护,或者项目建设等。安全经理在企业组织的安全管理活动处于非常关键的地位,承上启下,分解高层对于网络安全的观点和使命,管理控制具体的安全运行和建设维护,他负责决定实际实施的技术路线和方案选型,抽象总结实际的安全工作的问题和由于其所处的位置为中层,就像“三观论”中的“中观”,企业组织的信息系统安全水平很大程度上取决于他个人对于网络安全的理解、重视与否和执行程度。
我经常对自己的愚钝、以及管理过程中的错误进行反思,看看是否可以找到一些方法来避免自己的愚钝和疏忽、固执,或者能够帮助面临自己同样境地的人。每个人都有每个人的困境,这里没有“银弹”。下面列出的不可忘记的五件事供您参考,或有一用,则善莫大焉。
1 规划 :: 网络安全风险对企业的核心业务和应用的影响
- 安全的许多问题不一定非得安全设备、花很多钱才能解决的
- 安全经理需要正确地识别并评价这些风险和威胁的影响
- 大处着眼,在此基础上,做好1年、未来的战略规划
- 小处着手,做好眼下的工作计划
2 沟通 :: 沟通、沟通、再沟通。安全经理不应该是一位技术专家,而是更应该是一个管理者,一个沟通者。
- 与领导的沟通
- 与主要的应用的用户的沟通
- 与企业内Peer们的沟通
- 随时收集来自他们的看法和反馈
3 顾问 :: 俗话说,“术业有专攻”,安全经理不可能对网络安全的技术发展、架构、模型、实践等样样具通,这不现实,也无必要。安全经理需要的是对企业自身业务和信息系统、安全保障等使命的理解。安全经理需要高效地利用安全顾问的知识资源。
- 身边有三位值得信任的安全顾问,这些顾问对企业所处的行业、对安全行业有很深的了解
- 温伯格先生说,顾问往往是从第三个问题以后才开始提出正确的解决方案,所以,选择顾问,给他们尝试的机会,建立长远的合作关系
- 对顾问的信任和对顾问公司的信任并不相同。有些时候,需要同时考虑两方面的因素。
4 Top 3 :: 在任何情况下,你都应该能够罗列出当前存在的至少三个问题或隐患。但是,应该努力不让其中任何一个处于压倒优势的重要地位。
- 消除最大的问题,则原来第二位的问题将自动会上升成为第一位的问题
- 聪明的管理者不会允许存在某一个问题占有压倒性的地位
5 工具箱 :: 你需要一个百宝箱,来提高自己的工作效率
-跟踪,保证能够follow-up所有的重要问题
- 情报管理,及时地掌握各种渠道的数字和状态