2022年7月14日星期四

我的网络安全观:论“事前”企业信息安全建设(第三季)

你既要知道组成“问题”结构的事前,你又要知道组成“问题”结构的事中,你还要知道解决“问题”的事后。最后在回归到“问题”的本身。

——Micropoor


本文主论的“事前”就是“企业信息安全建设”的概念。认识“事前”的目的不是认识事情本身,而是实践于企业信息安全建设的整体。针对企业信息安全建设的整体,要回归实践企业信息安全建设本身。


企业信息安全是木桶原理,木桶原理又称:木桶效应。其意义为:盛水的木桶是由许多块木板箍成的,盛水量也是由这些木板共同决定的。若其中一块木板很短,则此木桶的盛水量就被短板所限制。但这正是“建设”的本身。对于“企业信息安全建设”的“木桶原理”仅仅阐述了最后一个词语“建设”,而本文主论的第一个词语“企业”即“事前”。该系列文章,将分为:事前、事中、事后、再次回归实践,共计4篇,为大家分别阐释。


针对“事前”的企业信息安全建设,主要从“4个维度”和“3个方向”进行规划与考虑。


4个维度


针对“事前”企业信息安全建设,做好规划的4个维度,包括:事实、观点、立场、信仰。


事实:是客观存在,也是最不容易发生争执的,信息安全必须合规就是事实


观点:是基于个体对“事物”的看法,所有人(个体)都觉得自身代表的是“事实”,多数出现在“专业型”人员。例如:“这个版本很旧,你需要马上升级,否则后果很严重——信息安全型专业人员”、“这个系统不能升级,已经平稳运行很多年——运维型专业人员”、“这带代码没有问题,因为这样不影响运行效率——开发型专业人员”等。


立场:不分对错,只有输赢。


信仰:有自我“完整”的闭合逻辑,也就是说,“当事人认为的,是一定正确的”。


考虑他人立场的时候,一定先考虑他的“信仰”。如果他坚定的认为他对待“信息安全”的看法(重要或不重要、重视或不重视)以及逻辑是“坚不可摧”的,那么就不要擅自“强推”,不要“改变”他人的信仰,很难有较为理想的结果。如果没有这个层面,那么需要站在他的角度考虑“立场”,也就是按照这个角度,定制3个方向的沟通、规划、协调、反馈方案。


3个方向


针对“事前”企业信息安全建设,应该思考的3个方向包括:上级、平级、下级。


宏观总结:对内不折腾,对外有谋略。


微观总结:对上沟通,应该永远积极主动。平级沟通,永远追求双赢。对下沟通,永远坚持跟进。


上级:对“领导”在阐述网络安全的建设的规划中、建设的进展中、落地的过程中,要保持职业性和专业性,了解上级的真实需求,做事要超出上级的预期,并要衷心感谢上级的指点和教导。


平级:对“平级”之间的沟通,重在合作共赢,尤其是网络安全专业本身。如何既能解决问题,又能在解决问题的过程中,减少双方不必要的“工作”,减少“一刀切”的方式、减少“强推”的场景,有类有序的推进。在对方需要帮助时,主动支援;在对方取得成绩时,真心感到高兴。


下级:对“下级”沟通,要严格有温度。对事,需要公事公办。


对团队,你需要有负责的态度。总结一句:对上以敬,对下以慈,对人以和,对事以真。


结语


“事前”企业信息安全建设对于“事中”企业安全建设的过程,至关重要。决策前要多调研、深入调研、充分调研。深刻理解4个维度和3个方向。“事前”建设与“事中”建设的关系,即:从企业信息安全建设走出来,在回到企业信息安全建设过程中去。实践是检验认识的唯一标准,将在实践中获得的认识再放进实践中去检验,在用这个认识来指导实践。笔者相信,如此以后,那么在企业信息安全建设的过程,也一定会是一个享受工作的过程。


历史是不断前进的,时代是不断发展的,企业信息安全建设是不断变化的,我们要不断地实践,认识,再实践,再认识,循环往复。这也验证梭伦所说“活到老学到老。”在文章的结尾处更想引用《庄子·内篇·养生主第三》来做本文的结尾:“吾生也有涯,而知也无涯。 




没有评论:

发表评论