小规模团队如何开展信息安全工做？科技创新型企业|金融|互金|游戏行业

想写这个话题好久了，笔者之前有很长时间的大团队工做经验，看各位大佬探讨交流大公司的信息安全架构和运做方法，老是有不少共鸣；这2年在一家高科技企业负责信息安全，团队最多时4人、如今就2我的，而笔者也发现除了互联网企业，在金融、互联网金融、游戏行业竟然也大量存在小规模信息安全团队（有时甚至只有1我的），因而就一直思考小团队应该如何开展信息安全工做，应该如何基于大团队运做的方式作优化和剪裁。

同时笔者也看到，在中国可以构建信息安全大团队的企业应该是少数，大量企业仍是在小团队层面上运做。因而，总结提炼、共享交流小团队的信息安全工做经验成为一种必然。业内既然鲜有说起，咱就斗胆抛砖引玉，只是试图作一些总结和归纳，以飨读者。文中观点如能让读者参考或引起思考，目的也就达到了，请各位同行指正。

壹 小规模信息安全团队的特征

一、团队人数少于等于3人

不算可支配的外包人员，专职信息安全总人数少于等于3人，或占企业人员比例小于千分之二（经验数据；IBM好久之前给出的建议比例是千分之2.7，但如今也找不到可类比的数据了）。据了解，甚至会存在1我的的 “信息安全团队”。

二、信息安全投入少

企业年信息安全投入（不含人力投入）少于200万，或占企业年营业额比例少于千分之一。（经验数据：金融企业IT年投入一般是年营业额的1-3%，安全类投入一般是IT投入的10%左右。）

三、一般没有独立部门

一般没有独立的实体部门或行政编制。大几率是IT部门的几我的，更大可能落在IT运维部门。

四、身兼多职

团队成员广泛身兼多职，或多个岗位的工做内容。有多是一人兼多个信息安全岗位的工做内容，有可能还会兼任合规、风控、运维等岗位，甚至还可能干文员的活。

贰 小规模信安团队常见的困境

一、有短时间、明确须要解决的信息安全问题，但缺少长远的信息安全路线图。

既然有专职信息安全人员，说明企业管理层已经意识到了信息安全风险的重要性，或者曾经出过事，因此一般短时间以内有明确须要解决的信息安全问题。可是因为工做职责（组织架构相关）不清晰、资源能力不足等问题，对于信息安全人员（或团队）将来应该干什么、解决什么问题，要么不清晰、要么缺乏一个路线图，致使信息安全工做整体上偏被动，属于事件驱动型或合规驱动型。

二、资源少

“事多人少钱难要”是典型特征之一，有时也仅仅是“人少”，有时仅仅是“事多”。究其缘由，可能：

（1）信息安全在企业业务中的重要性还不够突出，伤的还不够痛，领导的专业能力不足，致使领导认知不到位、投入不够；

（2）金融行业因为监管或编制缘由，每每有专职的安全人员，可是正编较少、外包人员多；据称不少城商行、互金企业都存在“1人信息安全团队”的状况。这时管理外包商、内外部的沟通可能就会耗费大量精力，反而没法集中精力开展建设，有可能会出现供应商管理风险，或者是核心能力丧失的问题。

（3）企业经营和盈利能力不强，虽然领导重视、可是手里能花的钱都得精打细算，但凡花点钱都想一分钱掰成2分钱用。好比这些年的互金行业、游戏行业活的其实挺艰难，除了几个巨头以外，其余企业能活下来都挺不容易，在安全上的投入是真的紧张。

（4）信息安全人员和领导对于“资源”一词的认知不一致。在我之前的文章中提到，信息安全人员每每把“资源”等同于“人、钱”，但实际上资源还包括“物、政策，内部支持者、供应商&合做商资源以及管理层在信息安全事务上投入的时间精力”；

（5）信息安全人员自身追求职业发展和企业经营须要之间的落差。做为一个摸爬滚打了十几年的业内人士，我深入理解一个专职人员但愿年年作事、作新鲜事情的感觉，因而不断地发现新风险、指望作新项目、但愿扩大团队，可是管理层须要的只是把风险控制在可接受程度、而不是完全消灭，这时每每就会产生落差；

（6）监管部门这些年逐步增强了互金、游戏行业的监管力度，从等保、客户信息保护、网络舆情安全等等各类传达要求、开会、检查、整改，从银保监、央行到网监、网信办，虽然说确实提升了行业的安全水平、控制了行业风险，却也给这些企业带来不小的管理成本，相比就容易感受到资源不足。

三、人员流动大、留人难

若是是大公司、小团队，有一个较好的事业平台或薪资待遇支撑，那可能这个问题还不够突出。若是是小公司、小团队，自己的平台和事业空间有限，薪资待遇很大可能也就中等水平，作几年估计就差很少了，想留住人很是困难。

四、本身能力不够，或者面临挑战多、漏洞多、问题复杂

基于问题3，小规模团队大几率就会遇到人员能力不足或者人数不够，“事多人少钱难要”；或者因为信息安全工做在内部的职责、定位、协做关系不清晰，手里也缺少足够的资源使得话语权不够，看上去就会挑战多、问题复杂。

大几率的状况下，一个公司设立专职信息安全人员以前，其实信息安全并不是从0起步，多少仍是推行过一些信息安全要求、部署了一些工具，但必定在执行中遇到这样那样的问题。那么，设立专职人员以后，如何整合、优化这些信息安全要求和工具，如何解决这些问题，如何保障内外部用户体验的前提下有效控制风险，也使得问题更加复杂。若是公司的信息安全是从0作起的，那么从哪里入手呢？

叁 小规模信安团队工做思路 问题分析完了，那么如何解决这些问题？谈谈个人思路。

一、挑个好的团队带头人。

无论是1我的的团队，仍是2-3我的的团队，事以人成，这个带头人极其重要。兵熊熊一个，将熊熊一窝的道理你们都懂。这个带头人必须：

（1）热爱信息安全，承压能力强或者热爱接受挑战；

（2）具有信息安全专业领域资深经验，在行业内有较好的人脉资源；

（3）既能向上沟通，也能向下管理；有全局视野；

（4）具有动手能力，毕竟小团队工做的时候，不能只动口、不动手。

在金融、互金、游戏行业里面，我以为还必须具有必定的技术能力，虽然不必定要很专业，但像CISSP/CISP那样的知识宽度仍是要有的，至少能够保证不会被忽悠。

二、作好规划，明确重点解决的问题。

作个规划，明确2-3年内重点解决的问题、架构、路线图。这是我解决问题的一向套路，先从全局着眼、把总体布局作好。规划中要明确信息安全工做的价值、定位、目标，和2-3年内须要重点解决的问题（风险）、信息安全架构和路线图。尤为是小规模信息安全团队的工做，尤为在金融、互金、游戏行业里面，安全团队极大可能就是IT团队的补一份，所以就整个公司IT基础设施的架构达成一致就很是很是重要。推荐采用EA的方法论去分析和搭建，这样能够保证安全项目的实施效果不会误差太远。若是自身能力还不足以作这个架构和路线图，能够找大牛或咨询公司。

这当中尤为须要注意和IT部门、人力资源、行政部门达成目标、分工合做机制的一致，IT部门与IT基础设施的建设和运营相关，人力资源和员工培训、奖惩相关，行政部门和物理安全管控相关。必要的话，能够采用联席会议（温和的沟通机制）、绩效考核（强硬的保障机制）等手段保证目标一致。若是这样仍是作不到，能够争取在公司现有的管理机制（好比经营例会、风险例会）上争取一个议题，每次都能讲十几分钟、半个小时，经过不断地宣讲来统一思想、统一目标。

若是领导的想法特别多，可是又不太愿意（或不能）投入更多的资源，其实这时蛮考验团队负责人的沟通能力。常规的作法，就是把信息安全风险仔细作个风险评估，能够本身作，也能够请外部咨询公司、安全公司作（大部分时候外面的人说话管用），或者是带着领导去参观学习同行标杆企业，而后跟领导一块儿把最重要的风险识别出来、定下来。

三、以合规驱动为主，提纲挈领地解决核心问题。

虽然你们都说新官上任三把火，可是感受不适用于信息安全小团队的运做。咱们的第一件事情是站稳脚跟。如何站稳？就是首要解决管理层关注的重点问题、紧迫问题（我称为“核心问题”）。如何解决呢？个人观点是以合规驱动为主，一边解决核心问题、一边搭建架构。固然，作起来确定不是面面俱到，而是要提纲挈领。具体怎么作呢？

就“合规驱动”而言，就是利用监管机构出具的各项指引，或等保测评标准，从制度体系、IT基础架构到安全组织、人员意识逐步、从虚到实地作起来。这些“规”都很是体系化，因此合规的过程自己就是一个体系化的建设过程；同时因为“合规”这个动做对于金融、互金、游戏行业来讲也是一个强制性要求、必需要被知足，所以能够在这个阶段，借助合规驱动的机会，顺带着把架构性的问题基本解决，还能得到资源支持。

那么什么叫“提纲挈领”呢？仍是围绕前面提到的“管理层关注的重点问题、紧迫问题”这些核心问题，在解决问题的过程当中逐步地实现总体架构的改进。好比要优先解决“保护客户数据不泄漏”的问题，那可能就须要实现终端安全的基础防御+数据防泄漏+准入控制，网络要划分安全域并设置访问控制策略，互联网边界先作到能够应对普通攻击，应用要分级、隔离、作到数据不落地，这几个大方面的改进完成了，基本上整个架构就搭起来了，即使在推动过程当中遇到阻力，也会由于这些任务是为“核心问题”服务而化解。作完以后，再逐步推动数据分类分级脱敏审计、应用系统开发标准和代码审计、NTA分析、应对APT、攻防对抗、部署蜜罐、态势感知等高阶动做。

这当中有几个注意点：

（1）整体上遵循架构。这里主要说的是IT基础架构，这样能够保证安全控制措施的协调性、有效性；可是各个部分的推动能够根据实际状况、尤为是IT部门自身的业务规划来调整。

（2）能够先把制度体系创建起来，完成立法。为何这么说呢？由于首先须要合规、知足监管要求；同时也能够在创建制度体系的过程当中，对照业内标杆或者最佳实践，把企业自身的差距识别出来，造成后续改进的依据。对于工做推进所需的资源抓手（好比硬性的培训要求，对员工的奖惩权），务必在这个过程当中搞定。固然，制度体系的落地须要较长的时间，这个下面再说。建制度体系这个事情，能够请咨询公司作，也能够花点小钱买一套再改改，先保证有东西。

（3）协调好业务需求跟合规需求。金融、互联网金融、游戏等强监管的行业的合规需求和业务需求到底谁轻谁重？我没有实际经验、说很差。可是若是企业经营形势通常，彷佛仍是应该优先知足业务需求，先使得企业在大致合规的状态下生存下去，这时就须要和管理层、监管机构创建良好的沟通。

（4）与核心干系人保持密切沟通，得到管理层和业务部门的支持。与核心干系人保持密切沟通、汇报进展，不但能够展示成绩、暴露问题、推进问题的解决，还能够持续对管理层和业务部门主管进行意识教育。不少安全工程师每每只顾埋头作事、无论业绩展示，是致使“缺少资源”的根本缘由，也是我一直强调的安全人员要有管理技能和管理视角的缘由。与核心干系人保持良好的关系，也为后续的信息安全工做开展找到了更加有力的支持者，而这也是我所说的“资源”之一，并且是重要资源。

（5）作到PDCA。凡事要闭环、要PDCA转起来，这是信息安全管理体系最重要所在。风险是否获得控制，要经过运营、检查、审计等综合措施运行一个阶段（通常是半年到一年），以实现闭环。这样既能够保证问题真正获得解决，又可让老板、业务主管等核心干系人放心，他们会以为你靠谱，后续对信息安全工做的支持力度也会更好。

四、关于应用安全、业务安全。

互金、游戏行业的业务开展很是依赖互联网，所以每每对应用安全、业务安全（好比第三方非法接入、薅羊毛、借贷欺诈、内容安全等直接影响企业利益的问题）看的很重，而内部的IT基础设施、办公应用反而比较初级：要么用SaaS服务搞定，要么用大厂的企业邮箱，或者基于企业微信、钉钉知足绝大部分办公业务；金融行业也愈来愈加大互联网应用的投入。在这种局面下，小团队应该如何开展这方面工做？我提几个想法：

（1）能花钱解决的问题，就不要本身干。从App安全、应用系统安全、抗DDoS攻击、内容安全，安全厂家都有成熟解决方案，拉过来用就能够。若是有精力就货比三家，没精力也能够全包给一家。

（2）若是应用是自研的，那么就要和测试团队、质量控制团队合做，在测试或QA环节把风险控制住。该定标准定标准，该用自动化代码审计工具就用。

（3）若是管理层确实对应用安全、业务安全重视，能够把这个做为短时间内的“核心问题”，按照等保或者ISO27001的要求，先制度标准、工具平台、意识教育等几个领域作起，容易看到效果、也容易获得资源支持；而后再解决内部的终端管理、网络架构、服务器管理、数据流管理等。这是一个切入点、突破口选择的问题。

（4）用好事件营销。一方面及时响应、处理事件，一方面用事件驱动体系化的建设，但对团队在这个阶段的数据分析能力、风控能力、响应能力有较高的要求。

五、用好事件驱动，补信息安全管理体系短板。

用好事件驱动，逐步补全信息安全管理体系的短板。刚才提到了核心的“点”的问题，下面谈谈如何解决“面”上的问题。通常来讲，除了核心问题以外，多少仍是有其余一些信息安全风险须要面对和控制。资源投入仍是要关注，但不建议超过20%；从解决方式来看，我认为这些问题用“事件驱动型”方式来解决，效果和效率更好。还有一种状况，就是企业已经大致上知足合规要求了，如何作的更好更深刻，每每还须要事件驱动。

以我所见，即使是对信息安全很重视的领导，也一般是优先解决能看到的风险、已经发生了安全事件的漏洞，毕竟资源都是有限的。所以，经过持续的事件驱动一个一个问题的解决，或者是更加深化地解决。逐步积累以后，就会连点成面，有点相似“农村包围城市”、“积小胜为大胜”的套路；同时，经过一个一个事件的处理和改进，不断地对员工、主管进行安全意识的教育，也是很是有效果的。再反过来想，若是信息安全工做的上级领导要去驱动同级的其余部门领导，他是否是也须要“事件”这个武器？你给领导提供资源，领导才能给你支持嘛。那么，如何才能得到这些事件呢？

（1）专项审计，包括调研访谈、现场查验。这不是审计部的活，是安全团队应该干的；

（2）运营和巡检。别看是平常工做，“安全无小事、出事必然都是大事”，若是在小的地方持续出问题，那说明必定是运行机制或人员意识上出了问题，须要当即纠正；

（3）渗透测试。好比能够策划模拟真实的钓鱼邮件等社会工程学的攻击，看看到底有多少人中招，而后把数据摆在领导面前，让领导真实感觉到触目惊心的结果；好比能够集中资源抓2个月的上网数据分析，把互联网出口形成的信息泄露结果呈如今管理层面前。

（4）接收外部的漏洞报告、威胁情报。接收、评估并解决一个漏洞，并向管理层汇报，既是成果展示，也是意识提高。

（5）搜集并展示同行案例。同行案例、身边人的故事，对老板、主管最有说服力，因此要和圈子里的同行多交流。监管机构也会常常通报一些案例，也要用好。

以上“事件”应该保持至少每季度一次的频度，太频繁了就会“风险疲劳”。经过每一次事件触发的安全改进，逐步地把信息安全管理体系的短板补足，把PDCA的循环转起来，把“虚”的制度转变为“实”的执行，把“书面的控制项”变为“有保障的控制点”，减小事件的发生、减小重复事件的发生，进而实现螺旋式上升。在本文编写过程当中中，个人友人提出“小团队的安全历来就不是技术问题”的观点，发人深省。

六、组建团队、用好外部专业力量。

组建团队不能太着急，要持续关注、找合适的人。小团队的人，我认为要招喜欢信息安全的、学习能力强的，经验不必定要太多，这样相对稳定、有忠诚度；校招也是一个很是不错的途径。对于金融、互金和游戏行业来讲，招聘次序上来讲建议先招运营，作策略、技术、意识宣传的按需补充，最后招审计人员。

建议小团队就不要招渗透测试的人了，仍是用外部专业力量好。若是遇到疑难杂症须要解决，找咨询公司或者大牛咨询一下，其实基本就解决了，没必要招大牛。

团队负责人平时要特别注重团队建设，总得在事业平台、团队氛围、薪资待遇的某个方面让员工有成长和收获吧？平时还要注意学习业务知识，让团队成员逐步树立“信息安全要为业务服务”的意识。特别还想说的，团队负责人必定要学会如何与90后相处、沟通，既能更好地管理团队，也可以让本身保持年轻的状态。

团队成员要多交一些圈子里面的朋友，一来有问题能够寻求咨询和指导，二来也可让本身多一些解决问题的选择、或者掌握更多的信息。

这里有一个问题就必须讨论到：不少金融企业正编很是少，必须依赖供应商的外包人员，且人数还很多，随之而来的问题就是：

（1）外包人员是否可信；

（2）如何让外包人员尽责；

（3）自身团队人员长期只作外包商的协调管理，核心运营能力丧失，容易人走茶凉。

对此个人建议以下：

（1）与外包公司前述保密协议、落实责任；

（2）对接触核心业务的外包人员要有背景调查；

（3）将外包人员的KPI与团队成员的KPI保持一致，并创建激励机制（好比在合同中约定：完成平常任务拿100%收入，有突出表现能够多拿20%）；

（4）从生意、技能、帮助外包公司的成长，双方结合成长期的伙伴关系，提高互信；

（5）若是始终认为外包只是外包，那就设定一个可行的计划，让团队成员逐步负责安全策略、安全运营等核心工做，将外包的安全能力内化。

七、尽可能用标准化、商业化的技术产品和服务，尽可能自动化。

小团队在信息安全建设过程当中，尽可能采用标准化、商业化的技术和产品，少定制化、少本身开发，少用开源工具。大量经验代表，把工具用足用好最重要，不要想着买最好的工具。对于小团队来讲，实用是第一位的，应尽可能选择架构简单、学习成本低的工具，那种须要投人进去琢磨、研究的工具平台看着美好，但不适用小团队。开源工具虽然免费，可是须要时间琢磨研究、非标准化的作法也会带来架构上的风险漏洞，搞很差还会引入供应链风险。

不要一开始搭太多工具平台，成本高、项目多，效果还不必定好。我建议在团队初创期间，人均负责运营的工具平台不超过2个。但同时，我认为也要勇于打破旧的束缚，若是之前上过一些工具、平台，在保证投资收益比的前提下，该废止就要废止，能利旧仍是要利旧，千万不要在这方面有束缚。若是团队人员规模始终控制在2-3人，必定要想办法整一套运营或监控工具（至于它叫SIEM、SOC、态势感知仍是大数据分析平台，就是萝卜白菜各有所爱了），起码要达到“事中及时响应、过后快速回溯”的效果。

能快速用起来的、自动化的工具，只要可以知足当下关键需求就先上，切记多头出击还都是手工活。自动化的好处就是团队能够把更多的精力放在沟通汇报、协调资源、救火上。

八、中后期的团队管理建设与分工规划。

等到团队成员达到4我的左右的规模，就能够逐步造成这样的分工：团队负责人主管向上沟通协调、资源协调和团队管理，同时能够负责数据安全、业务安全等须要高端资源协调的工做：

A.负责项目管理、制度文件管理、意识教育；

B.负责IT基础架构的建设、项目评审、SDLC；

C.负责审计、应急响应和调查，运营的工做能够根据实际状况让每一个人都承担一部分。

ABC的工做还要注意造成互相备份，这样不至于在人员流失的时候耽误工做。同时想办法把琐碎、低价值的工做交给外包人员去作，或者交给公司内部的低价值岗位（好比文员、行政前台），或者尝试利用一些工具、改进一些工做流程来提高这些琐碎工做的处理效率、下降对团队人员的时间精力占比。

时间久了以后，团队成员难免面临流失的风险，所以仍要保持对可用人才的关注，可经过校招等途径适当补充。随着团队人员价值的逐步实现，在安全专业平台上的发展空间已经不大，能够考虑这几种方式:

（1）公司内部轮岗，安全的人去干运维，运维的人来干安全，横向扩展团队成员的技能和视野；

（2）努力提高团队成员的薪酬待遇水平，以保更好地留人员。经验数据代表，安全人员的薪酬上限和公司的人均产出是基本至关的，这时就须要团队负责人多想一想办法了；

（3）对于团队负责人来讲，去从事和安全相关的工做内容（好比合规，好比业务风控），可能也是一个选择。

若是团队成员+外包人员规模应该要增长、但始终上不去，一方面要找找自身缘由、看如何改进，一方面其实也能够琢磨琢磨是否是应该动一动了。

九、逐步地过渡到关注和解决业务安全问题，找到更大的价值空间。

当信息安全团队的短时间目标实现，就要考虑下一步发展的问题。从情理上来讲，都但愿扩大团队、争取更多的资源、实现更大的价值，但我仍是建议团队负责人可以以务实的态度看待这件事情，毕竟这个必须创建在企业大规模发展和盈利的基础上，不要盲目追求扩大团队和资源。

若是但愿找到更大的价值空间，那必需要结合行业发展趋势、企业经营战略和对将来风险的认知，在与安全密切相关的方向上整合资源和能力，作一些技能、工具或外部资源的调研储备，或着力帮助公司业务的提高，好比合规、风控。但其核心思想依然是我以前提到的，“保企业增加，保企业核心竞争力”。至少在须要你灭火的时候能顶上去，也就为团队打开了一片新的天空。若是找不到，该功成身退也就退吧，把机会留给其余人。

十、向上管理、以及对监管的驱动。

互联网小企业有可能还有专职安全岗位设立，可是在金融、互金、游戏行业的小规模安全团队，大几率在IT部门，也容易面临级别不够、跨部门推进困难等困难。在和几位业内人士沟通的时候，都不约而同提到了这一点，同时提到了目前最大的难题就是“数据安全”推不动。

为啥推不动？

一、自身级别不够；

二、就是虽然别人出了不少事，但企业管理层还不够痛，外力不够强；

三、企业管理层认知不够，或者企业经营顾不上这个事情。

可是“数据安全”这个事情真的不敢出事，一旦出事极可能就是灭顶之灾（这个说法可能有点夸张，但安全从业人员应该有这样的意识和责任感）。那怎么办？考虑到互联网小企业、金融、互金、游戏行业有很强的合规驱动性，也必然须要和监管机构保持良好的沟通，个人建议是：

（1）安全团队成员应坚持向上管理和沟通。积极地、在不一样场合向管理层沟通和灌输数据安全的重要性。若是是我，会在恰当时机安排对管理层的我的信息利用的渗透测试。

（2）业内同行应该造成协力，锲而不舍、想法设法驱动监管机构对“数据安全”的重视，以监管的力量（合规、奖惩、排名措施均可以）来促进“数据安全”水平的提高。

在“数据驱动业务”的时代，数据安全应该早下手，安全建设和系统平台建设同步开展，不能再走先建设、后补课的路子了，这一点相信监管机构也是有认知的。