谈谈安全服务“外包”运营之殇

服务外包在IT行业是很普遍的现象,通常会把自身不愿意组建团队来做的事情,外包出去。随着时代的发展,IT行业的体量在不断扩展,从一开始只有门户网站、办公、协同系统等单一的业务应用,到现在的移动办公、虚拟化、云计算等越来越复杂的IT环境,需要外包的服务类型也越来越多。

业务单一时,只有设备运维需要长期驻场,业务扩展后,原有的定期渗透测试、代码审计等攻防技术类工作,也需要加在日常工作流程中,通过长期驻场的方式进行。当业务扩展到需要一个团队来对接安全部门与开发部门,资产、漏洞等信息需要平台来管理时,运营工作也需要外包驻场了。

运营团队类似于安全部门的行政,运营人员的工作性质与秘书、助理等差不多。相比较于渗透测试工程师对技术的要求,咨询顾问的行业工作经验,项目经理对项目的把控,运营人员需要的技能体现在沟通协调能力、文档整理能力等方面。

驻场在甲方的运营人员,需要帮甲方处理的事情包括:

一、工作对接

任务发起:甲方接口人发起一个任务,如系统渗透测试,风险评估等。

计划制定:运营团队与安全团队沟通,完成该任务,需要的材料(如:资产清单,管理员联系方式等),需要配合的部门,计划时间等。然后拟定工作计划,向甲方接口人汇报,征求甲方同意后,配合安全团队开始任务。

任务进行:在安全团队开展工作后,协调安全团队所需要的资源,跟进任务完成进度,定期向甲方汇报。将安全团队的工作结果反馈给各团队整改,如应用安全问题反馈给开发组,网络安全问题反馈给网络组等。维护安全问题列表,如等保整改计划表、漏洞表等。

任务结束:安排安全团队向甲方汇报检测情况,开发、运维团队汇报整改情况,记录检测结果及整改进度。

二、信息维护

运营团队需要记录、维护安全工作结果,包括资产表、漏洞追踪表、管理制度落实记录等,定期做成台账汇报给甲方。还需要维护甲方单位各种信息,各运维组、开发团队对接人联系方式,熟悉甲方组织架构,在甲方需要开展安全工作时,随时能够协调其他部门配合。

三、工作推进

在甲方想要推进安全工作时,获取甲方需求后,制定方案,与甲方沟通,确认后,协助甲方开始推进。如:甲方想让所有开发团队在SDL流程中加入代码安全检测,经过代码审计后的系统才允许上线。运营团队需要输出代码安全工作推进方案,首先安排安全团队与甲方沟通代码审计需要的技术支撑,然后了解开发团队SDL流程,确定代码审计加在流程哪个部分合适,接着制定考核方案,针对开发团队配合程度及检测出来的代码质量进行评分。最后制定推进流程,需要甲方接口人向哪些领导汇报,编写好汇报材料,向哪些配合部门发送通知,编写好通知内容。方案输出后与甲方沟通,确认后开始推进。

相比较安全行业的其他工作,运营工作在技术和经验积累上不是很明显,运营人员也给人一种打杂的印象,运营团队经常出现人员更换频繁,一直缺人的状态。运营人员的发展和出路,具体可以在以下方面:

1)运营工作工具化,运营人员每天的文档整理,人员沟通等,可以使用工具代替,首先需要熟练使用Excel,使用宏、函数等提升工作效率,然后再开发一些工具,自动处理文档,如:将扫描器报告自动导出到Excel和word中,漏洞类别、威胁程度按照格式归类好,调用SMTP协议自动发送邮件等。最后可以将各个工具汇总到平台上,通过平台来完成运营工作。 2)运营工作咨询化,运营人员需要了解安全咨询标准,如:27001、20984、等保等标准,在日常运营中,依据咨询条款向甲方建议安全工作的开展和推进方式,如等保检查项中,就有恶意代码防范的检查要求,让甲方知道,自己身边就有个咨询专家,安全工作是参考行业最佳实践开展的。

运营之殇,安全行业中的行政,既是安全,又是行政。

PS:本文是在甲方驻场时,整理的经验,感谢甲方领导,你们既是甲方,又是良师,感谢良总,感谢何老师。

*本文原创作者:雨水,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏即时通讯技术

微信七年回顾:历经多少质疑和差评,才配拥有今天的强大

不知不觉,微信已经诞生七年了。 从第一版到现在,微信的演变史,很像一部创业史,很好地诠释了创业者能经得起多少质疑和差评,才配拥有多大的成功。

14810
来自专栏BestSDK

3个方法2个准则,让你玩转小程序

2007年1月9号,乔布斯发布了第一代IPhone手机,从此拉开了移动互联网的大幕,十年后,2017年1月9日,微信小程序正式问世,张小龙选择这个时间点推出小程...

38280
来自专栏腾讯Bugly的专栏

新年开篇 | 总结一个技术总监的教训和经验

导语 2017年来了,新年开篇,就不跟大家聊技术啦,给大家分享一篇鹅厂技术总监在多年工作中总结出的教训和经验。 这篇文章自从在腾讯内部论坛发表后,精神哥每年都会...

38580
来自专栏大数据文摘

谷歌历史上18项失败的产品

232120
来自专栏VRPinea

在虚拟场景中展示AR?VR创企冥王星带来跨应用VR社交

34550
来自专栏数据观有话说

8项技能9种武器 打造企业增长黑客(下)

来自:数据观 https://www.shujuguan.cn/?from=qcloud

15340
来自专栏程序员的知识天地

程序员的迷茫:前端能做什么?还是后端?全栈?

在我的职业生涯过程中,发现很多人会跑来问我这样的问题,前端能做什么?这条路怎么走。然后他们会分开来问一些子问题,例如说到底我进入了前端我应该做产品呢?我应该做基...

21320
来自专栏竹清助手

网络编辑怎么策划制作专题

对网络编辑来说,做专题是经常的事情,也是网站编辑们必须掌握的技能之一。网络编辑如何做专题。网络专题的具体定义,网络专题的形成,网络专题分类,好的网络编辑应具备编...

12430
来自专栏SDNLAB

Intel发布全新Xeon D芯片,发力边缘计算市场

随着我们开发的日益复杂的技术,如自动驾驶和工业物联网传感器,需要将计算迁移到边缘。从本质上讲,这意味着不是将数据发送到云端进行处理,而是需要在设备上完成数据处理...

35360
来自专栏java系列博客

如何从菜鸟程序员成长为(伪)高手

23140

扫码关注云+社区

领取腾讯云代金券