基层安全管理者需要具备的素质

最近各家公司又到了年中评估的阶段，各位自评时一定在苦思冥想工作如何梳理成体系，有人洋洋洒洒确写不到重点，有的苦于“没啥数据写的，都是日常工作”。如何用中长期计划来实现综合能力提升呢？痛定思痛，我的经验是在做每件事情前想好这件事情的价值，衡量指标，接下来的实施是为了达成，这样哪怕遇到问题也不会方向性失控，最终还有现成量化的数据。比如团队开会要写周报，可以在周一上班工作开始时就去写，而不是在周五总结，再比如会议纪要可以在开会之前就打好草稿，开会是为了与会方达成一致，而不是大家一起发散的探讨，最后的纪要是为了跟踪事情的推动。

信“笔”而至，笔者思考了结合日常安全运营管理工作，安全团队的基层管理者需要具备的素质。当然各基层管理岗位的要求一定是普遍性的，读者反省下平时做的最简单的内部管理工作、协调性项目都是蕴含着管理哲学和领导艺术，多看看PMP类的、结构化思维类书籍对我们一定是有好处的。

• 视野

视野是一种领悟能力，知道好的，才能理解坏的。为什么企业总是会空降高管，或者是鼓励leader轮岗自由流动呢？因为在同一岗位上会有定势，继续埋头苦干是悟不透的。本公众号反复讲对标行业数一数二公司的最佳实践，以高标准要求也是这个意思。基层管理者要在奔跑中思路，用鹰一样视野，带领团队不断设立门槛让后来者来超越。以达成漏洞发现率指标为例，应当领会到目标是漏洞的绝对收敛数，不能以不断挖到漏洞的绝对数量为衡量标准，通常情况下实现公司全线业务线技术栈广泛的防御覆盖，比单一漏洞技术能力重要的多，如果以当前的"还可以"怡然自得，那么最终结果就是延误战机，事倍功半。IT安全、数据安全技术发展日新月异，各项新名词层出不穷,管理者要把眼光放在团队未来往何处去，不断苦苦思索才能明晰下周、下季度、明年的发展前景。

• 向上管理

中层也是基层，在执行决议时，经常遇到七类问题：量化问题、积累问题、有限问题、计划问题、过程和结果问题、控制问题、创新问题，基层管理者的作用就是形成合力解决以上问题然后对结果汇报负责。汇报是要结论优先、简单制胜，参考阅读《金字塔原理》。比如发生一起应急响应事件，SRC团队负责人经过一系列的止损处理、证据收集、日志排查、事后复盘，todo跟进，这期间上级是最焦虑的，他不知道发生了什么，周报、月报又没有数据，被拉在群里又七嘴八舌不能精确管理，这时候的汇总报告不宜当发个wiki链接，里面啰嗦的说我们如何如何做了，碰到了什么困难，重要的仅仅是说清楚能不能解决这个case,暴露了什么即可，我们承认目前做的是哪里刚刚及格，有信心达成绝对、相对的最好水平。简报是做好PDCA循环，知会各干系人进展和风险影响。汇报问题的参考样式：1.这个问题是什么？2.这个问题有什么影响？3.有没有解决方案？4.这个解决方案需要多久？5.有什么时间上和后果上的风险？6.下一步怎么做需要什么配合。

• 激励和认同

刚入行的安全小伙伴的面对大的政企、流程固化的公司时会“有心杀贼，无力回天”，不懂安全的本质是什么时只会搞站做渗透，自然被安排做安全审计，前期还可以上手，半年后就逐步枯燥了。黑客总会有新的想法，这时候厌倦了往往伴生敷衍了事的态度，不仅会遗漏安全问题被挑战，自身也不会有成就感。基层管理者要很好的分析员工的性格特性，合理分配工作。例如，让懂一些代码的人单独或者牵头完成一项有一定风险和难度的工作如做SDL、安全组件，并在取得阶段性进展的时候及时给予肯定和赞扬，让比较腼腆的参与到漏洞分析、技术文章写作中。“一个人的安全部”里更需要有自己“值得吹嘘的点”，哪怕是搭建一套开源的方案，总是有挑战做。相信没有“突破”思想的小伙子是不会入行当“hacker”的。加强员工对安全团队的认同后和业务团队打交道的时候，会自觉维护安全的权威性。GE的杰克韦尔奇总结得好：“基层管理者不应当是传声筒，应当是拉拉队长。“

• 分析判断能力

这项能力是指管理者能否从表面上互不相干的事件的内在关系，并从更高的一级进行分析，只有具备这项实力才能把握全局准确分析和解决问题。以一次威胁情报范本为例，外部情报渠道反馈一起暗网发布的可能大量影响业务的爬虫售卖或者“薅羊毛”事件，管理者基于该已知信息处理，对事件趋势进行方向性的把控，对“态势”团队为何“感知”不到提出问询，经过RD反馈内部风控系统感知不到的原因是特殊场景下的少量数据没有接入系统，综合得出事件影响可控，不会上升到公关危机的结论。下一步进行资源规划和制定计划时，要求提升数据模型验证能力。我们常常解释安全是一项风险管理工作，和风险打交道要求管理者对自己负责的领域能洞察先机，未雨绸缪，这样面临真实攻击时才能“举一反三”，化危机为转机。

• 计划能力

这项能力比较老生常谈，安全最后拼的是团队的综合能力，哪怕代码审计没有防护住，waf、hids、rasp、日志也有机会能监控到入侵，对于安全建设的起步阶段也是可以接受的，要统筹“纵深防御”大理念，管理者自己的年度、季度任务要形成计划，把任务按照轻重缓急分解让小伙伴们来执行，管理者关注关键问题的关键指标，没有必要事必躬亲，清楚20%的重要工作即可。

• 指挥协调能力

再好的企业安全建设的计划也需要人去指挥，人去实施。指挥能力包括对工作进行分配、协调、临场、应急场面发挥的能力，还包括指挥的方法与语气是否得当，激发斗志和引导前行的能力。回想wannacry病毒爆发是2017年5月12日周五，在周末期间需要协同IT部门完成对大量系统、云环境进行风险防范，补丁管理，领导者要指挥调度多个团队、业务达成“公司保卫战”的气氛。黑客也是同事，好的指挥激发责任感和使命感，瞎指挥让公司浪费安全资源，以至于安全成为浪费成本部门。指挥能力最好辅以良好的语言表达能力，向“鹦鹉”一样“会”说话。事实上不少小伙是因为本身的安全技术好，就被“委以重任”，刚接触项目管理势必花很多时间在协调工作上，协调包括内部人员、任务分配、部门之间的推动、外部客户的处理。没有办法，搞技术是受累，搞管理是受罪，好的管理者一定是要会协调的。

• 写作能力

我们经常说某某不干活，只会PPT架构师，给领导汇报的好。其实基层管理者总免不了写实施计划、事件总结、开源方案调研分析之类的文档，很多情况下写出来的东西是沟通进展的证据可以梳理思路，也可以当做部门工作的知识库沉淀下来。

• 控制能力

业务控制是老生常谈，比如计划落实，目标达成，很难做的是自我控制，你得控制住不要花费太多的时间去找cve漏洞、挖ODAY上，适当放权将更多的精力、上班时间放在搜集数据、竞情调研、业务安全沟通会议、团队绩效打分、人员培养上。再者就是控制好心理情况、理智客观对待工作中的各项问题。不要急躁，越是涉及安全的问题越重要越是需要稳住，情绪化的语言不能解决任何问题，反而破坏自己作为管理者“以德服人、惟贤惟德”形象，甚至会被视为不专业。

完。