互联网企业安全团队建设
一、写在前面
安全团队是企业安全规划与架构的设计者,也是安全体系建设得以落地的推动和践行者。所以,要想真正做好一家企业的安全建设,前提是必须要有一支有想法并且具备持续战斗力的安全团队,但这在现实工作中却并非易事。相反,安全团队的建设与管理是一件非常有挑战且值得探讨的事情,这一点有过企业安全负责人(CSO角色)经历的朋友应该更加深有体会。
安全团队的建设与管理并不是简单的招人干活,工作内容涉及方方面面,涵盖的东西很多,一篇文章也很难讲清楚。所以本文并不打算完整的展开力求做到面面俱到。笔者在这里会从企业安全负责人这一视角出发,基于我个人对企业安全的思考、理解和实践来分享一些关于安全团队建设与管理的心得体会。本文所有内容仅代表我个人观点,欢迎大家一起交流探讨和批评指正。
全文共分为以下五个部分:
1、写在前面:简述了安全团队对于企业安全建设的重要性和全文主要内容。
2、安全招聘:聚焦于安全招聘过程中的三个核心问题,阐述了安全招聘背后的逻辑和部分实践。
3、团队管理:以企业安全负责人视角,分享了个人对于如何做好安全团队管理工作的一些思考、探索以及实践。
4、人才培养:重点围绕如何让团队可持续发展这一话题进行了分享。
5、写在最后:是对全文核心思想和主要内容的总结。
二、安全招聘
安全团队建设的首要任务就是找到合适的安全人才,组建安全团队。但找什么样的人?从哪儿找人?怎么找人?如何成功的找到合适人选等等,这些都是安全负责人需要解决的问题。
1、找什么样的人?
安全招聘不能仅依靠HR团队,作为企业的安全负责人对安全招聘负有最主要的责任,这一点毋庸置疑。在开启招聘前,安全负责人必须要考虑清楚一个最核心的问题,那就是团队究竟需要找什么样的安全人才?是不是一定要找业界最顶尖、最贵的安全人才?又或者是只要能干活愿意来入职的就可以?显然都不是。虽然每家企业对安全的认知水平和人才需求不尽相同,但在需要找什么样的安全人才这个问题上基本可以遵循相同的逻辑和原则。
1.1、招聘逻辑以及背后的思考
如果要用一句话来概括安全招聘的逻辑,可以总结为:以企业自身的安全规划与目标为出发点,基于安全团队现有人员结构,结合企业安全建设所处阶段和企业业务发展实际情况以及未来趋势、战略方向等因素综合考虑决定,争取能够做到立足当下,放眼未来。
大家有没有觉得上面这段话不太好理解,是的,其实我也这么认为。那我用更直白(说人话)的语言来翻译下:首先,要搞清楚都要做哪些安全的事情,哪些是重点,打算做到什么程度,如果要达成设定的安全目标,现有安全团队的资源(这里特指人力资源)是否足够,人员的优劣势是什么?如果不够的话,缺多少?缺哪些方向的人?最后再结合公司业务发展实际情况(业务处于快速上升期,通常HC也会多些,还可以提前储备人才;如果业务走下坡路,HC自然也会相应减少)、未来的业务投入重点和发展趋势(安全要贴合业务,这样一来可以和公司大的发展方向保持一致甚至提前进行安全布局,二来可以更容易争取到相应的安全资源)等多种因素综合考虑决定我们究竟需要哪些方向和经验的安全人才?需要多少?需要什么水平的?紧急程度如何等问题。
怎么样?说人话以后是不是更容易理解了呢?但我个人并不认为这两种语言的表达方式有好坏之分,只是各有特点和适用的场景罢了。具体使用哪种表达方式,主要取决于应用的场景和面向的对象。这个招聘逻辑背后的思考其实代表了一种结构化思维方式,具体什么是结构化思维请自行查阅相关资料,这个与本文主旨无关,这里不再赘述。
1.2、招人的原则
上面我们说过安全团队的建设与管理不是简单的招人干活,为了尽可能找到合适的安全人才,在安全招聘过程中建议参考以下几个原则:
专业能力满足岗位要求:这个是前提,也是最起码的底线要求。如果候选人不能够胜任工作岗位,招个人放在那儿又有什么意义和价值呢,这反而是一种资源浪费。
热爱安全、有潜力的人:兴趣是最好的老师,也是做一件事可以长期坚持下来的动力。安全行业与其他行业一个很大的不同点就在于,很多做安全的人都是自学成长,并不是科班出生,甚至所学专业与计算机不相关。因为一些机缘巧合与安全结缘,但这条路并不好走,自学的过程是非常辛苦的,能够长期坚持下来从事安全工作一定是内心真正热爱安全的人。因为热爱,所以坚持,这类安全人才基本可以做到自我驱动,长期来看是非常有潜力的人群。
志同道合的安全同路人:这个道理很好理解,俗话说:”道不同,不相为谋“,由于每个人的安全经历、视野、思维方式不同,大家对安全的理解也可能会有比较大的差异。相同的安全理念和一致的安全目标是整个团队能够共同对话和一起坚持走下去的前提和基础,尤其在团队遇到重大挫折时这一点会更加明显。
个人诉求与企业发展匹配:每个人都有自己的职业发展规划,也有自己选择的权利。每个人在不同的职业发展时期对企业的诉求也会不一样,这是非常合理,也是符合人性的。所以在招聘过程中也需要关注候选人的诉求与企业发展是否匹配,反过来也是一样,这样才能做到双赢。
接受有缺点的人:没有完美的人,每个会都有自己的优势和不足。招聘面试是为了充分挖掘候选人的优势和识别不足之处,以判断是否与招聘岗位匹配,而不是问一些与岗位相关性不高的生僻问题把候选人难住。只要人品没有问题,核心能力和经验满足岗位要求,有一些不足之处是可以入职以后在实践中逐渐改进的。
坚持宁缺毋滥:一个优秀的人可以带动团队往好的方向发展,同样,一个不合适的人加入后也可能会对团队带来负面影响。所以在招聘过程中还是要坚持宁缺毋滥的原则,不能为了短期的招聘压力放弃应该坚守的原则,否则对公司、对团队都不好。
2、如何找到合适的人?
在明确了需要找什么样的安全人才后,下一步就是解决如何找人的问题了。安全招聘和其他领域的招聘并无什么不同。无外乎也是以下几个招聘渠道,在实际操作中通常会选择多种渠道并行,不能仅依靠单一渠道和方式。
2.1、安全圈子
安全圈相比其他行业的圈子要更小众,江湖味道更浓,很多人之间也相互认识,真实水平怎么样也比较容易打听出来。是一种非常好的招聘渠道,一定要充分利用好。我之前的过往经历中团队的很多同学就是通过安全圈朋友推荐过来的。
2.2、内部推荐
通过内部推荐、尤其是安全团队同学的内推在实践中成功率也是比较高的。公司HR团队要做的是如何做好内推激励,让大家愿意推荐靠谱的朋友加入团队。
2.3、猎头机构
通过合作的靠谱猎头机构招聘一些中、高端安全岗位也是一种不错的选择,尤其是在安全团队组建初期或者大规模招聘时。但需要注意的是现在猎头机构良莠不齐,如何找到靠谱、专业的安全猎头机构就变得很重要了。
2.4、招聘网站
通过企业自建的招聘官网、SRC(安全响应中心)平台以及一些知名的安全媒体招聘也是一种好的选择。但如果通过一些传统的招聘网站,在实践中发现过来的简历与招聘岗位的匹配度是非常低的,想要通过这种方式找到合适的安全人才是极其困难的。
3、如何成功的找到合适人选?
招聘是一个双向选择,并不是你面试通过发了offer人家就一定要加入你的团队,在实际的招聘过程也会时而出现发了offer最终候选人转投其他企业的情况。企业在选择候选人的同时,候选人也在考察企业是否是自己想要的。一般候选人会从岗位匹配度、职业发展空间、薪酬福利、企业和团队文化、工作强度等方面综合考虑后决定是否加入。只不过这些选项在每个人心里的占比不同而已,即使是同一个人,在人生的不同阶段看待以上这几个方面也会所有不同。这个没有好坏和对错之分,主要还是看个人选择,要学会尊重别人,一定不要因为你看上的候选人没有加入你的团队而去了其他地方,就对人家的选择横加干涉和指责,这是一种非常错误和愚蠢的做法。也许日后大家还会江湖再见,还有机会合作或共事。
上面分析了一个候选人一般情况下会从哪几个方面去综合考虑是否加入一家公司,这其中有些方面并不是我们能够影响和掌控的,比如企业的薪酬结构、员工福利、企业文化这些方面我们就基本没什么话语权。那作为安全负责人在如何成功的找到合适人选这个问题上可以做哪些事情呢?
3.1、打造专业、有影响力的安全团队
打铁还需自身硬,只有你的团队足够专业和强大,在业界有良好的口碑。才能获得业界同行的认可,才可以持续吸引更多优秀的安全人才加入,这会形成一个良性循环。反之,即使有优秀的安全人才最终也会流失掉。
3.2、坦诚沟通、相互尊重
人和人之间是讲信任的,坦诚沟通是基础。很多需要给候选人讲清楚的事情在面试和入职前一定要讲清楚。不要想着利用消息不对称套路别人,这是没有用的。遇到合适的候选人可以主动争取,但也要尊重对方的决定。
现在市场上对安全人员的需求量一直在持续增长,但整体上从业人员就这么多。所以想要招一些合适的安全人才还是挺困难的,中、小型的公司更是如此。除了上面讲的这些,有时成功的招到一个合适的人,还需要一丝丝运气成分在里面,缘分往往就是这么妙不可言。
三、团队管理
人员到位,安全团队组建完毕。作为安全负责人是不是就可以把活儿一分,然后放飞自我轻松一下了呢?非也,这时马上就会面临其他一系列新的问题。比如如何带领团队把公司的安全做好?如何让团队成员有归属感和成就感?如何建立良好的团队氛围?如何给团队成员提供更多落地实践的机会等等?这些都是作为一名合格安全负责人的职责所在。
1、安全团队管理的目的是什么?
安全团队管理的目的绝对不是为了约束人,而是为了高效、高质量的达成设定安全目标,通过整合资源、共同协作等多种形式来充分发挥团队成员的专业经验和激发团队成员主观能动性的一系列动作。而且,管理团队的方式并不是一成不变的,而是要根据团队发展阶段、团队规模、所在企业大环境等实际情况进行动态调整和变化的。比如你不能用管理5人规模安全团队的方式去管理一个50人规模的安全团队,这样一定会出问题,反之亦然。
2、如何管理好一个安全部门/团队?
要管理好一个安全部门/团队,其实非常的不容易,带大型的安全团队更是如此。限于篇幅和个人管理水平有限,这里无法涵盖到所有内容,本文暂时只分享以下几个我认为比较关键的点吧。
2.1、坚持以身作则
作为企业的安全负责人,是安全团队的带头人。你的一言一行团队成员都看在眼里,甚至会效仿。群众的眼睛是雪亮的,只不过大家平时碍于上下级关系不一定会明说。所以自己一定要严格要求自己,坚持以身作则。不断提升自己的专业水平、视野和格局,做到以专业水平服众、以理服人。既然在这个职位上,就要承担相应的职责。
2.2、团队文化建设
团队文化建设是一个非常重要但在很多时候又很容易被大家忽视的点,尤其是在团队发展节奏比较快的时候。有人认为团队文化就是洗脑,没什么卵用;也有一部分人认为团队文化建设极其重要。我想说的是如果费了半天劲搞出来所谓的团队文化(使命、愿景、价值观)只是嘴上说说或挂在墙上并没有落地,那么还不如没有,确实没什么实际的用处,还浪费了时间和资源。如果团队成员都相信,大家从心底认同并落到实处,那就非常有用了。
谈使命、愿景、价值观显的比较虚,我也不是这方面的专家,就不在这里班门弄斧了。在这里我想表达的是一个团队的文化是应该由团队成员共同总结提炼、从心底认同并理解一致,是要真正落地执行的。它可以清晰的表达出团队成员因为什么聚在一起,大家要一起做什么事情,未来是什么样子,在做重大决策或遇到挫折时应该坚持的原则是什么,哪些事情不能做,底线在哪里,这样至少可以在大的方向上让团队保持一致,知道为什么而努力,所做事情的价值是什么。
2.3、力争公平公正
作为安全负责人,在日常工作、绩效管理、团队晋升时要一碗水端平,每个人都是团队的一员,要力争做到公平公正,不区别对待。这样团队才会有凝聚力,大家才会有归属感。否则一定会导致优秀的人流失,形成恶性循环,到时悔之晚矣。
2.4、做到知人善用
作为安全负责人,要清楚的知道团队每个成员的优势和不足之处。要经常和团队成员保持良好的沟通,让大家愿意讲真话,大胆说出自己的想法,简单直接。尽可能把每个人放在可以发挥自己专业能力和优势的位子上,也有义务帮助大家提升和改进自己的不足之处。结合每个人的职业发展诉求和兴趣方向,在团队内部多提供一些机会让大家尝试。比如可以在条件允许的情况下,让大家多尝试一些不同安全方向的工作,当然,这个调整的前提是双方达成一致,一定不能强制。不要让大家变成工具人,如果一个优秀的人加入团队后逐渐变得平庸,这是一种悲哀,也是团队和公司的损失。更是安全负责人的失职。
四、人才培养
人才培养的核心目标是为了让团队成员持续提升自己,不断进步,让团队可持续发展。作为安全负责人,在人才培养这个事情上又可以做哪些事情呢?下面分享几点我个人的一些思考和过往的实践。
1、专业和综合能力提升
专业能力是一个人最核心的能力,是在这个行业得以立足和长远发展的根本。专业能力的提升除了要依靠大量实践以外,还需要自己不断的思考和总结,并沉淀下来,最终形成较为完整的知识体系。
此外,在甲方做安全想要落地,除了要有过硬的专业能力以外,还要具备良好的跨团队协作、推动能力,以及一定的项目管理能力,这很考验一个人的综合能力。
除了团队成员自身的不断努力和思考总结,作为安全负责人要多为大家提供实践的机会和做事的空间,毕竟只有实践才能出真知,实战是检验能力的惟一标准。要鼓励大家创新,敢于做事,不要过分担心出问题后自己可能会被问责。
另外,还要在团队内部带头建立良好的分享文化和机制,让团队成员多分享,多沟通,相互学习,共同进步。比如可以在内部组织定期或不定期的安全分享,形式可以是PPT、文章、座谈会等,内容可以是一个细分领域的安全技术,也可以是前沿的安全研究,又或者是自己一段时间内对工作的思考和总结等等。这些并不是最重要的,重点是让每个人在这个过程中学会和养成独立思考、深度思考,主动思考和总结的好习惯,然后还要能够给别人讲清楚,在分享和与其他人交流的过程中,别人也可能会有好一些好的建议和反馈。我认为这是一种非常好的方式,不仅可以提升自己,还可以帮助他人。在实践中这个事情前期搞起来一定会遇到不小的困难,大家开始可能不愿分享,积极性不那么高,担心自己分享的东西不那么高大上,也可能怕自己的分享不够专业被别人怼等等,但这些问题都是可以解决的,只要坚持下来几轮之后就会顺畅很多。所以在前期安全负责人一定要带好头,做好表率,这个非常关键,然后一直坚持下去,带动团队更多的人加入和参与,这样整个团队的学习、分享氛围就会逐步建立起来。
2、成员的职业发展规划
每个人都会有自己的职业发展规划,作为安全负责人平时要多和大家沟通,了解每个人的想法和对未来的职业发展规划,一起分析如果要按自己规划的路径发展,现阶段自己的优势和需要提升的方面有哪些,然后给大家足够的机会去历练和提升自己。不必担心团队成员提升后会超过自己或者离开现在的团队。如果一个人在现有团队发展到了瓶颈期,而现在的团队又不能提供更好的机会和发展空间,那么他有机会和能力到更适合的平台也是一件好事,在这一点上作为安全负责人要有格局,想的通透一些。
3、跟上行业发展的节奏
现代社会瞬息万变,信息的产生、传播、更新速度非常快,安全行业更是如此。会持续有新的安全技术、漏洞、理念出现,如果不能够跟上行业发展节奏,及时更新自己的知识结构做到与时俱进,抱着老旧的观念和知识不放,很容易被时代淘汰。这种背景下每个人的自律习惯和自学能力就格外重要了。现在获取安全知识的渠道和形式非常的多样化,这个地方不存在瓶颈,但每个人的精力都是有限的,这个时候就要学会做减法,要想清楚哪些新的东西是需要花精力研究的,哪些了解就可以。这个方面安全负责人可以给予团队成员一些引导和帮助。
五、写在最后
安全团队的建设与管理这个话题其实还挺大的,虽然上面写了这些多,但也只是围绕安全团队建设与管理过程中的人才招聘、团队管理、人才培养这三个方面中一些我自认为比较核心和关键的点进行了分享,还有很多方面和内容并没有覆盖到。但知易行难,道理大家都懂,更重要还是看行动。限于篇幅,今天先写到这里吧。后面有机会多分享一些安全实践的内容。
建议继续学习:
- 不要用3%人思维去做中国互联网 (阅读:3570)
- 集中暴创新项目,各大互联网公司都有 (阅读:2928)
- 过年回家有感:他们的互联网 (阅读:2859)
- 我的互联网信仰 (阅读:2390)
- 戏说互联网的哪些事儿 (阅读:2207)
- 互联网是什么 (阅读:2177)
- 我们这一代人的互联网 (阅读:1743)
扫一扫订阅我的微信号:IT技术博客大学习
- 作者:secsky 来源: 安全村
- 标签: 互联网
- 发布时间:2021-06-13 22:50:21
- [55] 如何拿下简短的域名
- [54] IOS安全–浅谈关于IOS加固的几种方法
- [53] Go Reflect 性能
- [53] Oracle MTS模式下 进程地址与会话信
- [52] android 开发入门
- [50] 图书馆的世界纪录
- [49] 读书笔记-壹百度:百度十年千倍的29条法则
- [46] 【社会化设计】自我(self)部分――欢迎区
- [38] 程序员技术练级攻略
- [31] 视觉调整-设计师 vs. 逻辑