CSO，你行不行？看这个指标！

小和尚：师傅，我要下山还俗，去哪都通大数据公司搞管理，你看我应该注意啥？如何评价一个企业管理好不好？

老和尚：一个公司行不行，就看营收增长率、人均产值、投资回报率三个指标就行了。

小和尚：可是，这些指标，只能年底看到，过程指标呢？

老和尚：公司日常管理行不行，就学中华有为公司，就看人均加班平均时长、厕所干不干净、会议室白板擦没擦，看这三个指标就行了，基本能做到三叶而知秋。

小和尚：这么简单？

老和尚：对，就这么简单。

小和尚：哪都通大数据公司是请我去当CSO，管网络安全，如何评价一个企业的网络安全管理的好不好呢？

老和尚大惊失色：你怎么会去揽这个活！

小和尚满脸惆怅：没办法，方丈安排的！他们刚出重大网络安全事故，泄露了客户隐私，上任美女CSO刚被拘了。这个公司年年来上香火，是我们庙最大的供奉。方丈估计也是拿人钱财替人消灾。

老和尚悲悯的看着小和尚：嘿，方丈还真是掉钱眼里去了！

小和尚愤愤不平道：就是！再说凭啥派我去，我是庙里搞香客大数据分析和客户画像、游览寺庙接待路线规划的。

老和尚摇了摇头：网络安全，没出事，天天看不到成绩，不知道你在干啥，总经理会问你：要你有啥用？要是出事故了，更会问你：要你有啥用？

小和尚垂头丧气：就是这个问题，所以我想除了事故次数、事故严重性这些后果性指标之外，最好有过程性指标，并且必须得量化，最好我到岗前先评价一个指标，我去后过一阵子再评价一下，就可以知道我干的好不好了。

老和尚：要量化？还要比较容易量化？还要能充分反映安全管理水平好坏？

小和尚使劲点头：嗯嗯。

老和尚：那么去之前，先发一封邮件，给全员，说最近甲流严重，让大家登陆公司健康登记平台，输入企业用户名、企业平台密码，然后看到一个表单，填写登记表：姓名、职务、部门、体温、是否咳嗽。然后统计一下上当的人占总人数的百分比。

小和尚：有道理，得要先看看大家安全意识强不强，会不会到处泄露用户密码、及工作内容等信息！师傅，你说哪些人最容易上当？

老和尚想都不想：当然是傻白甜呀，成天被骗！当然，他们自己内心其实也期望被骗，他们很容易上当的。

小和尚打了个机灵，听说酒吧里有的人思路是：“不把自己关灌醉，怎么给别人机会！"，但这种思路可不能带到公司来呀，尤其是不能带到网络安全领域来！这点得重点防范！

小和尚定了定神：师傅，这点我理解了，还有没有更多简单易量化的有效指标？

老和尚：把公司所有人用户名拿来，到企业登录平台，使用常见的100个口令字典，再把他们姓名、生日、公司和部门名称做简单变形，获得几十个口令加入字典，猜测每个人口令，看看猜出比例，获得弱口令占比指标。

小和尚：的确，弱口令是企业安全的重大薄弱点！还有更多指标没？

老和尚：看看最新严重漏洞的隔日修复率。

小和尚：这是什么鬼？

老和尚：每年重要的安全漏洞并不多，一个月也就一两个，但如果不修复，或者修复速度比黑客产业集团慢了，后果就严重了。最佳状态是第一天爆发漏洞，通知修复，第二天大家修复，第三天检查看看大家修补到位了，就说明漏洞应急机制，包括技术、人员、协作流程、管理体系，是健全的。每年抽查3、5个漏洞，统计一下隔天修复率。

小和尚：也就是说看社工邮件钓鱼中招率、弱口令使用率、重大漏洞隔天修复率三个指标？怎么感觉和经常来庙里拜佛的那个“黑大壮”每次求菩萨原谅他的说辞很一致？

老和尚想起了那个白衣风度翩翩的背剑香火客，每月都会来庙里，求佛祖原谅他网络渗透，每次他喃喃说一大堆自己太牛了，又搞了一堆权限，来求获得佛祖的救赎。有时候他也会带包茶叶上来，和几个僧人一起煮茶。据他说他以前是一个医生，后来转行做网络安全。老和尚对网络安全的了解也都从他那里听来的，一直不知道他姓名，只知道他长得黑，人高大，看起来壮实，于是大家称他为“黑大壮”。

老和尚回忆了一阵子道：据黑大壮说，网络攻击，就三招：密攻、社攻、洞攻。这三个指标正好对应这三点：钓鱼中招率、弱口令使用率、重要漏洞隔天修复率。

小和尚：师傅高见！徒儿拜服！

老和尚：我也只能帮你到这里了，去吧！

小和尚再拜，下山而去，阴霾的云雾铺在了前方山腰，老和尚看着小和尚身影很快消失在了雾中，老和尚抬头向远处看去，山峦叠嶂，飞瀑之间正好一道彩虹悬挂。

小和尚来到哪都通大数据公司总部，被带到了董事长办公室。

董事长看不出悲喜，语气毫无起伏，冷冷清清、平平淡淡道：你这个岗位有什么用？

小和尚面带和善微笑：……

END

注：图片来自AI绘图、百度。