小和尚:师傅,我要下山还俗,去哪都通大数据公司搞管理,你看我应该注意啥?如何评价一个企业管理好不好?
老和尚:一个公司行不行,就看营收增长率、人均产值、投资回报率三个指标就行了。
小和尚:可是,这些指标, 只能年底看到,过程指标呢?
老和尚:公司日常管理行不行,就学中华有为公司,就看人均加班平均时长、厕所干不干净、会议室白板擦没擦,看这三个指标就行了,基本能做到三叶而知秋。
小和尚:这么简单?
老和尚:对,就这么简单。
小和尚:哪都通大数据公司是请我去当CSO,管网络安全,如何评价一个企业的网络安全管理的好不好呢?
老和尚大惊失色:你怎么会去揽这个活!
小和尚满脸惆怅:没办法,方丈安排的!他们刚出重大网络安全事故,泄露了客户隐私,上任美女CSO刚被拘了。这个公司年年来上香火,是我们庙最大的供奉。方丈估计也是拿人钱财替人消灾。
老和尚悲悯的看着小和尚:嘿,方丈还真是掉钱眼里去了!
小和尚愤愤不平道:就是!再说凭啥派我去,我是庙里搞香客大数据分析和客户画像、游览寺庙接待路线规划的。
老和尚摇了摇头:网络安全,没出事,天天看不到成绩,不知道你在干啥,总经理会问你:要你有啥用?要是出事故了,更会问你:要你有啥用?
小和尚垂头丧气:就是这个问题,所以我想除了事故次数、事故严重性这些后果性指标之外,最好有过程性指标,并且必须得量化,最好我到岗前先评价一个指标,我去后过一阵子再评价一下,就可以知道我干的好不好了。
老和尚:要量化?还要比较容易量化?还要能充分反映安全管理水平好坏?
小和尚使劲点头:嗯嗯。
老和尚:那么去之前,先发一封邮件,给全员,说最近甲流严重,让大家登陆公司健康登记平台,输入企业用户名、企业平台密码,然后看到一个表单,填写登记表:姓名、职务、部门、体温、是否咳嗽。然后统计一下上当的人占总人数的百分比。
小和尚:有道理,得要先看看大家安全意识强不强,会不会到处泄露用户密码、及工作内容等信息!师傅,你说哪些人最容易上当?
老和尚想都不想:当然是傻白甜呀,成天被骗!当然,他们自己内心其实也期望被骗,他们很容易上当的。
小和尚打了个机灵,听说酒吧里有的人思路是:“不把自己关灌醉,怎么给别人机会!",但这种思路可不能带到公司来呀,尤其是不能带到网络安全领域来!这点得重点防范!
小和尚定了定神:师傅,这点我理解了,还有没有更多简单易量化的有效指标?
老和尚:把公司所有人用户名拿来,到企业登录平台,使用常见的100个口令字典,再把他们姓名、生日、公司和部门名称做简单变形,获得几十个口令加入字典,猜测每个人口令,看看猜出比例,获得弱口令占比指标。
小和尚:的确,弱口令是企业安全的重大薄弱点!还有更多指标没?
老和尚:看看最新严重漏洞的隔日修复率。
小和尚:这是什么鬼?
老和尚:每年重要的安全漏洞并不多,一个月也就一两个,但如果不修复,或者修复速度比黑客产业集团慢了,后果就严重了。最佳状态是第一天爆发漏洞,通知修复,第二天大家修复,第三天检查看看大家修补到位了,就说明漏洞应急机制,包括技术、人员、协作流程、管理体系,是健全的。每年抽查3、5个漏洞,统计一下隔天修复率。
小和尚:也就是说看社工邮件钓鱼中招率、弱口令使用率、重大漏洞隔天修复率三个指标?怎么感觉和经常来庙里拜佛的那个“黑大壮”每次求菩萨原谅他的说辞很一致?
老和尚想起了那个白衣风度翩翩的背剑香火客,每月都会来庙里,求佛祖原谅他网络渗透,每次他喃喃说一大堆自己太牛了,又搞了一堆权限,来求获得佛祖的救赎 。有时候他也会带包茶叶上来,和几个僧人一起煮茶。据他说他以前是一个医生,后来转行做网络安全。老和尚对网络安全的了解也都从他那里听来的,一直不知道他姓名,只知道他长得黑,人高大,看起来壮实,于是大家称他为“黑大壮”。
老和尚回忆了一阵子道:据黑大壮说,网络攻击,就三招:密攻、社攻、洞攻。这三个指标正好对应这三点:钓鱼中招率、弱口令使用率、重要漏洞隔天修复率。
小和尚:师傅高见!徒儿拜服!
老和尚:我也只能帮你到这里了,去吧!
小和尚再拜,下山而去,阴霾的云雾铺在了前方山腰,老和尚看着小和尚身影很快消失在了雾中,老和尚抬头向远处看去,山峦叠嶂,飞瀑之间正好一道彩虹悬挂。
小和尚来到哪都通大数据公司总部,被带到了董事长办公室。
董事长看不出悲喜,语气毫无起伏,冷冷清清、平平淡淡道:你这个岗位有什么用?
小和尚面带和善微笑:……
END
注:图片来自AI绘图、百度。
更多文章:
关注神龙叫,有问必答
关注输入“福利”有惊喜
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...