八字真言：虚事做实，实事做虚 | 总第191周 - 新鲜讯息

‍‍

0x1本周话题TOP1

提个问题：安全上老板总是以解决点的问题为基调，不愿意基于业务建立长远的规划去投入，认为没发生就无需投入，能省则省。如何突破？

A1：老板不觉得事后补救的成本会远大于事前预防，所以就不愿意投入了吧。

A2：公司不一定要突破。公司面临各种风险，也要赚钱，有的风险会让他亏钱，这种要内生前置解决，降低治病成本；有的风险是莫须有的，会让他不健康，但医生让他健康作息，他也只想加班赚钱，他接受了。安全战略得和业务战略匹配，明确整体规划，急难险重，优先级，不能超前。最后如果公司拖了安全后腿，可以换个平台施展。

在做风险评估的时候，如果某一项风险5年都不发生一次，领导也没有应对极端场景的诉求，那这个风险就不需要去缓解。

当然了，类似断供风险，低频高危，领导真的不care，发生了，死了，那就死了。

A3：长远规划是建立在已识别到的暂时未发生的事情上，那么未来1-2年能做好且在一定程度上可规避未来可能发生的风险，却舍不得投入。比如数据安全持续沉淀，业务安全等。

A4：从某种程度上来说，安全从业人员的居安思危是老板需要的，他想知道，现在做了这么多，还会发生哪些风险，哪些最危险，他能不能承受，然后他也会做出决策。

但是怎么说服领导，怎么获取信任，怎么获得话语权，这个是管理学的话题，不是科学不是实践，有科学研究和没科学研究的成功率是相近的，说明它因人而异无法照搬，我觉得也是本群相对最需要补的一块能力，却无法通过分享交流获得这个能力，因为这个的起点是，你的领导是什么类型的决策者，但大家没法公开说这个。

有的老板在想网络战了怎么办，脱钩了怎么办，有的老板在想明年利润达不到这个数我就不能冲击上市了。他们的风险偏好一定是迥异的。

A5：以后做安全先给老板来个类似投资风险测评，确认是激进的还是保守的风格。选择老板！

A6：就算不做，汇报中也会识别老板性格。不管啥安全体系，第一章永远是战略、组织、获得支持，但他不会告诉你怎么获得支持。

A7：把安全抽象出来，即科研。何为安全科研？既利用工具、流程、制度等手段使其平稳运行。但是有个致命缺点。抽象口头禅“不出事的安全就是好安全”。也就是说需要解决的是这个问题。除科研以外，还有个词汇“科普”，何为科普？即文化、培训、赋能、嵌入。补充解决科研的短板。

一句话抽象总结：虚的东西要实做，实的东西要虚做，也只有这样才可能把事情做好。

你觉得这样也不安全，你觉得那样也有风险，你还认为不这么做很危险。究其原因，并不是你在安全行业，也不是你因其技术而有此想法。一切皆因“你周围的文化”所熏陶。哪怕此时此刻的群，都是以“安全”为出发点散发。

持续文化、常态文化的结果都会统一的一个结果，既“战略假想敌”的概念。而企业安全本身。需要文化输出“战略假想敌”。即：没有发生安全事故、风险。你的老板也天天合计“是不是这样不安全？”、“这样是不是容易出现网络安全事故？”那么投入问题，就从主矛盾转化次矛盾了。

A8：曾有个非常低调的大佬，退休前八字真言：虚事做实，实事做虚！

A9：非大佬，但是深刻理解这八字的意义与背后的意义。也持续在实践。

Q：怎么去判断哪些是虚事哪些是实事了？

A10：举例：读书是虚，工作是实；学习是虚，赚钱是实；规划是虚，落地是实；文化是虚，建设是实；选择是虚，努力是实。

A11：恰好最近有体会，党建是虚，但领导把它分解成了7+1去落地，具体的7都是部门实事，安全工作任务是实，但领导把它抽象成了三化，还能和党史相结合，

这个算是做到了群友说的虚事做实，实事做虚。

A12：感觉三化不虚啊，很好的方法论：

实战化: 通过实战攻防，问题导向，发现处置风险薄弱环节。

体系化: 统筹考虑，架构科学，目标合理，资源投到刀刃上。

常态化:持久战，安全运营，动作到位，工作闭环，尽职免责。

A13：不是这个。三个排比，大佬自创的，我当时记了很多笔记，但这里没记住，后面党委表扬时我才发现自己段位低了。群里很多大佬，不知道这个算不算解构、抽象、领域思维的能力。当然了，搞这些虚的并不能变得更安全就是了。

Q：最近碰到辛苦大半月的项目设备被上级砍掉了大半，怎么向上管理？我发现是这样的，领导都很重视安全，都知道安全很重要，具体到落地的时候，就是这个这么贵，有必要吗？有那么危险吗？发生风险概率多少？

A14：管理学问题，没有通解。还是要对症下药，汇报只是临门一脚，是所有环节的最后一环。更多的，是要在规划、日常沟通中下功夫的。零碎时间的闲聊，效果挺好的。比如多和领导吃饭沟通。平时不沟通，汇报放大招，领导不挑战，那就有鬼了。

A15：日常沟通中下功夫这方面确实做得不到位，看见领导“绕着走”。

A16：很形象了，很多IT人员，在食堂碰到领导了，找个其他桌子吃饭；在电梯看到领导了，赶紧等下一趟。本来都是沟通的机会，却没有抓住。有这种想法的，说明其没有切肤之痛，又或者安全风险发生后的成本在可接受预期之内。

最重要你得搞清楚领导认为什么是重要的，什么才是安全。而不是你到处教育他什么是你认为的安全。很多人沟通时候把领导当傻子，觉得领导就是不懂，我要把我这套灌输给你，让你理解。那这种就只能呵呵了。

A17：可以从领导的上级关心的安全方向以及他关心的安全方向相结合，来推动安全工作，效果会好一点。比如要采购灭火器，让你证明这地方发生火灾的概率，有一套科学的方法论证或数学模型啥的。然后对标同行，我们的差距是什么，什么时候能达到人家的标准。

A18：这要前提领导懂安全，领导砍掉的做好记录作为已知的风险延后，等待一个机会再提出来看看领导什么意思，还是决策不要就顺着，毕竟决策和责任在领导。

有时候，让一些事情发生，再跟进。别着急预防。

A19：我们大体上是这样：三年规划先给出来，安全战略和公司战略要一致，目标是要反诈直接产生收益、还是保业务赚钱、还是零失分、还是抗竞对攻击，现在什么水平，差距在哪，轻重缓急是什么，明年规划具体做什么，做完应达到什么水平，PDCA保障质量，规划和成果上信息安全领导小组审议，规划和预算、项目、绩效相匹配。

然后事情尽量落在项目里，这样的话不太应该有临时的很紧迫的诉求。问题出在根上，领导对这件事的必要性不认可，那其实对安全目前水平、这件事解决什么问题都没和你达成一致，靠一次汇报很容易被毙，需要多几个来回，找到领导关注什么，解决领导问题。

忙了半个月被否了，其实很正常，我们大家也都一样。只要不是忙了大半年被否了。

A20：能做到这个程度，说明安全负责人跟业务走得很近，而且也有机会参与公司层面的战略规划，至少是可以去旁听的。大部分安全负责人没这个机会。安全负责人视野就眼前这么一趴，没超过运维部或者技术部，要从公司层面去影响，挺难。

0x2 本周精粹

0x3 群友分享

【安全资讯】

【安全技术】

数据防泄漏DLP学习笔记

https://www.cnblogs.com/LittleHann/p/17244299.html

标准的种类

https://www.mnr.gov.cn/zt/kj/kjfz/bzh/201310/t20131014_2369489.html

-------------------------------------------------------------------------------