首页 未命名正文

【廉环话】漫谈信息安全设计与治理之组织与团队

【51CTO.com原创稿件】我们的漫谈又如约而至了!这次我们先来设想一个场景:有一把豆子散落在桌上,你用力一拍,虽然会有几个豆子随着你的震动高高跃起,但也难免会有些借此跳到地上。前面我们花篇幅聊了企业里各种人员角色的日常工作中所涉及的信息安全相关问题,而现在不都讲求团队协作吗?那么怎么才能通过无形的“桌边板”让这些勇敢而善战的人“豆子”,既能跳高又不落在桌子下面?

好吧,一开始,让我们来看看廉哥周围发生的两起安全事件。据说我的同学上周收到了他老板转发的内容***在行业信息的短信中,老板亲自向他解释说,发信人是他有一段时间没有联系的朋友。老板怀疑这是一种病毒,所以让IT他下载试试,并附言“你们技术大牛,这方面有经验,连病毒都不怕。”他一眼就看出是病毒,但他不敢反驳老板的脸和信任,所以“门槛精”他很快转发给我这个所谓的“安全专家”。而和他在一起很多年了“生死之交”,没有人转投,只靠自己的手机有防护软件,硬着头皮试试。结果不出所料,只剩下孤独的我忙着给手机杀毒,诅咒这个“像猪一样的队友”啊。

让我们来看看另一个真正的安全事件。为了方便沟通,我们信息安全部各地办公室的同事都有一个微信群。有一天,我突然收到了小组里一个朋友的信息“你能交 *** 费吗?我的手机停了,帮我交200 *** 费152XXXXXXXX改天给你钱”。我以为没有人会被这种劣质的欺骗所愚弄,但过了一会儿,一个朋友真的喊道:只是反应是欺诈,被愚弄了,并指责信徒是他非常熟悉的同事,通常互相帮助充电是很常见的,你怎么知道这个被盗号码。下一个故事是非常血腥的。人们一致批评他作为一个信息安全中的人也犯了低级错误,有些人甚至从文学和法律的角度分析了盗窃号码后欺诈短信的各种缺陷。被招募的人不应该留在小组中,云。你可以想象,如果在这个时候“舔屏”如果能把钱拿回来,那个人肯定做到了。

可见这两起安全事件与技术攻防无关。“猎人整天打雁,却被雁啄瞎了眼。”对于基本的安全知识,我们IT人员比普通用户更了解,但关键是在人情面子的压力和似曾相识的情况下,能否保持头脑清晰,遵守规范的处理流程?警钟应该永远响!

有一种说法是:两个人服从,三个人公开,有人的地方有河流和湖泊。因此,有必要进一步讨论同一职能群体的安全管理(说话!是组织和团队管理)。我们都知道,一般不是IT与专业企业不同IT公司之处在于需要有一个相对稳定的IT运维团队。要留住人,就要满足人的需求。IT运维人员大多来自技术背景,所以除了员工关注的工作环境、职业发展和薪酬外,他们还注重提高个人技术水平。因此,我们可以从以下四个方面入手。

组织的建设

在IT在团队的组织结构上,一般企业可以采用平面矩阵结构,即在各个区域(regional)配置一名IT经理(direct line),全面负责技术、项目管理和资源配置;各分支机构(local)的行政人员(dot line)管理所辖区域IT人员事务、评估、职业规划等人力资源管理工作。在管理矩阵中的每个交叉点时,应全面、三维、公平、公正。在这样的结构下,建立一个具有凝聚力和战斗力的团队注意以下四点:

1. 曹孟德曾友情提示:“疑人不用,用人不疑。”适当的授权与合理的控制相结合,使运维人员既能感受到信任,又能使其操作行为达到既定的目标。

2. 通过技能收集、知识库创维、技术问题宣传/竞赛等方式,激发运维人员的参与意识,展示他们,营造相互学习、相互学习的氛围。乔帮主没有告诉我们:Stay hungry stay foolish?

3. 通过在一定范围内通知或表扬运维人员的突出表现或集体荣誉,员工可以感受到尊重和欣赏,也可以形成和加强“榜样的力量”,从而产生"倍数效应"。

4. 及时发现团队中工作有抵触情绪,抱怨多、合作差,以及缺乏责任心的人员,并予以教育和纠正。果断的将屡教不改的人员清理出团队。该出手时就出手!

人尽其才

企业应为运维人员创造和提供广阔的个人发展前景和空间。根据人员自身的特点,一般可分为创新、事务和复合三类。

1. 对于创新型人员,可安排系统设计、改进或编程。

2. 对事务型人员,可安排例行检查、操作实施等工作。

3. 对于复合人员,可安排项目管理和跟进,用户沟通。

不同类型的人员适合不同的职位。只有合理安排和科学分工,组织和部门才能使各种运维人员履行自己的职责,不断锻炼技术能力、合作能力和问题处理能力,从而实现这一目标“不可能三角”平衡与和谐。

培训与交流

IT技术的发展日新月异,运维人员的培训应尽可能制度化、规范化。除了基本的工作职能、组织政策和流程外,还可以根据员工的不同角色进行定制“学习曲线”,从而起到规范日常行为、保持技术更新、增强安全意识的作用。不要求团队中的每个人都能做到一当百,至少要互相做到“备份”。

这是一个“分享经济”在这个时代,很多事情都需要团队合作来完成,所以人员之间的沟通是必不可少的。在沟通过程中,要注意知识和信息的区别,即技术和专业知识可以用来分享和交流;与个人工作相关的信息,特别是一些秘密信息,不能用来分享和交流。IT管理层应努力使整个部门的人员每两周或每月有机会集中沟通,主管可以从不同层次倾听声音,这就是所谓的“上级知道下级在做什么,下级知道上级想做什么,想做什么。”。这对于地域较为分散的员工来说不但可以增强组织凝聚力,还可以发挥大家对各种事务、项目等方面的参与精神。甚至可以将一些潜在的问题解决在萌芽状态。

另外,外企经常会出现一种叫做的东西talkfest(论坛)的目的是on the table在桌面上谈论很多事情很方便。形式上,你不必坚持公司的会议室。出去什么?team building或者微信群的方式,都可以。大家在一起。brain storm拿出一些好的解决办法,或者关上门吐槽,不需要什么所谓的“和谐会议”,即使是同仇敌共的安排,我们也要等待“初恋”甲方都很好。当然,作为team leader,注意把握和控制“度”,要善于去引导和lobby大家,为了达到推进项目或工作的目的。手段多种多样,就像恋爱中男女常说的那句话:“合适才是***的”。

目标与考核

除了直接领导的工作分配外,员工还可以参与制定自己的工作目标。这里可以从项目中学习“里程碑”概念,清晰“时间、目标和资源三个要素”,以时间线为主线,制定明确的短、中、长期目标和人力、物力、财力等资源,定期衡量工作的阶段性成果或标准。

对员工的评估必须客观公正,特别是抓住其关键指标(KPI)。直接领导***为每个下属设置一本书“工作台帐”(or工作笔记),及时准确地记录性能和工作完整性,避免时间推移造成的“一叶障目”或“人格假设”。在实际评估中,可以使用非常常见的环节“360全方位考核”标准,即直接领导、下属、部门同事和服务用户,对一个人进行匿名评估。对于评估结果,在与被评估人员单独沟通的同时,也要保持开放的态度,听取其反馈。精神和物质考虑;奖惩并重。这不仅保护了运维人员的工作热情,也保证了他们岗位的稳定性。

团队维护和用户响应

在这里,我习惯于借用企业管理SWOT考虑运维团队自身的分析 *** S (strengths)是优势、W (weaknesses)是劣势,O (opportunities)是机会、T (threats)是威胁。这是团队常青的法宝,也是不断证明自己存在价值的法宝(对于IT事实上,操作和维护团队非常重要。)武器。然而,具体的实践操作确实因人而异,因地制宜,没有公式。目的是证明我们的团队在企业中“存在一定合理”而不是每个人的印象“烧钱部门”。

由于我们的运维归根结底也是一个服务部门,那么完成服务对象应该是我们的最终目标之一。这里的参考 *** 如下:

1. 设立用户开放日或组织用户关怀培训。

邀请用户参观或学习业务,不仅可以让他们了解我们朋友的日常运维活动和处理过程,还可以培养他们应对基本问题的意识和能力。还记得吗?一些知名的乳制品企业不是经常去消费者参观奶源基地吗?这不仅表明他们对自己的产品有信心,经得起测试,而且表明:“大家都出来混,不容易。”

2. 与用户开通气交流会,请他们决定一些事情。

小时候,我们经常被教育和发扬“主人翁精神”,现在周围也经常提倡和关注“体验经济”,请用户来商量或是参与决策,无疑是让他们既刷出了“存在感”,又体会到了“作上帝”的感觉。

3. 定期发送报告并有针对性地回复

人与人之间的沟通和好感都遵循“忘记时间曲线”是的。许多电子商务公司经常以定期短信或微信的形式发送短信remind甚至是attract你。你真正能被感动的是,你收到的内容是为你定制的,并回答过去的消费和问题。运维团队也用这种 *** 对待用户,友谊船不会翻过来。

4. 多做一步服务理念

这对团队的观察力和业务能力有很高的要求。例如,对于用户,他们不仅帮助他们job A做了,发现B也需要帮助,在通知对方的情况下,把job B也完成了。说白了,提供增值服务。(Value Added Service)。你说用户会不开心吗?

每个人都喜欢看《复仇者联盟》,因为它把不同能力的动画英雄聚集在一起继续“打怪”。现在演绎到两派“开撕”也就是说,美国队长和钢铁侠之间存在分歧。可以看出,一些既定的组织和团队“餐桌礼仪”规范部门员工的日常运维是非常必要的。“独立玩耍”,多一些“化合反应”,让有机体在一起产生正反馈。下次见!

【51CTO原稿,请注明站转载请注明原稿作者和出处为51CTO.com】

   
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。