【FreeBuf福利群招新啦!
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
如群已满,请添加FreeBuf小助手微信(freebee2022)】
答复建议:
坚持一个事实:安全事件不可避免。“坦荡地”简述事件情况,详细汇报对实际业务造成的影响,提出不足的地方,并给出一个减损的处置计划。
问出这类问题的boss完全不懂安全。安全负责人的任务是找到风险最高、一旦出错对业务影响最大的资产或区域,根据业务需求分配有限的资源去做安全管理。
答复建议:
网络威胁不断变化,消除所有安全风险是绝对不可能的。我的职责是通过安全控制措施来管理风险。随着我们业务的增长,需要不断评估所能承受的最大安全风险程度。最终目标是建立一个可持续的计划,平衡安全防护和业务发展这两个存在一定矛盾的需求。
究其根本,老板八卦这事儿就是缺乏安全感,看到网络上的威胁报告、文章、博客和监管要求就焦虑,他们想知道同行在这方面做了什么,整个行业的动向是怎样的。
答复建议:
其它公司发生安全问题的根本原因很难猜得准,与其和老板一起“八卦”,不如给他吃颗定心丸。
“他们内部具体消息众说纷纭的,有准确的新消息我会立刻汇报。针对这类安全问题,我们已经有一套完整并经验证的响应流程,我也会持续更新业务连续性计划,最大程度降低同类安全事件对我司可能造成的业务影响。”
老板这么问说明他知道风险永远存在的道理。他们想知道风险都在你的掌控之中。你需要说明企业的风险承受能力,让整个风险管理决策按照这个标准走,才能干好工作。
答复建议:
用数据或事实说明风险管理决策对业务的影响,而风险承受能力是关键,左右决策走向。
任何超过承受能力阈值的风险都要改进,但不一定需要在短期内“大动干戈”,过度处置可能会对业务造成负面影响。
(老板要对整个企业的风险负责,其中网络安全虽然重要,但也只是其中一小部分。因此他们希望你能够把控重大风险,向他们汇报一定要简短扼要,缺少安全控制措施对他们来说不是风险,也不会是下一个重大威胁,一定要把精力放在你把控的“大项目”,如知识产权保护、监管安全和第三方风险。)
老板这么问是希望从你这里的得到保证,你有考虑投资回报率,他花的每一分钱都用在了刀刃上。
答复建议:
用平衡记分卡方式作工作汇报。
老板一般都会制定业务战略并设计相应的绩效,安全负责人应尽可能用业务绩效而非技术角度进行呈现,根据一些第三方的客观的标准,评估和输出安全运营数据,以此体现安全效果。
文章引用微信公众号"FreeBuf",如有侵权,请联系管理员删除!
