从事信息安全BP工作已经两年多,半年前的述职会上,有人问我,什么才是一个好的BP呢?我已不记得自己当时讲了什么,只记得自己罗里吧嗦的讲了一大堆自己的理解。如今再回头看这个问题,我会说,业务部门上下碰见信息安全问题,第一时间想着能交给你就一定能搞定时,这就达到了「好」的状态。
至于如何才能做到这样的状态,基于自己的工作经历,我认为BP应当具备如下5个方面的能力,仅供参考。
信息安全的专业能力
理解业务的能力
风险洞察能力
做“导演“的能力
产品化的能力
论述开始 ~~
**1、**信息安全的专业能力
作为信息安全BP,信息安全的专业能力自然是最基础的能力。如果连自己的信息安全知识都不过硬,那如何才能让业务部门信服呢?
在专业知识方面,我认为BP应当做到“专且广“。「专」指的是合规工作要精专,「广」指的是知识面要广。
合规是BP专业能力基础中的基础。BP应当熟练掌握合规工作开展的方法,具备合规工作经验,熟悉国内外的主要信息安全合规要求,并能拥有自己的解读,同时,还了解国内外主要监管机构的职能与工作流程。另外,如果BP还能参与国标或行标的编制工作,那就更好不过了。
在安全技术方面,BP应当了解系统安全、数据库安全、网络安全、Web安全、移动安全、数据安全、桌面安全、业务安全等领域的基本知识,了解攻防对抗原理,甚至具备一些实操经验,这会对充分理解业务风险场景与合规监管要求有莫大帮助。
BP应当保持对信息安全行业的关注,熟悉国内外主流厂商或新兴独角兽的安全产品与方案,并能够在工作中灵活借鉴和采用。
BP还应保持对同业的关注,能够了解先进企业在信息安全风险管理或安全技术方面的实践,帮助自己在面对同类风险场景时能够快速应对,并发现自己与同行的差距,及时调整后续的工作策略。
**2、**理解业务的能力
要想BP好业务,光有专业知识肯定是不够的,还得能够充分的理解业务,这也是我在和很多业务同学交流中,被反复提及的一点。
有时候被BP的业务组织庞大复杂,BP会不知道如何下手。我觉得可以从「钱」、「人」、「事」三个方面开展。
「钱」,即业务赚钱的玩法。知道业务是如何赚钱的非常关键,在风险管理实践中会发现,凡是影响业务赚钱的风险都是要被关注和处置的,只有你理解业务逻辑,时常将风险场景与业务逻辑关联起来,才会有效地防止自己陷入自我为是、自说自话的境地。
「人」,即业务方的关键干系人,有些公司叫KP(Key Persons)。他们往往处在领导岗位,获取的信息量很大,能站在高处思考业务的发展方向以及其中的风险点,平日多与他们交流能够获得很多业务关键信息和需求,促进BP对信息安全工作的进一步思考。
「事」,即业务方的实际工作流程和内容。理解业务逻辑和认识业务KP不能叫真正的工作落地,只有将自己融入了业务方的实际工作流程和内容里,才是真正的做到了“充分理解“,也才能从信息安全专业角度给予业务切合实际的风险管理策略,实现真正的为业务发展保驾护航。
**3、**风险洞察能力
BP在掌握信息安全专业知识、理解业务的前提下,需要进一步梳理业务运营过程中的信息安全风险,形成自己的专业见地,我称之为“风险洞察“。简而言之,就是要将风险讲清楚。要想讲清楚,需要BP关注”风险分析方法论“、”抽象总结“、”指标与数据“的能力培养。
风险分析需要关注风险识别的全面性。在这方面已经有很成熟的方法论,例如围绕生命周期的分析方法、系统分层的分析方法、对照分析法等,需要BP在实际工作中根据风险场景和业务需求的不同灵活运用。
抽象总结是讲明白事情的基本能力。在实际工作里,一个风险场景往往有比较长的时间跨度、涉及了很多干系人、为很多方面带来负面影响,BP在总结时,需要把握风险场景的主干进行归纳,识别其中最需要投入精力解决的核心矛盾。
风险是由风险发生可能性和风险影响程度组成的,这两方面理论上都可以被量化。因此,当BP在描述风险的时候需要尽量使用指标和数据,以便自己和业务方都能清晰的知道风险的具体内容,以便做出正确的风险处置策略。在实操工作中,这个事情往往没有说的这么简单,但作为BP,应该在这个方向上努力探索。
4、做“导演“的能力
有一次我去业务方参加一个分享会,有一个专做高管培训的BP提到BP需要有做“导演“的能力,即自己能够设计与推动一个事项完整闭环,我觉得非常有形象,做信息安全BP同样也需要这样的能力。当完成风险洞察之后,那就需要着手处置了。风险处置包括接受、削减、转移和规避,意味着BP要进入”导演“位置。
“导演“包含这么两层意思,第一,BP要主导着风险处置项目的推进;第二,BP要为风险处置的结果负责。要想”导演“当的好,BP必须具备如下基本功。
勇于担当的责任心。BP要勇于承担起风险处置的“一号位“,对风险处置结果负责。只有这样,才能逼着自己站在一个更高的位置更全面的思考风险,亦是自我进步与自我成就的源动力。
以终为始的目标感。当BP在启动风险处置项目前,应对结果有明确的预期,这包括效果预期和时间预期两方面,目标一旦确认,就应该坚定不移地推动实现,否则,项目就不应该被启动。借用某个老板的话,没想好就不干,想好了就猛干。
统筹与协调能力。主导项目和拍电影一样,都不是只靠一个人就能完成的工作,必然有分工、有主次。好的导演会根据剧本来安排合适的演员,创造票房上的共赢。同样,BP在发起项目时,也应该想好什么样的工作需要哪些团队参与,最终,让所有参与的同学在项目成果上都能获益。
时间规划与管理能力。项目是有期限的,BP主导的项目不应该没有结束时点。在互联网公司里做项目,应该尽可能将整体时间控制在三个月以内,超过三个月很可能遇到人员变动或组织变动,进而给项目实施带来阻力。如果项目真的要超过三个月,那么建议分期启动。BP要想在短时间内拿到好结果,那必须得对项目计划有靠谱设计和管理能力。
整体而言,做“导演“一门艺术,最后结果呈现的好坏全凭个人拿捏。
5、产品化的能力
当风险处置策略部署完成后,就会进入持续运营阶段。在这个阶段里,我认为BP对运营产品的设计反应的是其对风险运营的思考。
产品化的意识。在强调管理落地的今天,一切管理手段最好都能有工具承载,风险管理亦是如此。BP在日常工作中要刻意培养自己的产品化意识,每设计一个风险处置策略都要思考是否有对应的产品能够承接。这里并不是说所有的产品都需要我们自己开发,这可以是融入业务方的产品里,形成对业务方的开发需求,也可以是从外部采购得来。总之,就是要尽量使我们的风险管理工作能被具象化。
产品设计能力。每一个BP都应该掌握编写PRD的能力,甚至负责一到两款安全产品,只有这样,才能充分体会什么叫落地,才会充分思考什么是核心矛盾。
产品运营能力。当BP有了属于自己的产品之后,就应该想着如何让自己的产品造福更多的人,和更多的同学创造双赢,这也是让自己影响力提升和业务能力不断精进的好办法。
总之,以上5大能力域构成了BP岗位的能力模型,是围绕着 “发现问题、分析问题、解决问题“的日常工作所梳理得来的。
当充分理解了这5个能力的要求之后,BP工作便能够更好量化。我自己试着做了一下自评,每个领域1-5分评价,1是最低,5是最高,我的打分是下面的橙色线,看起来比较均衡,但离完美还有差距,争取自己早日成为一个正五边形战士!
**-正文完,笔芯-
**
这是继做信息安全BP的一些感悟之后的第二弹思考,希望对做同类工作的朋友们能有所借鉴,也欢迎大家一起探讨。
最后,再打个招聘广告,信息安全BP持续火热招聘中~ 招人啦!【美团-信息安全BP】
**作者:**阿飞 or 韭不黄,都是同一个人。十余年来一直混迹于信息安全行业,扛过设备,卖过服务,做过审计,查过黑客,反过欺诈,岁月神偷带走了我的苹果肌,留下了一肚子的瘫软,貌似我将要成为一个油腻的中年男人,不过依然对世界充满好奇,依然是一颗嫩绿的韭菜~
