前段时间太忙了,需要思考和应对的事情太多,导致两个月都没动力更新这个公众号。马上春节了,终于闲下来一点,给公众号里的新朋旧友拜个年,祝大家新的一年里身体健康,万事如意,Happy 牛 Year !
印象里第一次接触到BP这个词是2016年在滴滴做项目的时候,访谈了一个HRBP,当时我特别纳闷,什么叫BP?滴滴信息安全部的老哥告诉我叫 Business Partner,业务伙伴,HR的事儿都找这个BP就对了。但我还是不能理解,这个BP到底是干啥的呢?职责是啥?权限是啥?HR、财务、法务都有BP,你们信息安全部怎么没有BP?
然后。。。直到现在,我自己成为了一个信息安全BP。。。。一开始也很懵,捣鼓了大半年,个人感觉才上道了吧。。。以下是这两年来我的一些感悟,不见得对,只代表我当下的认知。
1、什么样的组织需要信息安全BP?
完成了基础安全建设,整体目标从「服务基础设施」向「服务业务目标」过度的信息安全团队。
简而言之,内外对抗能力建设起来了,0到1的工作已经结束了,剩下的就是不断优化和输出更多业务增值服务的事了。
目前,业内互联网大厂的信息安全部门都需要这样的人。
2、信息安全BP的工作职责是什么?
理论上是「反馈」业务方的信息安全需求,「协调」内外部信息安全资源,「制定」解决方案,「推动」实施落地,实现闭环。
3、信息安全BP的组织定位是什么?
一开始干这份工作的时候,领导给定的调子是业务线的CRO或CISO,但实操起来会发现,你的组织关系不在业务线,不背业务线的OKR/KPI,却把自己放在那么高的高度,非常迷茫。
最后,把自己放下来,当一个业务线的安全顾问,马上就找到了方向,心里踏实了。
4、信息安全BP的日常工作是什么?
就和以前做外部咨询顾问一样,「发现」问题,「分析」问题,「解决」问题,只不过以前面对的是N个客户,如今面对的是某一两个业务线。看起来比在咨询公司做业务简单,其实更难了,因为你没什么选择了。。。过去,A客户找不到需求,就去试试B客户,市场这么大,总能找到机会点,但在甲方就不一样了,没得选,只能每天在心理默默给自己鼓劲:加油!干饭人。
4.1 如何「发现」问题?
这里说的问题,我更喜欢理解为“需求”,对信息安全团队的需求。
这种需求的描述往往是宽泛的、模糊的,而非明确的,因为明确的需求不需要BP去解决,自然会有对应的技术团队去承接,比如某业务反映的薅羊毛情况。
需求主要来自于如下三方面:
a - 业务线老板的需求。老板很少关注具体的事情,但会在意一些风险场景,例如某老板提的需求是解决“高P离职带走数据”的问题,这种需求就不是某一个技术团队能够完全响应的了。
b - 来自风险事件驱动。业务线发生的安全事件看起来是一个单点问题,反推到根,可以看到是某一个该做的事情没做或没做好引发的,例如合作伙伴被黑导致公司数据泄露,说到底是第三方安全管理不够好。
c - 来自业务自身变化。业务线的竞争环境变化、自身产品的增减,都会带来风险关注点的转移,BP可以从这些变化中识别出安全需求。
4.2 如何「分析」问题?
随着对业务线接触的深入,我们会收集到各种各样的反馈,BP要做的第一步,就是“识别需求背后的隐含意思”。
当你调研一线业务同学时,有些业务同学会和你反馈说:“我们的XX业务安全风险很高啊,你们需要关注,得有个解决办法。”你再细问有没有风险案例时,对方却说,暂时没有,但我们就是觉得风险很大,出了事就完蛋了。
其实,这句话的潜台词是,我们觉得信息安全很重要,但我不知道该干什么,我也不知道你们已经干了什么。
有时候会有一些业务线的负责人会找过来,说自己的业务很重要,不能出错,要你去给他/她的业务做一次风险评估。
其实,这个需求的潜台词是,我不了解业务的安全风险全貌,但我真的很焦虑。
当你分析出来了业务方的真实意图之后,BP就知道该投入多大effort去响应了,也知道接下来该设计一个多大规模的方案了。
设计方案的方法包含分层的思路、生命周期的思路、体系的思路等,这里就不赘述了。
需要强调的是,好的解决方案考验BP需要具备如下能力:
对业务方需求的理解;
对部门内部团队和已有产品的理解;
对业务方的团队、业务流程和产品的理解;
对公司内相似风险场景解决方案的理解;
对业界的解决方案的理解。
最后,形成的方案一定要可落地(符合现状)、可执行(计划与分工明晰)、可闭环(有效果评价)、可运营(能够产品化)。
4.3 如何「解决」问题?
一个方案会包含多个团队,甚至外部供应商,这时候就非常考验BP的资源整合能力和项目执行能力。
首先,需要BP有很强的目标感。知道项目的终极目标是什么,且每一个阶段都需要谁完成什么任务达到什么目标。
其次,需要BP能够管理内外部期望。能够让项目干系人们正确的认知项目价值,平衡大家的预期。
再次,需要BP可以团结项目里的所有人。需要让每个人都能理解自己在项目里的位置、分工、产出和收益。
最后,需要BP具备操盘项目的能力。可以不断推动项目前进,及处置项目风险,每到一个里程碑节点组织汇报,及时纠偏。
5、信息安全BP的发展路线是什么?
我还没想好,认知有限,还需持续迭代,先把眼前的活干好再说吧。
全文完~
笔芯❤️
【韭菜永不黄】是阿飞的小号,表示阿飞一直都是后浪。