安全企業持續增長的關鍵：避免年輪效應

本文講的是安全企業持續增長的關鍵：避免年輪效應，許多人都不知道有這樣一種自然現象，不是所有的樹木都長年輪。比如，南美洲哥斯達黎加的樹就是沒有年輪的。原因非常簡單，氣候溫暖适宜，樹木從未停止正常生長，是以不會出現由于生長速度不均勻而形成的年輪。

資訊安全業務的成長與此類似。大多數安全機構的發展狀況都會包含四個主要階段：

構想–>實施–>營運–>停滞

雖然最後一個聽上去很痛苦，但這就是大多數安全機構面臨的事實。我們接着簡要描述一下這四個階段。

構想

構想是第一個階段。通常包括招募人員、描述構想、設定戰略目标，以及計劃第二個階段：

實施

一旦确立了計劃，安全項目将進入到實施階段。這個階段非常新鮮有趣，一切從零開始，并開始建立一切。人員位置、業務流程，以及指導、授權、準許和推動業務營運的工作。當工作流建立，人員教育訓練完成之後，營運階段終于要啟動了。

營運

在營運階段，日常安全工作開始進行。建立輪班制度、遵循業務流程、處理沖突、執行響應……這時，困難來了。

營運工作不可能一直一帆風順，總有更多的事情需要去做，反反複複，并從處理事情的過程中加強學習。這些經驗，包括新的控制和分析技術，流程改善和安全趨勢等等，都可以作為整個安全營運工作的良好補充。營運工作是一種正常性的工作，人們應該不斷地從日常工作中尋求提升工作效率的方法，而不是滿足于當下。但現實情況卻往往相反，于是停滞便不可避免。

停滞

毫無疑問，誰也不喜歡停滞。但願望終歸是願望，一個永遠不會停滞的世界在現實中是不存在的。在安全企業發展的停滞期，當初在實施階段的創造者開始離去，他們帶走的還有寶貴的創業經驗和難以獲得的技術，而留下來的大多為更加習慣安穩和循規蹈矩的人。業務雖然還在正常繼續，但始終無法突破實施階段的架構水準。與此同時，外部的威脅環境和攻擊理念卻始終在進化，最終導緻機構無法跟上大環境的發展。

四個階段簡述完畢，我們現在回來看看年輪。

年輪是由于樹木的生長季節結束，成長停止而形成。同理，安全企業為了避免停滞，必需不斷成長。業務要不斷的提高和成熟，要盡可能的在實施和營運兩個間斷之間永久地循環下去。一個機構如何做到這一點呢？

· 有時機構會陷入日常的業務營運中，所有的精力都投入到這些日常工作中。但卻沒有意識到，他們之是以埋頭苦幹，就是因為缺乏效率。而效率是可以提高的。适當的放下腳步，休息一下，留出一定的資源來考慮業務的改善和效率提升，而不是把所有的時間精力都用來埋頭苦幹，否則就會是那句老話：“隻見樹木，不見森林”。

· 質疑一切，既要尊重傳統也要建設性的思考。不管什麼流程、決策、方法、結果，隻要不合理就要去置疑。“為什麼這樣做？”，“不知道，一直都是這麼做的”。不要讓這種問答發生在企業的工作中，如果事情看起來不合理，為什麼還要一直做下去呢？僅僅是因為之前就是這樣做的？

· 不要成為默默無聞的機構。安全企業要與同類機構，乃至整個資訊安全行業一起與時俱進。了解同行所做的事情，思考的理念，甚至與之競争，以從中得到啟發并保持警醒，進而不斷地發展，避免停滞。

· 引入自動化。研究業務流程并識别出低效率點。引進自動化，減消手工流程以提高工作效率。這樣可以把人力資源解放出來，進而留有用于從整體上分析企業，即“從樹木看到森林”的時間。

這些方法也許并不全面，但至少也說明了幾點重要性。企業的發展停滞從來就不是好事。頂尖人才的離開，安全業務的弱化，企業态度的消極。安全領域的機會就會反轉，并給企業帶來害處。是以，不要讓企業這顆大樹出現年輪，要讓生長季節永不停歇。

原文釋出時間為：五月 13, 2015

本文作者：王小瑞

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。