网络安全工作究竟该如何去评价呢?”在工作中,评价“是一个不能回避的动作,尽管它字面
上带着傲慢的审视意味,但人们往往也不能回避自我评价。特别是,在职业生涯发展到中后期,
职级越高,你的上司就越不可能在专业领域超越你,上司对高P的一个潜在期望,就是“你最好
告诉我该如何评价你的工作,并且,让外行的我听起来合乎逻辑。
不能把事情做好的主管注定是不舒服的,至少不能得到预期的信任,资源,以致于不能执行自
己认为正确的工作,进而导致工作效率低下,背锅。因此这些年来,我一直在拷问自己这个问
题。在只负责一家小厂的大部分安全工作时,我并没有为这一问题感到太多的烦恼,因为人少
得足以使任何问题都可以用“安全不是绝对的”来搪塞过去,安全不是绝对的100分,这是当时最
好的答案。
己认为正确的工作,进而导致工作效率低下,背锅。因此这些年来,我一直在拷问自己这个问
题。在只负责一家小厂的大部分安全工作时,我并没有为这一问题感到太多的烦恼,因为人少
得足以使任何问题都可以用“安全不是绝对的”来搪塞过去,安全不是绝对的100分,这是当时最
好的答案。
在我管理一家大型工厂的垂直业务时,我并不为这一问题所困扰。因为我的上司大概会为我设
定一个简单明了的目标。例如反入侵,要求xx%的真实发现率。
定一个简单明了的目标。例如反入侵,要求xx%的真实发现率。
我曾经幻想过,如果当时我接手的是隔壁团队,比如SDL团队,那时他们的目标也比较简单,
当公司业务高速发展时,漏洞的绝对数量是否能够持续稳定的控制住。与同类企业相比,在
类似于乌云的平台上,我们的问题要少得多(相应的资源差不多)。但当我负责整体的基本安
全(传统安全)时,我突然发现,这个答案很难回答。
当公司业务高速发展时,漏洞的绝对数量是否能够持续稳定的控制住。与同类企业相比,在
类似于乌云的平台上,我们的问题要少得多(相应的资源差不多)。但当我负责整体的基本安
全(传统安全)时,我突然发现,这个答案很难回答。
所以,在刚入职没多久的半年后,我就遇到了这个问题,CTO问我,你给自己多少分?我认
真地评价了一下当时的状况,百废待举,一切才刚刚开始,虽然有了阶段性的进步,但离我
心中能行的目标还很远。所以,我的答案是,按照建设效率和质量来看,超过80分了,但按
照实际的风险控制能力来看,自我感觉不及格。后来,我得到了上级的指导:好不好,不仅
要看实际的风险控制能力如何,还要看跟谁比。突然明白,但为时已晚。有时,与公司高层
沟通的机会不多,印象分一旦失去,就很难再找回来。因此今天,我试着用一个简单的记录
来思考这个时刻。首先是结论:安全工作的好坏,在于认识准确、投入合理、实施效果全面
评价。无论是与公司的实际情况结合起来,还是横向做行业的对标,才有意义。
真地评价了一下当时的状况,百废待举,一切才刚刚开始,虽然有了阶段性的进步,但离我
心中能行的目标还很远。所以,我的答案是,按照建设效率和质量来看,超过80分了,但按
照实际的风险控制能力来看,自我感觉不及格。后来,我得到了上级的指导:好不好,不仅
要看实际的风险控制能力如何,还要看跟谁比。突然明白,但为时已晚。有时,与公司高层
沟通的机会不多,印象分一旦失去,就很难再找回来。因此今天,我试着用一个简单的记录
来思考这个时刻。首先是结论:安全工作的好坏,在于认识准确、投入合理、实施效果全面
评价。无论是与公司的实际情况结合起来,还是横向做行业的对标,才有意义。