企业如何放心任用安全人员,又如何防止白帽员工变黑帽员工呢,白帽与黑帽——来自企业安全主管的困惑。
辨善恶,分黑白,从来都不是一件简单的事。企业如何放心任用安全人员,又如何防止白帽员工变黑帽员工呢?
安全客季刊发布的同时,安全客在知乎上发起了关于“白帽与黑帽”的提问,引发了安全从业者们的关注和讨论。
截止2017年4月25日,该问题已有33次回答,440人关注,浏览量逾65000次。
作为提问者,安全客整理了关于该问题知乎的精华问答,欢迎小伙伴们关注并参与讨论。
余弦:确实是个难题
确实是个难题,《投名状》这部电影结局都那样的凄凉,何况一家公司。
补充两个方式来改进,如:
必要的合同约束,具备法律威慑。入职时及日常的文化传导应该明确:什么是红线,因为合同等规则不是所有新入职的人都会认真在意。
权限管理、日志管理等做好,真出什么问题了,至少可以及时溯源。
云舒:给与能力对应的足够多的钱,谁愿意去做犯法要坐牢的事情?
云舒大大的回答虽然只有一句话,但是以一个问题回答了另一个问题的方式吸引了很多小伙伴在评论下方进行互动,一起来看一下小伙伴们的讨论内容吧!
陆羽:多少算够呢?企业永远给不起黑产给的利益,总的来说是一个收入平衡点的把握吧
Lytton:同事离职去碰菠菜了,可能是想过的更好吧。
龙元DragonCircle:谷歌竞价排名,排在前面的永远是卖假药的,因为假药利润永远比真药高。
马宏菩:难讲,人的贪欲(不一定是钱,也有可能是名之类的其他东西)可能是个无底洞。虽然还在审理过程中,但是 Google X 前无人驾驶总工程师拿了几百万美金的奖金,就是希望他不要出来竞争甚至盗窃机密。不过这件事另一方面来看也是个很好的例子—— Google 看来是掌握了很确凿的证据,估计是有完善的监控和日志,所以到头来还是该双管齐下,钱要给够,同时也不要盲目信任,做好最坏打算。
赵武:先德后才,在哪个行业都是如此,在安全行业尤其!
在选人和培养人的方面,虽然没有标准答案,但确实有一些可供参考的方法:首先看一个人对钱的态度和对技术的态度的区别,有些人说他对技术感兴趣,但是提到技术研究瞳孔不放大精神不亢奋,一提到收入立马活起来了,我认为他可能未来是个人物,但是这个庙容不下。
另一方面,我认为一个团队的文化是能够后天影响一个人的,一个正能量爆棚的团队具备一种感染力,“先欺骗自己,再欺骗他人”,我们是拯救世界的,别拿世俗玷污我。对于不认同的人,他们也会觉得这个团队及其“虚伪恶心”,格格不入,无人举杯推心置腹,最终也会离开。
企业选人要注意,招进来给一个研究气氛浓郁的环境非常重要,搭建好了平台,同性相吸,牛人都扎堆。再说现在赶上了安全行业大好时代,有能力的还怕赚不到钱?如果都像keenteam,盘古这样的个个躺着赚钱了,谁还羡慕黑产啊,我现在就光羡慕他们了。
哦,最后一句,先德后才,在哪个行业都是如此,在安全行业尤其!
宋世泊:单是高薪无法养廉。
1、家庭情况好,道德有原则,价值观端正,所谓“根红苗正”
2、工作中经常沟通交流,留意其经济状况变化(特别是大宗消费和债务)、理想欲望等思想变化,做到心里有数。、
4、最重要的是:基于不信任原则下的规范流程。如多重审查机制,双人或多人掌握关键Key,操作日志证据保全等等,宁愿多费人力,减少出事机会。
3、平时定期搞点法律案例,对大家进行教育和威慑,消灭思想上的小苗头
精华回答总结
针对企业如何放心任用安全人员,又如何防止白帽员工变黑帽员工,安全客整理回答总结如下:
1、企业自身营造良好的工作环境及氛围;
2、企业给予安全人员较丰厚的酬劳以及较完善的福利待遇;
3、任用安全人员前,做好必要的身份、背景及从业经历调查;
4、和安全人员签订保密协议和安全协议;
5、对安全人员进行必要的法律意识和安全意识培训、教育;
6、建立完善的审计机制,定期审查;
7、必要的应用、数据、网络、系统监控;
8、建立细化和具体的账户权限管理体系,包括系统、应用、数据、网络等;
9、建立互相监督的举报机制;