見樹不見林？ 資安主管須謹記在心的六項警訊

我們都經歷過這些類似情況，但總是用同樣的理由：有限資源、分配不足的預算和不切實際管理命令，但這些失敗警訊如日常生活一般平凡，在你記住 之前必須先理解其意義。

好的安全人員難以尋找。身為安全管理者，你必須有效的指導其日常工作；極大化他們的生產力、效率及效能；提高他們的工作滿意度；最重要的是，確認你的部門任務已經完成。安全的領導統馭必須將人力資源極大化，進而協助你強化企業的安全性。

專業上成功的關鍵，是瞭解這些警訊，並知道如何去利用它們來重新進行世界級的資訊安全領導統馭。
溝通及聰明方法
身為一個安全管理者，你所做的事就是溝通：你與成員透過一對一會議在個人層次上互相連繫；透過較短的、頻繁的全體員工會議來分享資訊；並利用日常、延伸性會議來使每個人專心在同一件事上。想一下，這些會議全都是有關溝通，是吧？ 溝通取決於雙方交談的效率。溝通應該傾向於傳達資訊或指令，而不是獲取資訊或解決問題。假如不到三位同事，使用e-mail、電話或即時傳訊將會使溝通更有效率。假如會議需要不到一個小時，就不值得舉行；相反的透過寫e-mail將只需要讓你的同事花五分鐘去閱讀，如此將最大化你的時間。

想一下這場景，你的老闆詢問你有關新的DREADFUL.32X蠕蟲，但你卻啞口無言。你的同事花了很多時間閱讀有關弱點警告、病毒、垃圾郵件黑名單、微軟修補宣告等資訊，但在關鍵人物需要這些資訊的時候仍然得不到它。問題在於，雖然很多人花了很多時間在蒐集資訊，但是除了你之外就沒有人負責去傳播資訊。

不要讓這種關鍵溝通只是偶然發生。建立正常的溝通流程及機制讓職員可以遵守，讓某個員工負責散佈這些資訊，例如透過企業內網路或e-mail更新。額外的好處是，你的員工有更重要的事情要去完成時，將不會浪費時間在找尋資訊。

直接交付工作
你喜歡事情很快被完成：『我希望你針對新的線上交易系統，設定好防火牆』，馬上完成的念頭很難以抗拒。但是若你沒有根據你員工的資料來建立正常計畫，則是在給自己和公司幫倒忙？

急急忙忙的工作常常導致徒勞無功，還需要花費更多功夫來改善它。假如你沒有在開始之前清楚瞭解你所要做的，假如你不能對於要花兩到 |個星期去完成的事寫出兩頁的概述，你為什麼要做它？

適當規劃是管理一個有生產力團隊的關鍵。清楚的職權、可靠度及可測量的生產力均來自於此。無論這些興致勃勃的提議來自你的員工：『我想寫一段程式使Solaris系統設定自動化』或是來自管理階層：『我們要具體化我們的使用者身份鑑別資訊到單一目錄』，專案管理第一步便是提出一個簡潔執行概念，並指出解決方案選項、行動的方向及時間範圍。

大部分企業的目標產生，完全由上而下導向。這種方式適用於訂定策略目標、但是來到執行作業層次，則需透過與員工的協同合作來完成。依賴你的人去訂定可執行的計畫、以及截止期限，他們將很容易接受，因為這個計畫是透過雙方同意，而不是『就去做吧』。 團隊中不需要『個人』主義，但安全卻是『每個人』的責任。

不快樂的臉龐
你是否曾經早上走進辦公室面對了一大堆悶悶不樂的臉龐？你的員工似乎不太在乎管理階層是否滿意存取控制系統首次展示？你是否無意間聽到『我進辦公室、工作、然後回家』? 這些訊號都代表你的員工對工作沒有一點認同感。團隊的成就是好事，但優秀的專業人員仍然需要個人成就感。

團隊中可能不需要個人主義，但安全卻是每個人的責任。個人仍需有屬於自我的成就感、它可以鼓勵創造及提升自我進而增加生產力。

微觀管理
你是喜歡親身參與你員工活動的安全主管嗎？但這是壞事。適時支持、善於培養的管理者與事必親躬型的微觀管理者間存在一條明顯的界線。

詢問每天進度報告及猜測你的員工如何處理他們的工作，將腐蝕管理者及其員工間的信任，你也許認為你停留在最重要的事物，但實際上你在抑制創新及成功。員工會認為你的詢問是干擾而不是解決他們的問題，他們將等你提供答案 ，因為似乎只有你知道怎麼做才是對的。

對於某些管理者而言等到最後期限再行動是痛苦的，讓員工為其行為負責產生更多長期的效益。假如你的員工一開始就偏離主題且達不到關鍵最後期限，他們只能怪罪自己。

對於管理者，及需要去了解你的團隊在做什麼的人，在公司內部網路上為每一個專案建立進度追蹤文件。你將會贏得管理階層及同仁的心。

創新停滯
最後一次聽到你的員工，自願提供能節省時間和成本的想法是什麼時候？假如已經好久了，他們也許工作過度而沒時間進行創意思考，更不要說創新了。

有些公司對於培養創造力不遺餘力。例如，Google鼓勵他的員工花20%的時間（大約一個星期一天），在他們日常計畫之外思考如何幫助公司。Microsoft每年花費數百萬美元在 Microsoft Research，他最基本的電腦科學研究團隊。

不是每個安全管理者都能很大方的給其員工 『創意時間』，專用的研究時間常常帶來更節省費用的結果。實際而言，你可以設定輪值表每一季一個禮拜給單純的研究規劃，你可以讓個人暫時離開日常的工作，來找出新的創意。

缺乏人味
百分之百的效率和效能是有可能的。為了累計這種獲勝的比率，你只需要去應用一些創造性的人員管理。 找出個人及團隊的不同激勵方式，這些組合將促使整個團隊及個人主義者都受到鼓舞。有些人能在團體中表現良好，其他人則不行。透過給兩者不同的激勵，你將會緊緊扣住團隊。在一天的結束時，每個成員會有同樣的成就感及感激。 混合你的員工，讓應用程式開發者加入網路重新設計專案；弱點評估專家進入基礎設施團隊來提供駭客的看法；將你的身份管理師加入垃圾郵件專案。你將能利用每個人的力量及不同的角度來解決安全問題。運氣好的話，這樣的合作會刺激創新，而且你的員工會樂在其中。 同時，別忘了讚賞你員工的成就。一個簡單拍拍背的動作來肯定他們的努力，就足以表示你注意並感謝他們的工作，這將有助於鼓舞他們面對下一個任務。

不間斷的進步
有效能的安全管理者無法一夜之間產生。發展一個三到六個月的計畫來磨練你的安全風格；透過有形的機制來評估員工的表現而不是靠感覺；建立團隊精神並同時尊重團隊及你自己。 對於你投入的計畫、溝通及協調將會帶來明顯的效益：你將會看到夠好的結果，擁有夠安全的基礎設施及更了解員工的優缺點，引導你朝向更好的管理效率和效能。 尊敬並非來自於頭銜：它是透過智慧與汗水來贏得。你可以遵循以上這些警訊，透過有價值、有條理及人員發展系統來獲取。你將會擁有一個富生產力的團隊，及來自同事及經理的感謝及讚揚。

JAMES C. FOSTER, CISSP (jfoste24@csc.com), 是Computer Sciences Corp全球安全解決方案發展的代理主管同時也是 Information Security 經常的投稿者