多安全公司沒有研究、開發(fā)和實(shí)現(xiàn)各種各樣的項目框架不也運(yùn)營的還行么?那我們?yōu)槭裁催€要專門弄個團(tuán)隊來干這事兒呢?然而，“運(yùn)營得還行”本身就是答案的一部分。在缺乏可見后果的情況下，安全主管和從業(yè)員工需要遵循框架來更有效理解自己的工作。

[[179219]]

首先，得承認(rèn)信息安全是一門歷史不足30年的新興學(xué)科。與IT其他方面和非計算機(jī)相關(guān)產(chǎn)業(yè)相比，信息安全還只處于嬰兒期。不過，隨著這一行業(yè)的成熟發(fā)展，杰出的領(lǐng)導(dǎo)者們開始共享自己的成功與困難，發(fā)展出供其他人遵循的模式。這些模式從口耳相傳的話語，演變成了業(yè)界支持的正式框架。

安全框架就是為了給各種程序性安全機(jī)制的設(shè)計提供參考，以便確保我們能從全行業(yè)的成功和失敗經(jīng)驗中獲得益處。

制定框架與征求1000名密友(財富1000強(qiáng)公司)同意訂披薩很類似。制定旨在提供廣泛輔助的模型或框架，并非努力找出共同點(diǎn)來讓每個人都高興。而是努力定義一個能讓最少的人大為光火的框架?？梢栽O(shè)想一下負(fù)責(zé)組織賽跑的情形?；旧厦總€人對需要設(shè)置起點(diǎn)和終點(diǎn)都沒有異議，但中間的部分，可以爭論的地方就太多了。

那么，為什么框架是折磨安全公司的諸多問題的解呢?安全公司面臨的兩大挑戰(zhàn)，一是可復(fù)現(xiàn)性，二是標(biāo)桿管理。安全企業(yè)難以復(fù)現(xiàn)同時代公司及同行的成功——特別是每家企業(yè)都感覺像是獨(dú)一無二的雪花。標(biāo)桿管理是隨著高管們開始在行業(yè)內(nèi)交流經(jīng)驗而在業(yè)內(nèi)興起的東西。

試想一下在財富1000強(qiáng)公司里建立網(wǎng)絡(luò)威脅情報(CTI)項目的情形。該怎樣利用同行在醫(yī)療健康公司處得到的教訓(xùn)和經(jīng)驗，來設(shè)計對金融服務(wù)公司有效的CTI項目呢?另外，又該怎樣避免因產(chǎn)品驅(qū)動而創(chuàng)建的具有可互換組件的項目呢?答案是：實(shí)現(xiàn)既規(guī)定了每個CTI項目都需要的核心功能(做什么)，又留出單個用例具體實(shí)施細(xì)節(jié)(怎么做)的框架。這就在創(chuàng)建了靈活性的同時，又持有標(biāo)準(zhǔn)供多市場垂直行業(yè)進(jìn)行比較(標(biāo)桿管理)。

從結(jié)果起步的模型能讓人理解朝向的目標(biāo)，解決有效性問題?？梢钥缍x好的功能、核心和元素建立起一系列形成結(jié)果的能力。這些能力是從一些需要資源(人、過程、技術(shù))來運(yùn)營的活動中建立起來的。

如果你想要的結(jié)果是擊敗2016 F1賽車總冠軍車隊，你就需要一個框架。既然有了目標(biāo)，現(xiàn)在需要的就是獲得那些功能性元素，或者說，構(gòu)建磚塊。

基本構(gòu)建磚塊是車輪、引擎、車架、機(jī)師、工程師、老板、媒體關(guān)系和其他上百萬個組件。然后，可以開始搬磚了——拿機(jī)師舉個例子，要確保他們有能力在2.8秒內(nèi)換完4個輪子。為了擁有這種能力，你至少得要12名機(jī)師、車輪、氣動工具和其他東西。這些就是你的資源。最后，你還需要分析出該怎樣衡量是否已經(jīng)成功打敗該冠軍車隊的方法。

在現(xiàn)實(shí)世界中，度量似乎很簡單——上述案例中，跟蹤單圈計時便可知。但在數(shù)字程序開發(fā)的世界，潛在度量的迭代太多了，而它們之中又極少有表達(dá)性和可復(fù)現(xiàn)性都足以和業(yè)務(wù)相關(guān)的。

那么，怎樣打造一個有效的CTI項目呢?從確定你想要的結(jié)果開始。自此，你可以壘砌功能性構(gòu)建磚塊，找到你需要開發(fā)出哪些能力來支持你的結(jié)果。然后，草擬出構(gòu)建這些能力所需的活動和資源。最后，找出衡量評價的方法。就這么簡單。

然而，事情實(shí)際上并沒有敘述的那么簡單。拿出一個框架需要成千上萬小時對公司及其運(yùn)營的研究分析，然后再從這些仔細(xì)觀察和分析的數(shù)據(jù)中構(gòu)建出模型。不如去找一個符合自家公司項目要求，適合公司方向和特定需求的框架。找到這么一個框架，采納它，持續(xù)應(yīng)用之。今天開始應(yīng)用的框架，或許就是你明天調(diào)整預(yù)算需求、額外人員和促銷的途徑。

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】