志存高遠

事业有成

慈恩塔下题名处,十七人中最少年。

进入朝阳行业头部公司

成为领域专家

建立个人优势

  • 构建个人技术优势。在大多数公司,如果想拉开和同事的差距,必须得建立起自己的个人优势,也就是我有而他没有,同时这个优势能更好的让我完成工作。
    • 理解公司运作规则能让我更好的生存
    • 克服几个大多数人都存在的性格问题,你就会比大多数人要强:懒惰;注意力涣散;目光短浅,缺乏远见;及时满足,缺乏耐心(不愿意投入底层技术研究,总想找到速成术);避难趋易;缺乏耐心,急于求成(追去短期多巴胺刺激);缺乏自律;信息获取浅薄(消除模糊和未知);害怕风险,厌恶不确定性;
    • 例子:在工作那会,绝大部分安全从业人员都不会开发工作,都只会安全攻击技术,由于我是研发出身,导致我同时拥有安全和开发两个技能,在后面的安全想法落地为工具产品、漏洞的发现和修复、安全机制流程建设等方面都赢得了巨大优势,做事情的难度变的很低,一点点的努力就能有不错的结果。现在,安全和开发已经成为安全从业者必备的技能了,这时候我们要思考,新的技术优势是什么?
  • 找到长期工作动力。工作是我们一生中除了睡觉外花费时间最多的事情,如果每天上班像上坟,不敢想象后果会是怎么样。你是否有一个信念让你持续奋斗下去
    • 兴趣爱好,意义价值,升职加薪,恐惧愤怒。
    • 愤怒驱动:想证明自己。
    • 恐惧驱动:试用期、末位淘汰、差绩效、无晋升、优秀新人、备份机制、杀鸡儆猴。
    • 用人所长
    • 成就他人
    • 做自己喜欢的事情,迟早会赚比较多的钱。做喜欢的事情意味着你会投入比他人更多的时间,学习的动力更强,自然会更加擅长,达到一定高度后就能创造独特价值,就会获得对应收入。
    • 燕雀安知鸿鹄之志。
    • 英雄者,胸怀大志,腹有良策,有包藏宇宙之心,吞吐天地之志也。
    • 大丈夫处世,碌碌无为,与朽木腐草何异。
    • 当一个人心中有着更高的山峰想去攀登时,他就不会在意脚下的泥潭,他才可能用最平静的方式,去面对一般人难以忍受的痛苦。
    • 例子:我的工作动力来源于两部分,早期源于兴趣驱动工作,自己对网络安全的热爱使得自己能够每天凌晨睡觉持续一两年。后来成为管理者之后,工作动力源于未来我要创立自己的企业,所有的杂事都是未来要面对的,因此面对这些事情我并不会觉得厌烦。
    • 有信仰的人最可怕。
  • 做一个靠谱和值得信任的人
    • 赢得同事的信任。帮助同事。真正的专家不是摆出来的,而是在实际困难中体现出来的。
    • 赢得老板的信任
      • 把领导当做你的客户。在以前,我总觉得把事情做好,其它都不重要。但现实情况是,在如今的企业组织中,领导的权利和责任都很大,领导的管理范围比较大,这就导致在他有限的精力下,他会关注他视角下重要的事情,他并不能像上帝一样看清所有事情。而他又是几乎唯一那个对你的绩效、奖金、晋升等有直接决策权的人,你告诉我,你是领导你如何决定?
        • 解决部门(领导)的痛点问题。站在部门的视角,看看有哪些痛点问题,在这些事情上做出成绩,你所做的事情对部门的贡献决定了你的价值程度。
          • 例子:在网商银行四年,由于我有安全架构师的身份,让我可以更多从部门视角看待风险和事情,继而决定资源投入那些事情上。这是四年高绩效的基础,也是能得到领导的信任的前提。
      • 每一次沟通展现你的专业性。对于绝大部分人来说,并不会经常和领导沟通,从领导的视角没办法对你的印象是全面客观的。因此每一次和领导的沟通,都需要细致、专业。长此以外,方能赢得领导信任。
        • 例子:一次是刚来蚂蚁没多久,参与HW时协作各方解决风险时有几次和其它安全域的领导交互。后来我们一个参与晋升P8的同学去答辩,那个领导刚好是评委,他为参与晋升的同学,我为什么没来参与晋升?
        • 例子:另外一次是作为我直属领导的备份,有过少量几次给集团领导汇报和交流。后来支付宝寻找CISO人选,我就被集团多个领导推荐过来。所有人都觉得我和集团领导关系好,殊不知我们之间就那有限的几次交流。
      • 事事有结论,敢于承担错误,错误不犯第二次

试用期快速落地

  • 如何快速了解公司、业务以及团队。新人进入一个新的环境,首先应该帮助他快速融入团队。作为主管并不一定有足够的时间去辅导,同时他也会有很多事情并不一定都愿意来打扰主管。为他安排一个靠谱的师兄,能够在融入过程中起到很大作用。师兄除了在做事过程中辅导同学,同时也可以作为生活中的帮手,带新人熟悉公司环境,让团队的人尽早认识自己,了解自己的背景也有助于后续的工作开展。但同时要注意,一方面可以突出自己之前的经验,但同时这些经验在后续的工作中也可能成为自己的拖累,尤其是从小公司到大公司会越加明显,原有的经验不一定现在还管用,需要调整好心态。想要更好的融入一家公司,最好的办法是从最开始的时候一起经历。既然错过了开头,那就需要去了解,了解这家公司的业务、历史和文化,去适应这家公司的文化。同时也要去了解以后每天会一起工作的团队同事,了解每个人的背景和当前的职责。
  • 新人试用期目标。确定新人的试用期目标是一件严肃且谨慎的事情,新人往往是过五关斩六将到了现在阶段。试用期的目标会决定他的去留,甚至未来的职业发展路径。作为主管,首先应该弄清楚新人的优势,通过更加平等开放的氛围,比如在咖啡馆或者吃饭的方式,让彼此放松愿意袒露心声,了解新人过往经历,包括之前的公司、岗位、项目经历、技术栈,弄清楚擅长的和不擅长的。甚至工作之外的情况,比如家庭、爱好等。了解新人的初心和期望,为什么加入这家公司?为什么想来这个团队?期待未来怎么样?其次,可以跟新人讲清楚当前团队的目标、做法和项目以及未来规划,让他对整体有一个比较清晰的了解。同时根据新人的情况,可以直接安排具体的方向和事情,也可以提供几个合适的方向供其选择,很多时候合适的人做合适的事情才能发挥更大的效果。设定目标的时候要考虑试用期实际的工作时间,很多公司在试用期会有大量新人培训、学习、考试的时间,这部分也可以作为目标的一部分。对于技术侧的目标,应当合理、清晰明确且可量化。主管核心职责是让员工能不断成长,针对新人的不足部分,也应当在这个时候提出期待,在试用期期间看到变化。
  • 持续对焦跟进进展。一切的开始是最难的,所以应当从拆解的小任务开始,辅导新人拿到一些阶段性的结果。同时让新人通过日报、周报的形式及时同步进展和风险,及时发现问题。
  • 试用期总结与转正答辩
    • 总结:试用期总结是对自己过去几个月的过程、结果做一个总结,主体是围绕对目标的拆解、对问题的定义、过程中的思考、方案的完备性、钻研的深入度、最终的结果价值,以及未来的思考规划,同时也可以讲讲自己的感受和收获。
    • 答辩:为新人组织一场正式的试用期转正答辩,邀请相关方参与作为评委。在限定的时间内,让新人进行述职。根据各位评委问题进行答辩,最后收集各位评委的结果和建议,做最后的总结反馈,包括对工作的肯定、建议以及未来的期待。给新人祝贺、拍照等有仪式感的方式。经历了整个试用期后,新人对所解决的问题领域会有很多经验,可以在团队内部做一次公开分享。
    • 面试官常见问题:价值、影响、未来发展。反直觉细节问题、目标清晰、问题解决结果、事情多寡、独特价值、同类产品差异、未来思考。
    • 试用期常见问题:事情不匹配;多件事情并行,不聚焦;自己在其中并没有发挥独特价值;便执行;事业狭窄,不了解内外部同类产品情况;缺少未来思考;焦虑来源于不确定性(目标/路径/资源);与主管对焦,不要随意否定当前事情,你不了解过往;师兄是这个组织中真正在帮你的人,照着师兄少说多做。

敢于挑战痛点问题

  • 如何设定网络安全目标。一个好的目标是事情成败的关键,在出现需要抉择的路口能指引我们朝着正确的方向去努力。
    • 目标来自哪里?很多情况下我们面临的问题是不明确的,老板的要求是不具体的,需要我们自己去寻找目标。多数情况下,我们的目标来自于上级老板目标的拆解。要拆解老板的目标,首先得理解上级方向、目标和策略,找准自己团队的定位和独特价值。与主管对焦其目标背后的意图,同时也需要了解各个横向团队和上下游的的规划,以及回过头看看做完这些事情对实际关键风险能起到控制作用。在确定目标之前,需要回归初心,想想你在团队中到底扮演了什么样的角色?是在为谁服务?能发挥什么价值?目标设定第一原则是从客户价值出发对于安全团队来说,脱离风险的目标设定是一切灾难的源头。我见过太多安全团队其实在自娱自乐,原因在于多数公司老板是不懂安全的,安全的事情基本上安全负责人说了算,导致如果愿景和目标没想清楚就会出现所做的事情对实际风险控制没有太大帮助,一旦遇到针对性的高级威胁所有的工作形同虚设。一旦目标错了后续一切都错了,因此在目标设定上多花些时间想清楚是值得的,此时的慢是为了后续的快。
    • 如何设定?以应用安全团队为例,可以从风险角度出发,打开脑洞想一想我们期望将风险控制到什么程度。在此之前,我们需要先暂时抛弃行业的一些通用做法,惯性思维和先前经验,这些往往会将我们思想画地为牢。假设目标是:没有漏洞?没有漏洞不太可能,我们知道有人写代码就会产生漏洞。有漏洞但不能被利用?安全本质是对抗,任何防护都有可能被绕过。有漏洞但都被我们发现了?发现必然存在风险敞口。有漏洞都被我们上线前发现了?发现意味着必然存在遗漏。很多企业安全体系建设会有类似“重检测,快响应”的指导思想,这类做法有其优势,安全团队自行即可做好,可不足之处也非常明显,存在遗漏和风险敞口。检测必然存在遗漏,上线后面向的往往是全世界的攻击者,你和他们是同一起跑线,比谁更先挖出漏洞。但上线前可以将整体风险敞口缩小至企业内。这其中的风险对于任何以结果出发的企业来讲都是不可接受的。不断的发现和修复好像也有问题?需要的让写出来的漏洞不断减少,所以规避好于发现。这里提到的是“规避”而非“发现”,“发现”代表的是上线前一部分工作,此外上线前还有诸如意识提升、安全防护组件等工作,“规避”更能体现这些工作期望达成的目标。当通过上面的一次次的推敲后,会发现思路和路线逐渐清晰起来。此时可通过一句话直白的描述目标,这样大家就能一听就懂并且能快速记住:所有的安全风险在上线前高效规避,零软件安全风险能被利用。前半句是期望将风险规避在上线前,这和建设阶段相关,一旦风险上线后再去发现、感知、止血就必然存在遗漏和风险敞口,这对于风险敏感型企业是不可承受的,这是在引导后续的安全建设,为后续的安全建设指明方向。后半句是当有风险遗漏后也无法利用成功的,建设期间必然还是会有风险遗漏到线上,因此需要通过各种方法来解决各种遗漏的风险被利用的可能。这其实就是我们这个部门的愿景,是指引我们长期建设的方向。我们需要根据企业实际的情况,围绕愿景确定短期目标。不同公司不同阶段距离这个愿景的差距也不一样,也许距离还很遥远,也许快接近了。在这里我们将其定为两个O,多数安全风险在上线前高效规避,极少软件安全风险可被利用。可以看到这个目标是很有挑战性的,但也能激发大家的斗志,通过各种创新的方式去达成。但要注意不能照搬上级的O或简单的对上级的O进行数字上的拆解。这里可以看到目标有几个特性,用一句话清晰明确的体现客户价值,有挑战也有方向感,同时一层层拆解后的目标也有延续性。
    • OKR:接下来我将使用OKR(Objectives and Key Results,目标与关键结果)来描述目标设定,主要分为O(Objectives,目标)和KR(Key Results,关键结果)两步,O是指我们期望达成什么样的状态。KR是指哪些结果达成后能表明O完成了。确定了目标后,需要进一步拆解当哪些情况达到了就说明目标完成了,也就是确定KR(Key Results,关键结果)。KR最重要的点是看这些都达成了是否就能支撑O的完成,需要拆分到最细粒度且可衡量,但并非事无巨细的罗列,另外描述上要清晰易懂,有过程和结果,符合SMART原则。同时不宜过多,建议不超过5个。O:多数安全风险上线前高效规避。KR1:上线前高效发现绝大多数风险(上线前发现率>=NN%,自动化发现率>=NN%,公网接口评估率NN%,已发现风险0遗漏上线)KR2:重难点风险攻克(水平越权上线前遗漏N,逻辑漏洞遗漏<=N)KR3:整体漏洞趋势向好(千行代码漏洞率<=千分之N)。既然希望多数的安全风险上线前高效规避,首先多数风险应该是上线前被发现解决的,因此上线前漏洞发现率要有一个指标。但如果只有这个指标就会导致大量的人肉渗透测试工作,因此上线前的漏洞发现也需要自动化比例的。在不同阶段将面对不同的风险类型,因此对于其中的重难点风险可以单拎出来专项跟进,比如水平越权。虽然水平越权的数据也会反映在上线前发现、自动化发现率指标上,但从目标达成上来看,拎出来能获得更好的效果。整体风险都在上线前发现了,重难点风险也已经解决了,这还不够。这会导致陷入不断的漏洞发现、修复的循环,因此必须还要有一个正向指标来牵引,让漏洞越来越少。多数漏洞的产生都源自于写代码,那从整体来看相对新写出来的代码所产生的漏洞应该是相对的,因此可以使用千行代码漏洞率来看整体的漏洞趋势是否向好。O:极少软件安全风险能被利用KR1:绝大多数安全风险自主发现(自动化发现率>=NN%,可造成入侵、数据泄漏、资金损失的漏洞<=N),按时修复漏洞(修复率NNN%,修复时效达成率NNN%)KR2:高频持续推动外部机构检验(举办N次SRC高倍奖励众测,N次外部顶级厂商攻击,主动参加各类攻防比赛)KR3:及时全面应急Nday漏洞(应急平均时间<=Nh,应急遗漏次数<=N)KR4:增强高危0day漏洞防护(RASP可信防护NNN%,禁外联NNN%,三方软件流量可信覆盖率>=NNN%,依赖包投毒遗漏<=N,外采应用高危漏洞N遗漏)看完上线前,再看开上线后的。我们知道理论上必然存在各种遗漏到上线的风险,因此如何能保证风险上线了也无法被利用呢?第一部分就是让多数风险都是自主发现并解决掉,也就是自主发现率。同时当漏洞比较多的时候,还应该设定遗漏漏洞的绝对值,对那些可造成入侵、数据泄漏、资金损失的漏洞要小于几个。自主发现率是依赖外部人员挖掘漏洞的,那就有可能外部人员刚好没挖指标就躺着达成了。因此需要高频持续推动外部机构进行检验。可以通过举办多次SRC活动,并且根据建设阶段来设置高倍奖励来更大激发白帽子的兴趣。此外还可以通过购买外部顶级安全厂商的渗透测试和红蓝对抗服务。有条件的自己组建安全蓝军就更好了,同时各种免费的外部红蓝演练活动,比如各等级的HW要主动参与。除了上面我们自己写出的代码产生的漏洞外,我们所使用的各类软件、框架、组件依赖包等都会产生漏洞,其中一部分各类平台会有预警和分析,我们需要做的是确保及时的发现这类情报,并排查影响范围、止血以及推动修复等工作。但情报的覆盖范围是有限的,一些安装依赖包时触发后门这类高风险并没有可靠的情报源,针对此部分可通过设定相关指标来牵引安全建设。最后一部分是0day,这部分的防御确实很难,但始终要面对的。通过推动可信级的RASP覆盖所有应用来防止高危型的0day,并针对所有应用禁止回联外网,来缓解0day的风险。最后对于一些采购的三方软件,无法覆盖RASP,于是通过为其定制请求参数过滤,实现请求可信,来降低各类常见高危漏洞的防护,同时将这些外采应用都隔离起来,网络访问最小化,避免出现问题后影响范围扩大,并通过采购流程审批节点、非标机器申请等方式管控住增量的外采应用。
    • 追求过程还是追求结果:在制定KR时往往有一个误区,往往大家更多的在追求结果指标,而非过程指标。但实际情况时我们应该去定可以控制的指标,而不是结果指标。以上面提到的漏洞自主发现率为例,我们期望多数漏洞都是自己发现的,于是设定通过一个终极目标漏洞自主发现率作为KR来衡量安全漏洞发现工作的好坏。如果单单以这个作为最终指标,就可能产生对于外部发现的漏洞被低估或给的奖励少,甚至不主动举办安全众测活动。会发现影响这个指标的因素很多,也许我们什么都不做,也没有外部白帽子挖到我们漏洞,那指标也达成了。所以对于达成自主发现率那一定需要有支撑它的过程指标,我们会关注到底那些KR可以支撑自主发现率,比如公网每一个接口是否都进行了渗透测试、各类扫描器对公网漏洞是否都能及时有效的发现、每一次nday排查是否覆盖了所有公网应用、是否有邀请外部各种白帽子、安全公司进行高强度检验来验证最终效果等。所以我们应该关注驱动一件事情最核心的要素,而不是关注事情发生后的效果
    • OKR和KPI区别。两者本质都是为了促进目标达成。其最大的区别在于是否为目标导向,在KPI的模式下,更加侧重的是对结果的考核,看最终的衡量指标是否达成了。这会导致一些问题,比如设置目标的时候要求没那么高、指标定的没那么合理,或是采取一些取巧的方式去达成,甚至使用一些损害用户价值的方式去实现。而OKR则是以目标为出发点,并通过对关键结果的描述来判断最终目标是否达成,它能够让全员参与逐级从上到下分解,也可以从下到上对焦。举例来说,KPI有点像运动裁判,他会拿着秒表关注你最终的成绩。OKR有点像运动教练,也会关注你的成绩,但同时更加关注你的运动方式、运动强度、饮食作息等是否能支撑你拿到好的成绩。听着好像是OKR比KPI要好,那为何之前阿里巴巴会使用KPI呢?大家都知道阿里的价值观,其中就有客户第一,以及对管理者的要求也会有客户价值优先的体现。也就是说在之前阿里依靠的是管理成熟度和文化价值观来驱动大家设立正确的KPI,但随着新进的管理者比例提高,管理成熟度变低的同时公司文化传递效率也存在问题,所以逐步通过OKR这类工具来支撑。同时也能够提升组织的运转效率。但有一点要说明,不同公司对于OKR的理解和实施都不太一样,阿里这边目前阶段更多的是通过OKR和KPI融合的方式。
    • 上下左右对焦目标。定好OKR后,还需要去持续与上下左右对焦。我们的OKR是否能有效的支撑上级的O。能影响我们OKR的相关方是否知道,需要谁的支持时我们OKR是否在对方OKR中。这其中对于直接参与OKR的人员需要就行宣讲,听得懂目标,记得住目标,同时对目标的理解一致,让每个人都能找到自己的位置,知道自己的职责和价值,让参与的人员知道目标达成后对公司的价值,能让我们的安全达到一个新的水位。对焦完之后需要跟进好OKR,这就需要制定达成策略以及里程碑制定,确定一号位和各子域负责人,并持续跟踪。
  • 做正确的事情,用正确的方法
  • 找到并聚焦痛点问题,敢于挑战高目标,并去做到极致
    • 第一性原理:物理学是铁律,其它都是建议
    • 找到重点已经比多数人优秀了
      • 什么是重要的事情:能带来很大的好处或坏处、影响面广、延续性强
      • 并不存在每件事都很重要
      • 并不需要同时处理多件事,也不用让每件事都做到最好
    • 做正确的事情而非容易的事情
    • 每件事情从完成到完美,先做到某个细分的最好,先做好60分,再努力100分。蚂蚁新人培训班上,有新来的同学问我有什么经验分享给他们?我回想了这么多年,如果只说一条的经验的话,就是把每件事做到最好,做到你自己认为的最好,做到你团队内最好,做到公司做好,做到行业最好。我没有其他人的名校、也没有很多人的天赋,如今更没法和别人拼体力。但我知道深入每一件事,比别人多思考一些,多行动一些,在现有基础上做的再好一些,就能有不一样的效果。
    • 充分利用有限的资源,赋予无限的创意思维,即使只有一两点的与众不同,也可以取得巨大成功
    • 不断试错改进
    • 例子:在当年,开源很火爆,导致GitHub敏感信息泄漏的问题比较突出,当时已经有好几个开源工具能扫描发现这个问题。但我却发现,他们有一个非常根本的问题没解决好:发现时效。大部分要几分钟甚至十几分钟,这个时间攻击者可能都已经发现这个风险并利用完了。于是自己研究了下GitHub的API频率和搜索匹配机制,很快就写出来了GSIL,并拿着漏洞平台上的企业做测试和调优,几乎可以做到秒级别的发现,拿着这一个漏洞类型发现了国内外各家企业大量代码泄漏风险,每个月稳定一万多收入。在这个例子中,我的挖洞技术并不比那些白帽子好,我的研发技术并不比那些工程师好,但我能发现里面的机会点,并不断使用反馈优化每个细节做到最好。
    • 例子:0day防御一直是安全行业的难题,当我们希望能攻坚这个问题时,非常多的人第一反应是不可能。当我们基于RASP实现了针对应用的底层命令执行、文件访问、网络访问、JNI、字节码、序列化等行为进行刻画,实现从原来基于攻击特征转变为了只运行应用执行预期内的行为,在大范围覆盖后,真的能免疫之前那些fastjson、log4j的通杀漏洞。绝大部分人听到这个事情后,第一反应是成本非常高吧,但实际这是我们半个同学完成的事情。
  • 做好时间管理。规划好你的日程。当事情复杂程度超过了个人能力时,用清单管理关键节点
    • 要事优先
    • 以终为始
  • 如何跟进事情
    • 意义:共同对焦目标和价值,最大限度激发员工的参与感和内在动力,及早发现问题解决问题。
    • 跟进关键任务:问进展、问风险、给建议、做辅导。
    • 多给空间多观察:多放手给员工完成规划的时间和空间,少干预。在用的过程中养人,在养的过程中用人。
    • 多沟通:1v1沟通:加强与同学的信任和了解。团队沟通:促进团队彼此的了解和共识。形式要接地气:不假大空、不矫揉造作、没有架子、自然就好、直接、直言有讳。内容要讲人话:简单、言简意赅、清楚明确。心态要视人为人:开放、待人要真诚、真情实感、有原则、捍卫自己的观点。向上沟通:有胆量。
    • 跟进时的常见误区:* 到了deadline才检查,过程中不跟进 * 不讲why,不给方法 * 关注how much,而不是how * 把追结果当做追过程 * 不够持续,随性工作 * 过渡的干预和打断会让员工束手束脚,抓重点 * 不影响项目推进的情况下,允许员工犯小错
  • 如何复盘:用好的复盘挖根源、快复制,根据状况及时调整策略、任务、分工,做好上传下递,开启新一轮策略打法沟通共识
    • 何时需复盘?业务进展理想,数据漂亮时要复盘:总结经验和方法,复制到更多的团队和业务,总结规律,形成流程,转化为团队的财富。业务进展不理想,与预期有偏差要复盘:追其根源,快速调优和改善,避免同样的错误再发生。小事及时复盘:行动结束或问题发生,及时复盘,制定改进方案并落实。大事阶段性复盘:大的项目要阶段性复盘(每周、每两周)对焦目标,策略及时调整。事后全面复盘:大项目或大战役结束后要进行总结复盘,找到规律,汲取教训
    • 复盘原则:* 希望达成什么样的目的,比如让相关方重视相关问题 * 要确定有什么结论和action,action要明确到人和时间 * 涉及的相关同学要拉齐,要明确大家能到场 * 拉上大领导对事件就行表态,让大家意识和重视程度更高 * 可以事前分别跟各方对齐各类事情,避免会上争论,提高开会效率 * 讲的内容要让参会的各方都能听懂

拿到结果

  • 平衡工作与生活
    • 让自己始终处在舒适区边缘
    • 工作时注意留点时间休息,比如下午三四点,避免下班后觉得没有全在工作没有个人时间,导致熬夜

沟通协作

  • 行动起来,不管结果怎么样,先尝试去沟通。沟通的最大问题,我们总想当然的认为已经沟通了。如果面对关键问题去逃避,后续工作和生活都会一团糟。不确定性中也有确定性。
  • 坦诚友善。沟通时,我们总是会下意识的以祖先面对危险时最原始的应对方式,暴力对抗或转身而逃,而不是采取机智的说服和友善的关注来解决问题。成功对话的关键在于自由坦诚的交流,双方愿意表达自己的看法、分享自己的感受、说出自己的猜测,即使表达的是充满争议或不受欢迎的,他们仍然愿意积极分享。感性的东西会让我们感受到真情流露,感同身受,会有更好的结果
  • 沟通要永远关注自己真正的目的。不要把全部希望寄托在他人身上。
  • 说服别人应该用利益而非理性。让一下;小心开水烫;吃不完,给你们一些;换季,吃水果补充水分。便宜点,质量你看;便宜点,实惠多带朋友来买;不要冰,不然差评;不能喝凉的,给到给好评;清华北大的家长往这边走走
    • 先理解别人,再被人理解,从倾听开始
      • 事实、观点、立场、信仰。
      • 思考、感受他人内心所想,并以此为逻辑起点展开自己的推论和行动
      • 拥有其相关经历的,想象当时经历时是什么感受
      • 没有经历过的可以临时体验下
      • 无法体验的就找有经验的人帮助
      • 读史书应该把自己想象成书中人,会怎么做。现实中遇到事情时,历史的人会怎么做。
      • 如果我是他,我会怎么样
      • 像个外人一样观察自己
      • 观察身边某个人喜欢什么
      • 全局分析、客观事实、感性直觉、乐观思考、保守行事、创新思维
    • 让别人能理解你说的话。用大家熟知的比喻去解释一些复杂的问题,比如停车场停车和速度问题。不要说在吗?一句话清楚你是谁,背景是什么,你需要做什么。

    沉淀、总结及改进

    • 持续沉淀、总结与改进
      • 信息可沉淀为知识
      • 听 < 阅读 < 看 < 演示 < 讨论 < 实践 < 教授给他人
      • 学会把别人的思考变成自己的
      • 能不能用简单的话去把所学习的东西介绍清楚
      • 理解了本质才能更容易去打比方
      • 获取一手知识
      • 知识点关联成知识体系
      • 自己实践中领悟出来的道理才是自己的
      • 你时间、精力、金钱投入在哪里,你未来就会成为什么样的人。我们总是高估短期能力,低谷长期能力。
      • 莫愁前路无知己,天下谁人不识君。
    • 总结汇报
      • 不要报喜不报忧,敢于说真话
      • 每一次汇报是工作过程中少数几次获得他人认可的机会,需要做到最好。
      • 月报、半年/年度总结
      • 贵人:让自己变得有价值,如此才能让自己遇到更多有价值的人和事
      • 具像化
        • 重要与紧急
        • 死亡日历
      • 演讲
        • 问一个大家关心的问题
        • 令人震惊的事实
        • 给人叙述故事的方式
        • 避免使用口头语:这个、那个、嗯、额等

    绩效、奖金及晋升

    • 绩效与奖金
      • 绩效的评估与沟通
      • 过程很努力不一定就有好的结果,很有可能努力的方向或方式错了,选择好最优方案去拿到好的结果,所以不用为了加班而加班,拿到好的结果是最好的努力。
      • 如何持续拿到好的绩效
      • 正确看待工资、奖金、红包、股票以及晋升

    晋升的经验与教训

    作为员工与管理者的双重身份,我既要考虑自己的晋升,也要为团队成员的晋升做好规划。从最初的业余白帽子到如今的CISO,这些年的职业生涯经历了许多高光时刻,也有过灰暗时期。晋升过程中,我踩了不少坑,多么希望有人能指引我,少走弯路。

    行业增长放缓与个人晋升诉求之间的矛盾互联网行业增长放缓。整个互联网2.0高速红利期已完全逝去,已进入存量竞争阶段,再也不是以前那种随便开拓一个方向就能赚的盆满钵满。金融繁荣的前车之鉴。美国川普和拜登之间的矛盾,本质上因为过去几十年美国的货币宽松政策下,资产收益远高于劳动收益,导致贫富差距加剧。叠加制造业外迁,经济从工业转向虚拟行业,特别是信息服务和金融业,导致结构性和地域性的贫富差距加剧,最后产生无法融合的大割裂和阶级对立,最后造成社会和政治动荡。深化金融行业的改革短期内进一步加剧压力。在共同富裕的背景下,在金融行业实行包括去杠杆、资本充足率、利率市场化、外资准入等措施。金融行业企业的竞争加剧、利润收缩,虽然长期来看能够有更好的市场透明度和效率的提升,有助于防范系统性金融风险,维护金融体系的稳定。之前各大的金融企业被爆出员工高薪情况,也在逐步被改变,所以近期出现中金等金融企业大幅降薪、平安银行裁撤上海分部等事件。互联网早期的晋升制度已不再适用。那这和晋升的关系是什么呢?国内多数互联网公司都是从曾经那段互联网高速红利期,对于的组织制度都是在那个时间配套建设的。如今进入存量竞争阶段,这套组织制度已不再适应当前的业务发展。每个员工在工作几年后,都会有晋升诉求。互联网企业中得到认可的两条主要路径是好绩效与晋升。晋升是一个统一的标准,它要求你有与下一层级对应的能力和结果,对于高层级的还需要有对应的岗位。比如你是一个P7,你所管理的团队和业务需要符合一个P8的要求,才有晋升的可能,这也是为什么P7升P8很难的原因之一。在业务高速增长的时候,会从上到下得到快速晋升。比如某个业务团队技术负责人原本是P9,后来该业务迎来爆发发展,随着业务规模与增速的提升,该负责人就会晋升P10,这样就会创造出很多P9/8/7/6的岗位来承载需要晋升的人,对应他的所有下属都有可能扩充人员,也会晋升到下一层级。但当前这样爆发的业务已经非常少了,大部分业务都在维持存量阶段。业务如果没有太大增长,就不会有大量人员晋升。但大部分员工都还是有晋升诉求的,这时候就会出现内卷,创造拆分业务、新岗位、新项目、新口径,来增加更多岗位。所有人的绩效都很好,可公司的业务增速还是很缓慢,所有人的目标都完成了,公司的目标没完成。进入机会有限、资源有限,而且已经不再是努力就一定能晋升,这就会导致员工体感上的不适和情绪,但这些情绪还没法在部门内释放掉(这里会涉及另外一个问题,管理者权力过大)。

    个人和公司不一致的晋升目标对于公司来说,晋升是为了给公司未来选拔人才,是为了建设完善公司人才梯队,是为了选合适的人成事。公司关于晋升做的所有事情都围绕这个目标出发,一定不是为了让个人更加容易晋升而设定的对于个人来说,晋升是为了认可、更好的薪资待遇、更大的权力与团队。更显著的认可:晋升成功代表公司对自己的认可,晋升的层级就像是毕业时的学历,不需要去给人解释,在公司内部甚至外部都能得到对应的认可。更高的薪资以及薪资上限:每个层级有一个大致的薪资区间,晋升成功对应更高的薪资上限,未来每年好绩效的前提下不会被所在层级薪资区间所限制住。更大的权力:比如绩效决定权、薪资调整权、奖金分配权、招聘终面权限、某些权限无需申请。更高的福利:更多的假期、更高的差旅标准等等。更高的岗位和更大的责任:往往层级和岗位是两回事,但一般更高的层级对应更高的岗位。意味着需要承担更大的责任和团队,也拥有更高的话语权、决策权以及资源分配权力。拥有这些后,可以实现发展自己的专业领域。同时对外有更大的影响力,更多的人脉关系。更广的职业前景,未来跳槽更直接的认可以及涨薪。

    超预期的结果与下一层级的能力是晋升的基础条件。好结果和你的关联性。和传统认知不一致的点在于,并不是拿到好的结果就能晋升,在互联网发展早期,谁去做新业务都可能大概率拿到好的结果。但现在越来越看重好结果和你的关系,是否有体现出独特价值。清晰的知道下一层级的能力。对于P5来说,专业扎实能够高效做好执行者。对于P6来说,专业突出,能够独当一面。对于P7来说,专业精深,系统思考,是领域专家。对于P8来说,视野开阔,深度和广度都能很不错。对于P9来说,深度广度高度缺一不可,要有无中生有的能力。对于8、9来说,核心的前提是岗位与层级的匹配程度。同样,拥有下一层级的能力并不意味着可以晋升,得同时拿到超出预期的结果。晋升的理想状态是水到渠成。晋升应该是水到渠成,是令人信服、无争议、无异议的,晋升对的人是能够向团队传递正向导向。晋升应该是对过去的认可,不是奖励、人情、留人手段。是对未来的期待,是要承担更大的责任与挑战。

    底层级需要有可行路径,高层级需要关注岗位的匹配度。可实现的晋升路径。主管经验更加丰富,能够预判事情能有什么样的成果。每个人是否能够晋升,应该是在主管的规划中的。应该确保每个人的事情努力后都能有晋升的可能。你所在岗位与负责的事情是否足以支撑你前往下一层级?对于P8及以上层级,往往会在业务没有大突破的情况下,会看与岗位的匹配程度,这条隐性规则会成为晋升的默认前提条件。岗位与层级是有对应关系的。你有见过不带人的高P吗?有,但非常非常少,在以业务发展优先的互联网企业,对于绝大部分的人来说不是一条合适的上升路径。我在独角兽企业时,从白帽子到安全负责人的晋升路径都特别顺利。自从到了大厂后,五年没有晋升,核心就在于没有下一层级的岗位。在蚂蚁集团内部,一般某个公司的安全负责人是P9的岗位,细分安全方向负责人是P8的岗位。直到转来支付宝后,一年时间就升了两级。

    往往内部晋升比招聘要更难。晋升的路径主要有两条,外部招聘与内部晋升。招聘场往往是一到两次技术面,而且面试官层级递增。而晋升场你的评委都是技术面,而且都是高层级。招聘场往往是给自己选人,往往受急迫程度、匹配程度影响。晋升场往往是给公司选人,受这些因素影响较小。因此会出现一个有趣的现象,有些人的晋升路径是通过频繁跳槽实现。

    一些晋升答辩的经验。晋升评审是一个机制,机制就有他的运转逻辑,有逻辑就有是与非,也就有他的弊端。一切的内容都是围绕体现下一层级的能力和超预期的结果。不需要堆砌事情,晋升讲清楚最多三件极具代表该层级能力的事情即可,明确挑战难点。辅以思考,体现独特价值。项目价值,客观量化数据。横向对比。未来思考与计划。不要说不擅长总结,这意味着你对事情的了解不够清楚。提前试讲,更加自信。了解评委可能关心的问题,并提前做好准备。并不是所有评委都认识你,让评委在半小时内的演讲中无法客观了解你的能力。就像应聘一样,要辅以一些客观的背景,让对方快速了解你之前的在学校、企业与职位、结果与绩效等信息。无法一个小时客观看到所有信息:在最开始一页讲清楚你的结果。评委每天要面对大量的晋升评审,无法聚精会神的听完你的每一页。总结所有的结果在一页,并放在最前面,先记住结果,再看怎么做。晋升是你工作过程中最重要的事情之一,应当作为最高优先级事项,去投入在提名、材料准备、答辩等环节中。找到那些晋升成功的人取经,了解他们曾经的流程、问题、评委等,最好是拿到他们当时晋升的材料进行学习,这样至少能保证不会在一些常见问题上犯错。找到你的老板、高层级同事给你的材料提建议。让日常合作伙伴看到你的专业能力,部分层级晋升时需要邀请合作伙伴360环评。晋升的人选往往是能够持续做出超期预期的结果,践行公司价值观,在团队中有正向影响,同时必须还有发展潜力(很多35岁的人却少潜力)。组织是否需要;岗位是否匹配;绩效是否足够好;能力是否足够强;未来是否能承担更大职责;

    35岁还没到P8怎么办?很多人会焦虑自己年纪大了,还没晋升到管理层。晋升到管理层后会更加焦虑。每个人的情况并不一样,我走过的路并不一定适合别人。我其实很难感同身受去讲年纪大还没晋升成功的经验,但我却清晰的知道晋升到管理层只会让你更加焦虑。原先作为二把手的时候,只需要带着大家做好事情就好。成为一号位后,才知道原来一号位替你挡了那么多事情。层级越高,人越少,标准更严格,竞争更激烈,好绩效越难拿。低层级的好绩效和高一层级的一般绩效所拿到的薪资差别不会特别大,但高层级的压力,体力、脑力、心力的付出多的可不是一点。充分强化自己最有优势的点。30几岁的正是成家立业的时候,不应该像20几岁一样拼体力般去做事情,要发现和挖掘自己独特的优势并强化它,做到万里挑一,做到行业最佳,你就可以享受它带来的红利,抵消其他的不足,甚至还有很多剩余价值。拿支付宝的安全岗位来说,你如果是公司所有安全人员中最了解支付业务的安全性,你的不可替代性就非常高,裁你的可能性就非常低。同时你能更高效的发现和处置各种风险,拿到更好的结果,更快的去晋升。努力很重要,但机会更重要。在以前,我会认为只要自己能力足够强,是不存在晋升不上去的情况,可现实告诉我们不是这样的。假如你在错误的时间进入团队(比如下半年,那当年至少没有好绩效,就算第二年有好绩效也有可能比不过那些连续好绩效的),跟着错误的老板(老板本身没有好的规划,所作的事情也不会更上层老板重视,他团队所获得的晋升名额也会减少),在错误的位置(你做的事情根本没发挥出你的能力),做着错误的项目(这项目可能很难出结果),就算做出花来也有可能无法晋升。虽然目前各互联网企业都没有显性年龄歧视,但无形中的潜规则是不可否认的。35岁还没有进入基层管理岗位(P8),那之后的晋升难度会更大,离职去其他互联网公司的难度也更大(既不是管理又大于35岁),公司更容易找到35岁以下能力也很强的人。因此,要抓住那些可能让你晋升到下一级的机会,这个可能会出现在有不错的新岗位、新项目等。做好随时可以离开的准备。裁员有很多种情况,有能力不足跟不上的常态淘汰,也有部门合并导致的冗余裁员,还有公司整体业务发展不行或者某个业务线不行而进行的无差别裁员。无论从哪种情况来看,我这几年被裁的概率都很低,但我从不把命运寄托在外部,更不想去赌公司不会裁我,我的方式是让自己做好随时被裁的准备。从心里上,工作十多年来,也希望能够停下来休整一段时间,去做做除了安全以外热爱的事情,比如自驾环游中国、陪陪家人过过慢节奏生活。从经济上,提前还完所有债务(多数人的债务主要是房车车子),降低日常固定支出(主要是不要买那些贵的大件,日常支出花不了什么钱),让投资理财的收益覆盖日常固定支出(做好前面后这一点真的不难)。同时由于安全岗位的特殊性,一般都会有竞业补偿,加上裁员赔偿,应该也是一笔不少的收入。做完这些后,有时候还有点期待这天的到来。

    当你越优秀,你遇到贵人的几率就越大。比如我这些年遇到的职场贵人

    成为优秀管理者

    何为将帅,统兵、陷阵、征讨、封疆。道也,平庸统帅,着重兵力多寡、勇猛如何,如吕布、袁绍等,比比皆是,不足挂齿。高明统帅,知己知彼,善用兵将,观天时,明地利,懂人性,料事如神,熟读兵法,统帅万军,游戏自如。

    管理者的职责

    • 管理者存在的意义是提高团队工作效率,而不是直接上手干一线的活。管理的目的是为了提升效率。一个人不需要管理,太多人有各自的想法和目标,效率会变低。管理者的目的是让所有人工作效率最大化。管理是使劳动生产率最大化的手段是分工,解决如何在有限时间内获得最大限度的产出,生产效率最大化。科学划分工作。
    • 在大企业中提高效率的核心是有如何做事的共识,也就是所谓的价值观。价值观让大家知道什么是最重要的,而不是让大家是揣摩/领会领导的意图。
    • 管理是为业务发展服务,让个人目标和组织目标保持一致。人类无法通过现实目标达成一致。我们目标不能仅限于糖水最低级的生理马洛斯需求。让每个人都能知道我们去哪里。把网络安全当成一个业务,把团队当成一家公司去经营。去明确业务方向、业务目标、业务策略。
    • 不仅仅是事情层面,管理者更多应该从组织和人才层面去做好事情。组织能力、组织架构、机制文化,人岗匹配、人才梯队、人才结构。优化人才结构服务业务目标。基于业务目标和策略,盘点并优化当前团队人才情况,通过申请外包来支持日常的基础工作,让现有同学更好的发挥能力。团队内专家级别较少且高级专家断层,一方面内部调整合适的人到合适的岗位,有意识的规划发展路线进行定向培养,另外一方面在招聘岗位时向专家级别倾斜。同时建立人员备份机制,实现任何人不在时都能有备份人员顶上,不会对安全工作产生大的影响。尝试通过组织能力层面服务业务目标。协同中台团队,对齐当前业务安全重要性,通过在各方向共建安全样板间,充分利用中台资源优势,优先保障当前业务。与集团内外各同类型业务安全团队做好信息互通,学习先进建设经验。推动解决各种团队生产关系混乱,协作不顺畅等问题,实现权责对等,缓解一线同学工作时因组织问题的痛苦。
    • 管理需要权责一致。要能够分配权利、责任、利益。让下属的到资源,使用资源。
    • 专家到管理重要转变:从完成任务到达成目标的责任转变、从自己干到驱动激发大家干的工作转变、从自我成长到成就他人的关系转变。能力越大,责任就越多,但不一定代表你获得就最多
    • 管理是不区分对错的。很多事情从个人视角是错误的,但从公司组织视角是正确的。今天看可能是错误的,但未来可能是正确的。这些是需要管理做的。因此管理者不一定要让每个人都开心满意,但要让他们理解。
    • 合格的管理者是成就他人,追求团队成功。在一个团队中,没有什么能比团队成员都能有所成就、拿到好绩效、加薪升职更值得鼓舞人心的,让大家觉得在这个团队跟着你干会对未来充满希望。管理者和专家的核心区别是要通过团队拿结果,只有团队每个人成功了,自己才会成功,利他才是真正的利己。如果你发现因为你的存在,你的老板没有好的结果,你的下属没有好的绩效,你就不是一个不合格的管理者。
    • 管理者的基础是技术专业性。拥有技术专业性,才能够设定正确的目标、更合理的分工和资源分配,才不会被各种忽悠。
    • 快速发展拿到结果是解决各种管理问题的最好办法。
    • 管理者和下属之间一般来说比较难成为朋友,因为朋友往往是对人不对事,但管理者需要对事不对人。你不用对朋友工作结果、能力提升、薪资待遇负责,但对下属相反。避免和一些下属走的更近。但一开始工作时候的同事很容易成为朋友。
    • 荣誉归团队,责任归自己
    • 团队是管理者行为的折射
    • 管理者评价维度
      • 业务上行期,放一只狗都能干好,业务下行期更能看出领导能力。
    • 复杂的东西简单化
    • 全流程优化让事情能变得更好,全流程损耗就是大部分普通人走向平庸的做法
    • 影响力建设
    • 适当的停一停,别天天忙琐事忘了方向和思考。
    • 招聘,找到人、能落地
      • 人是资产,而不是资源,需要让其增值
      • 职业类型与角色
      • 如何选择适合自己的方向
      • 如何获得HC
      • 如何定义JD
      • 如何判断一个人是否匹配招聘岗位
      • 如何客观评价一个人
    • 定目标,追过程,拿结果,绩效沟通
      • 成就他人
    • 打造团队氛围,勤沟通、建公约、知人善用
      • 激励方式:鼓掌、赞美、鲜花、隆重的仪式
      • 通(沟通渠道通/简单开放):Open day/圆桌会议/群心会/交心会/吐槽会/阿里味
        混(混在一起/促进信任):破冰/午餐会/拓展/公益/团建
        晒(晒在阳关下/共同看见):晒目标/KO/复盘通晒/群Review
        新主管上任/新同学加入/新团队组建
    • 组织保障、人才梯队
      • 互为备份机制,以避免人员离职影响工作
    • 营销影响力
      • 共鸣、专注、灌输(细节)
      • 影响力由权力和个人魅力组成,权力来自于法定、专家、奖赏、惩罚、统治权力。魅力由外貌、类似性、好感汇报、知识、能力。
    • 决策
      • 兼听则明,偏信则暗
      • 每次做选择的时候,多花点事情思考。思考的时间要和事情的重要性成正比。
      • 锻炼:假设自己在历史某个时刻,结合当时的信息进行趋势判断。作为水浒传中的宋江,在当时你是否会选择招安
      • 复杂的事情出问题的概率会更大
      • 经验的作用是在一堆看似正确的观点中找到最优解,能明确估算每个因素的占比
      • 向前追溯原因,向后追寻结果。想的更远,通过对一个现象的连续追问其产生的结果,以探寻它对未来可能造成的深远影响
    • 跳槽
    • 裁员与被裁
      • 做好随时可以“被裁”而又不用工作的准备。最近的《逆行人生》、《凡人歌》的剧情都是年纪大后被裁,去送外卖。身边也越来越多的人为35岁而焦虑。在这里,我并不想多谈如何做让自己不被裁或者被裁后还能轻松的找到工作,而是如何让自己做好随时可以“被裁”的同时又不用为工作发愁。原因在于企业裁员的情况有很多,可能是常态淘汰,也可能是业务调整合并,对于个人来说后者是不可控的。也有主动的情况,比如个人成就感缺失进入职场倦怠期,或者因为抑郁症、癌症等健康原因。首先在心理上,让自己有除了工作以外热爱并且能长期持续的事情,比如我一直希望能够环游世界,如果被裁就可以去圆梦了。同时要让自己能够认识到,人不一定需要工作,人生也不只是工作,钱和价值感有很多方式获得。我们工作时间也不短了,暂停一年换一种活法也让自己有另外一种可能性。所以这事情要从现在就开始准备,不用等有空了之后,现在就去探索一些有意思的事情,比如房车/床车改装、露营、徒步、自驾、摄影等等这些未来环游世界所需要用到的技能。从经济上,回顾工作这些年的支出情况,主要还是房子和车子,房子的首付、房贷和利息、装修等,这部分占比最高,因此要优先把这部分早点还清。其次是车子以及换车折损。日常控制欲望,不要买奢侈品和大额商品的前提下,真的花不了什么钱。通过投资理财来覆盖日常的消费支出,难度并不高。
      • 入职一家公司后,除非你主动离职,否则所有情况(绩效不达标/合同到期/业务调整等)下,你都将获得赔偿。
      • 公司并不是你的家。公司往往希望打造成家的感觉让员工无条件付出,可是你的家人不会开除你,但公司会。
    • 类型
    • 授权型、参与型、推销型、吩咐型
    • 指导、支持、参与、成就。高生产力、高满足感、低流动率、很少诉苦。
    • 独断,适用于简单场景、效率高、责任明确、反应迅速;适合在足够资料、紧急、期盼你做决策、他人做不了决策等场景。
    • 咨询,辅导、建立关系。但耗时、未采纳带来的问题、无法贯彻。资料不足场景。
    • 多数人群体决策,民主、效率高、公平、简单。得罪少数人,流于表面,不符合上层目标。
    • 共识群体决策,耗时、争论。
    • 解决问题,而不是寻找机会。
    • 指出说破一些事
    • 作为管理者并不意味着升官发财,而是承担更大的职责和压力
    • 汇报、赞美合作方
      • 时间分配
      • 既要做事,也要带人
      • 能力提升
      • 既要有专业能力,也要有领导力
      • 洞察思考未来
      • 协同各团队

    下属视角下好的管理者是什么样

    团队是管理者行为折射

    • 方向/目标的把握
      • 对业务策略和打法想得很清楚,不会经常改变方向
      • 坚持做正确的事情,不被KPI绑架
      • 能带着大家拿到结果
      • 和我对焦工作目标,达成共识
    • 信息共享
      • 经常分享工作相关信息
      • 经常和大家交流对外部环境的看法
    • 团队氛围
      • 真实不装,不唯上。不搞两面派
      • 注重解决实际问题,不搞形式主义
      • 鼓励大家提出创新方案,允许试错
      • 处事公正,工作环境开放透明
      • 大家彼此信任,战斗力强
      • 有担当,责任归自己,荣誉归团队
      • 尊重不同意见,态度平等不粗暴
      • 实事求是,不搞形式主义
      • 高效,不会开各种无意义的会议
      • 不会拉帮结派,不会跟谁走的特别近,没有嫡系,对待大家一视同仁。明确让大家不要拍马屁。
    • 对团队成员的关注和帮助
      • 能表扬大家
      • 能够对同学有工作之外的关注和关心
      • 平等沟通,不会骂人
      • 打破僵局,推动跨部门协同,解决各种协作问题
      • 团队或项目有困难时,能提供帮助和指点
      • 如果有机会,我多大程度上还会与他一起共事

    成为老板

    • 创业
      • 大丈夫生居天地之间,岂能郁郁久居人下。
      • 大丈夫之志,应如长江东奔大海,何苦怀恋于温柔之乡。
      • 莫道桑榆晚,微霞尚满天。
      • 平台型企业本质是通过协调各方能力,将闲置的货/车与需求链接
      • 大部分的创意价值并不大
        • 智取生辰纲,赤发鬼刘唐提出的
      • 阿里/蚂蚁对创业者的经验与教训
        • 找到了一个时代风口
        • 值得长期奋斗的目标;客户第一价值观;侠客文化;
        • 平等的个体(花名/称呼/工位/差旅等),内网畅所欲言;期权与公司利益绑定,真的能与员工共享财富;HR 能够制衡主管权利;
        • 问题:被KPI绑架以及末位淘汰机制,过于追求短期业绩结果,无意义的大范围加班,缺乏长期视角;高管与一线同学毫无连接,战略无法下达;无能者身居高位,牢控关键地盘,无视关键问题,不敢决策;管理者权利过大,奖惩不明,服务老板者众;缺乏沉淀的快速变化;尊称盛行;外部入职与内部晋升机制要求不一样,导致外部入职更加容易,导致薪资倒挂;招到不合适的人;躺平者众多;留人靠晋升;伪造数据(口径游戏/营销驱动);大量无价值业务与人员;
      • 于道各努力,千里自同风。
    • 提前退休
      • 我们父母这一辈的大多数人是一辈子没有休息过,无法退休,得工作到老。
      • 总被灌输年轻的时候要努力工作,退休后再去享受。但殊不知,我这还才三十,就已经玩不动了,不敢想自己六十的时候是什么样的。
      • 人并不是一定需要工作的。
    志存高遠
    Loading