安全er的崩溃,从业务人员说“不”开始

安全er的崩溃,从业务人员说“不”开始
在阿里云的时候,就觉得安全部是一个很“清奇”的部门,似乎一整套体系都是独立的,有自己的小圈子。

为关岭等地区用户提供了全套网页设计制作服务,及关岭网站建设行业解决方案。主营业务为成都做网站、网站建设、关岭网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!

出来后加入安全圈子,为各厂商提供业务安全服务,也在第一次接触到各厂商的SRC(应急响应中心)后,看到一群不同的人因为一样的责任感团结在一起,越发感受到安全er的活力。

然而,在活力的背后,隐藏着安全er长久的克制。

不止一次听起安全从业者感慨,做安全最大的阻力并不是在外部,而恰恰是公司内部。这究竟是为什么呢?

安全与业务,总是一对无解的冤家

叱咤风云的***和低调支撑业务的甲方安全er,拥有两种截然相反的职业轨迹,后者很显然承受了更多。

我们每天可以看见这个场景在不断上演:业务部门要上线一个活动,有明显的被***风险,事先没知会过安全部门(好一点的同步一下,不过也没太大用),安全部门赶来要求增加一些防控措施,业务部门置若罔闻,再去追问,就用“KPI”、“业绩”给打发了。

业务人员因为持有业绩KPI而强势,而相关的安全需求则被视为无用功。除非发生大型的损失(如拼多多优惠券事件),业务人员才会对安全部门有所敬畏。这让安全部的防控策略成了“大病医疗险”,平时勾选一下的意愿都没有,真出事了,也找不到索赔点。

为什么安全会像一个保险产品一样?无法量化是其中一个最大的问题。填补多少的漏洞、上线多少新的防护方案、避免了多少的风险,这些都是对未发生的事情做防控,而究竟这些问题真的发生了,会带来多少的损失,往往是很难量化的,与业务部门真金白银的业绩比起来,更是如此。

也就不难怪为何业务部门的话语权更重,对安全部门的影响如此之大了。

主导和服务,全然不同的两条路

不过,上述的苦逼安全部门更多来自互联网的甲方公司。在和钱离得近的金融行业,风控部门则拥有较高的话语权。特别是在银行、持牌消金机构,风控可以有效降低逾期率、坏账率,直观地减少业务损失。甚至于,机构的运营情况如何,主要是看风控做的如何。

不难看出,当离钱更近的时候,风险损失更容易量化,那么安全做的工作就更容易体现价值,话语权也更大一些。

笔者和业内的几家安全负责人做了简单的交流,发现在这样的大背景下,安全部门走出了两种形态:

一种是做好守护者的安全部。主要关注公司全局的安全生态建设,会给业务提出相关的风险建议,但是最终是否采纳的决定权在业务。如果在已经提示过风险的业务上出现问题,唯一的底线就是不背锅。

另一种则是与业务部门平起平坐的风控部。公司的业务计划需要与风控部门同步,将风险控制在事前,风控部门的绩效考核与业务直接挂钩,话语权与压力并存。

安全er未来的可能性

那么话说回来,在离钱还有点远的安全部,难道没有推动部门话语权的可能性吗?

不全然是,笔者在这提出两个必要的场景做讨论:

1、意识转变

安全部从过往的传统网络安全范畴过度到业务安全,成为一门显学的时候,大众对于业务与安全的融合性或许会有更好的认识,也更能理解做好安全建设的必要性。

2、价值挖掘

安全部门能将工作成果与业务成果挂钩,量化业务价值,进而推动安全部向价值中心转变。这点颇受争议,但是路都是人走出来的,况且行业每天都在发生变化,未尝不是一个值得努力的方向。


当前文章:安全er的崩溃,从业务人员说“不”开始
网站链接:http://pwwzsj.com/article/jpccdd.html