安全er的崩潰，從業(yè)務(wù)人員說“不”開始

在阿里云的時候，就覺得安全部是一個很“清奇”的部門，似乎一整套體系都是獨(dú)立的，有自己的小圈子。

出來后加入安全圈子，為各廠商提供業(yè)務(wù)安全服務(wù)，也在第一次接觸到各廠商的SRC（應(yīng)急響應(yīng)中心）后，看到一群不同的人因?yàn)橐粯拥呢?zé)任感團(tuán)結(jié)在一起，越發(fā)感受到安全er的活力。

然而，在活力的背后，隱藏著安全er長久的克制。

不止一次聽起安全從業(yè)者感慨，做安全最大的阻力并不是在外部，而恰恰是公司內(nèi)部。這究竟是為什么呢？

安全與業(yè)務(wù)，總是一對無解的冤家

叱咤風(fēng)云的***和低調(diào)支撐業(yè)務(wù)的甲方安全er，擁有兩種截然相反的職業(yè)軌跡，后者很顯然承受了更多。

我們每天可以看見這個場景在不斷上演：業(yè)務(wù)部門要上線一個活動，有明顯的被***風(fēng)險，事先沒知會過安全部門（好一點(diǎn)的同步一下，不過也沒太大用），安全部門趕來要求增加一些防控措施，業(yè)務(wù)部門置若罔聞，再去追問，就用“KPI”、“業(yè)績”給打發(fā)了。

業(yè)務(wù)人員因?yàn)槌钟袠I(yè)績KPI而強(qiáng)勢，而相關(guān)的安全需求則被視為無用功。除非發(fā)生大型的損失（如拼多多優(yōu)惠券事件），業(yè)務(wù)人員才會對安全部門有所敬畏。這讓安全部的防控策略成了“大病醫(yī)療險”，平時勾選一下的意愿都沒有，真出事了，也找不到索賠點(diǎn)。

為什么安全會像一個保險產(chǎn)品一樣？無法量化是其中一個最大的問題。填補(bǔ)多少的漏洞、上線多少新的防護(hù)方案、避免了多少的風(fēng)險，這些都是對未發(fā)生的事情做防控，而究竟這些問題真的發(fā)生了，會帶來多少的損失，往往是很難量化的，與業(yè)務(wù)部門真金白銀的業(yè)績比起來，更是如此。

也就不難怪為何業(yè)務(wù)部門的話語權(quán)更重，對安全部門的影響如此之大了。

主導(dǎo)和服務(wù)，全然不同的兩條路

不過，上述的苦逼安全部門更多來自互聯(lián)網(wǎng)的甲方公司。在和錢離得近的金融行業(yè)，風(fēng)控部門則擁有較高的話語權(quán)。特別是在銀行、持牌消金機(jī)構(gòu)，風(fēng)控可以有效降低逾期率、壞賬率，直觀地減少業(yè)務(wù)損失。甚至于，機(jī)構(gòu)的運(yùn)營情況如何，主要是看風(fēng)控做的如何。

不難看出，當(dāng)離錢更近的時候，風(fēng)險損失更容易量化，那么安全做的工作就更容易體現(xiàn)價值，話語權(quán)也更大一些。

筆者和業(yè)內(nèi)的幾家安全負(fù)責(zé)人做了簡單的交流，發(fā)現(xiàn)在這樣的大背景下，安全部門走出了兩種形態(tài)：

一種是做好守護(hù)者的安全部。主要關(guān)注公司全局的安全生態(tài)建設(shè)，會給業(yè)務(wù)提出相關(guān)的風(fēng)險建議，但是最終是否采納的決定權(quán)在業(yè)務(wù)。如果在已經(jīng)提示過風(fēng)險的業(yè)務(wù)上出現(xiàn)問題，唯一的底線就是不背鍋。

另一種則是與業(yè)務(wù)部門平起平坐的風(fēng)控部。公司的業(yè)務(wù)計(jì)劃需要與風(fēng)控部門同步，將風(fēng)險控制在事前，風(fēng)控部門的績效考核與業(yè)務(wù)直接掛鉤，話語權(quán)與壓力并存。

安全er未來的可能性

那么話說回來，在離錢還有點(diǎn)遠(yuǎn)的安全部，難道沒有推動部門話語權(quán)的可能性嗎？

不全然是，筆者在這提出兩個必要的場景做討論：

1、意識轉(zhuǎn)變

安全部從過往的傳統(tǒng)網(wǎng)絡(luò)安全范疇過度到業(yè)務(wù)安全，成為一門顯學(xué)的時候，大眾對于業(yè)務(wù)與安全的融合性或許會有更好的認(rèn)識，也更能理解做好安全建設(shè)的必要性。

2、價值挖掘

安全部門能將工作成果與業(yè)務(wù)成果掛鉤，量化業(yè)務(wù)價值，進(jìn)而推動安全部向價值中心轉(zhuǎn)變。這點(diǎn)頗受爭議，但是路都是人走出來的，況且行業(yè)每天都在發(fā)生變化，未嘗不是一個值得努力的方向。