近日,喜茶大裁员的消息在圈内传的沸沸扬扬,裁员规模高达30%,尽管喜茶表示,公司不存在所谓大裁员的情况,年前少量的人员调整是基于年终考核的正常人员调整和优化,却依旧不妨碍吃瓜群众继续吃瓜。
而在这场“裁员风波”中,被吃瓜群众吐槽“最悲惨”的就是信息安全部门,整个安全部门全部被砍掉了。这也让不少网安圈内的人在吃瓜之余,不免有点心有戚戚焉:安全部门是如此不受重视,当企业经营出现问题时,几乎是第一个被裁掉,以此降低企业经营成本。
自“甲方安全”出现以来,这个部门或多或少都带有一些悲情色彩,总是引来一大堆致命的吐槽:不出事老板以为安全部门一整年无所事事;一出事就被当做救火队员,在公司24小时待命,并且最终还要成为事件的背锅侠,扛起和职位、薪资不匹配的大锅;在同事眼中,安全部门就是麻烦制造者,增加了产品上线的流程和时间;在领导眼中,安全部门就是烧钱的成本部门,而且这个钱花的总是让老板觉得很不值......
而这一大堆吐槽也由引发了网安行业内一个经典问题的讨论:安全作为一个成本投入部门, 该如何有效衡量它的产出价值?
不受重视的安全部门
对于以上这个问题,笔者咨询了部分安全大佬和行业人士,得到的结果却是让人觉得有点悲观。
作为一个成本投入部门,信息安全部门的价值一直难以有效衡量:企业在信息安全上的投入是实实在在的,但信息安全对企业的隐性产出却难以直观呈现在高层面前,这也是安全部门不受重视的根本原因。
毕竟,企业的最终目的是为了赚钱,所有的部门和工作都是围绕整个目的来进行,在这样的情况下,不能赚钱且不是非必须的安全部门自然是姥姥不疼,舅舅不爱。
近年来,随着网络安全产业的发展和政策大爆发,信息安全的受重视程度有所提高,但和国外相比,我国很多企业,尤其是中小企业,信息安全部门的地位普遍不高,对于信息安全建设的重视和投入依旧不足。
例如,相当一大部分企业的安全部门又IT人员兼任,或者是整个安全部门只有一个人,匹马单枪扛起整个企业或组织机构的安全工作,这绝非是一件简单的事情,其中的辛酸外人难以理解。
因为要做好安全工作,你不仅要了解企业的业务,清楚产品上线各项流程;你还要擅长沟通,具备良好的语言表达能力,把专业的安全语言翻译成对方听得懂的话;你要精通网络安全政策和标准,时刻关注公司的合规情况;你还要会一点教育培训的能力,在一群昏昏欲睡的同事面前讲解如何提升网络安全意识;甚至你还可能会被当成修电脑的,或者是处理桌面问题等。
就是这样一个几乎不可能完成的工作,当你加班加点完成之后,你会发现得到的不是老板的赞赏,而是“一个人同样可以干好安全工作的刻板印象”,自然也就绝了招人加薪的想法。
此外,随着网络安全法律法规的完善,我国对于触及网络安全红线的处罚也越来越严重,而安全部门作为最直接的管理者,往往需要为此承担相应的责任,有时候甚至面临刑事责任。
这也正如某个大佬吐槽的那样,操着卖白粉的心,拿着卖白菜的钱,还背着一口甩不掉的锅。
但安全真的很重要
但这是不是意味着安全不重要?事实恰好相反,不论是对于国家还是对于企业来说,安全都非常重要。
网络安全在国家层面的重视程度相信大家都深有体会,这里就不再赘述;即使是在企业层面,其重要性也不容忽视。
还记得刚刚在国内掀起腥风血雨的Apache Log4j 漏洞吗?多少企业因为这个核弹级漏洞瑟瑟发抖,不得不加班加点彻夜修复,给企业带来了巨大的压力,不少企业甚至因此而遭受严重损失。
如果再把时间往前推一些,2017年爆发的WannaCry勒索病毒事件足以让全世界记忆深刻,100多个国家的数万台电脑被加密,不少企业业务甚至因此而中断。
直到现在,勒索病毒依旧十分活跃,瑞星发布的《2021年中国网络安全报告》显示,2021年勒索软件依然猖獗,仍主要针对政府及企业用户,越来越多的威胁组织在勒索的同时,采取文件窃取的方式来“绑架”企业的隐私文件,以历史攻击事件梳理来看这确实卓有成效,大大提高了勒索软件敲诈赎金的成功几率。
再加上近几年国家陆续颁布了《网络安全法》《数据安全法》《个人信息保护法》等多部重磅法律法规,企业面临的合规要求越来越严格,触及合规红线所遭受的处罚更加严重,有的(例如APP下架)甚至会对企业业务造成严重影响。
此时,谁又能否认信息安全的重要性?
安全重要但不重视?
那么,这里就出现了一个矛盾的现象了:网络安全十分重要,但是在企业内部,网络安全部门却又不受重视。
在笔者看来,其原因在于,一是企业面对网络攻击时抱有侥幸心理,认为企业不会成为攻击目标,或者是攻击不会给企业带来严重的损失。以往的经验表明攻击并不是经常出现,但是随着数字化转型浪潮的出现,企业正在为这种侥幸心理买单。
例如曾出现“5亿用户信息泄露事件”的华住集团,显然不会再抱有这样的侥幸心理,而是扎扎实实做好网络安全工作;而抱着这种侥幸心理赴美上市的滴滴,到现在还在为此买单,给企业带来了难以言表的损失。
二是认命心理,通常出现在中小企业之中。由于这类企业处于扩张初期,面对激烈的市场竞争,企业被迫投入全部的资源。如同一个人一样,必须要吃饱饭才能去考虑生病之类的问题,因此他们往往会有意无意地忽视企业信息安全建设。但有数据表明,这类企业才是攻击者最喜欢的目标,不少中小型企业也因此付出了代价。
随着科技的发展和时间的推移,这样矛盾的现象将会进一步得到改善,再抱有以上心理的企业遭遇攻击和因此蒙受损失的概率将会逐渐上升,而网络安全的重要性也必将倒逼企业更加重视安全部门。
令人欣慰的是,即便在企业中不受重视,但是广大的信息安全人员依旧在岗位上战斗,用尽一切办法强化企业信息安全防护体系,撑起了企业的安全脊梁。尤其是那些一个人的安全部门,他们精通十八般武艺,为了心中那个“重要”的目标,痛并快乐着。
也许未来,依旧会有很多企业不重视安全,但是却无法改变网络安全越来越重要的趋势,而那些不重视网络安全的企业,最后总归会因此失去点什么。