喜茶安全部門全部被裁,元芳你怎么看?
近日,喜茶大裁員的消息在圈內傳的沸沸揚揚,裁員規模高達30%,盡管喜茶表示,公司不存在所謂大裁員的情況,年前少量的人員調整是基于年終考核的正常人員調整和優化,卻依舊不妨礙吃瓜群眾繼續吃瓜。
而在這場“裁員風波”中,被吃瓜群眾吐槽“最悲慘”的就是信息安全部門,整個安全部門全部被砍掉了。這也讓不少網安圈內的人在吃瓜之余,不免有點心有戚戚焉:安全部門是如此不受重視,當企業經營出現問題時,幾乎是第一個被裁掉,以此降低企業經營成本。
自“甲方安全”出現以來,這個部門或多或少都帶有一些悲情色彩,總是引來一大堆致命的吐槽:不出事老板以為安全部門一整年無所事事;一出事就被當做救火隊員,在公司24小時待命,并且最終還要成為事件的背鍋俠,扛起和職位、薪資不匹配的大鍋;在同事眼中,安全部門就是麻煩制造者,增加了產品上線的流程和時間;在領導眼中,安全部門就是燒錢的成本部門,而且這個錢花的總是讓老板覺得很不值......
而這一大堆吐槽也由引發了網安行業內一個經典問題的討論:安全作為一個成本投入部門, 該如何有效衡量它的產出價值?
不受重視的安全部門
對于以上這個問題,筆者咨詢了部分安全大佬和行業人士,得到的結果卻是讓人覺得有點悲觀。
作為一個成本投入部門,信息安全部門的價值一直難以有效衡量:企業在信息安全上的投入是實實在在的,但信息安全對企業的隱性產出卻難以直觀呈現在高層面前,這也是安全部門不受重視的根本原因。
畢竟,企業的最終目的是為了賺錢,所有的部門和工作都是圍繞整個目的來進行,在這樣的情況下,不能賺錢且不是非必須的安全部門自然是姥姥不疼,舅舅不愛。
近年來,隨著網絡安全產業的發展和政策大爆發,信息安全的受重視程度有所提高,但和國外相比,我國很多企業,尤其是中小企業,信息安全部門的地位普遍不高,對于信息安全建設的重視和投入依舊不足。
例如,相當一大部分企業的安全部門又IT人員兼任,或者是整個安全部門只有一個人,匹馬單槍扛起整個企業或組織機構的安全工作,這絕非是一件簡單的事情,其中的辛酸外人難以理解。
因為要做好安全工作,你不僅要了解企業的業務,清楚產品上線各項流程;你還要擅長溝通,具備良好的語言表達能力,把專業的安全語言翻譯成對方聽得懂的話;你要精通網絡安全政策和標準,時刻關注公司的合規情況;你還要會一點教育培訓的能力,在一群昏昏欲睡的同事面前講解如何提升網絡安全意識;甚至你還可能會被當成修電腦的,或者是處理桌面問題等。
就是這樣一個幾乎不可能完成的工作,當你加班加點完成之后,你會發現得到的不是老板的贊賞,而是“一個人同樣可以干好安全工作的刻板印象”,自然也就絕了招人加薪的想法。
此外,隨著網絡安全法律法規的完善,我國對于觸及網絡安全紅線的處罰也越來越嚴重,而安全部門作為最直接的管理者,往往需要為此承擔相應的責任,有時候甚至面臨刑事責任。
這也正如某個大佬吐槽的那樣,操著賣白粉的心,拿著賣白菜的錢,還背著一口甩不掉的鍋。
但安全真的很重要
但這是不是意味著安全不重要?事實恰好相反,不論是對于國家還是對于企業來說,安全都非常重要。
網絡安全在國家層面的重視程度相信大家都深有體會,這里就不再贅述;即使是在企業層面,其重要性也不容忽視。
還記得剛剛在國內掀起腥風血雨的Apache Log4j 漏洞嗎?多少企業因為這個核彈級漏洞瑟瑟發抖,不得不加班加點徹夜修復,給企業帶來了巨大的壓力,不少企業甚至因此而遭受嚴重損失。
如果再把時間往前推一些,2017年爆發的WannaCry勒索病毒事件足以讓全世界記憶深刻,100多個國家的數萬臺電腦被加密,不少企業業務甚至因此而中斷。
直到現在,勒索病毒依舊十分活躍,瑞星發布的《2021年中國網絡安全報告》顯示,2021年勒索軟件依然猖獗,仍主要針對政府及企業用戶,越來越多的威脅組織在勒索的同時,采取文件竊取的方式來“綁架”企業的隱私文件,以歷史攻擊事件梳理來看這確實卓有成效,大大提高了勒索軟件敲詐贖金的成功幾率。
再加上近幾年國家陸續頒布了《網絡安全法》《數據安全法》《個人信息保護法》等多部重磅法律法規,企業面臨的合規要求越來越嚴格,觸及合規紅線所遭受的處罰更加嚴重,有的(例如APP下架)甚至會對企業業務造成嚴重影響。
此時,誰又能否認信息安全的重要性?
安全重要但不重視?
那么,這里就出現了一個矛盾的現象了:網絡安全十分重要,但是在企業內部,網絡安全部門卻又不受重視。
在筆者看來,其原因在于,一是企業面對網絡攻擊時抱有僥幸心理,認為企業不會成為攻擊目標,或者是攻擊不會給企業帶來嚴重的損失。以往的經驗表明攻擊并不是經常出現,但是隨著數字化轉型浪潮的出現,企業正在為這種僥幸心理買單。
例如曾出現“5億用戶信息泄露事件”的華住集團,顯然不會再抱有這樣的僥幸心理,而是扎扎實實做好網絡安全工作;而抱著這種僥幸心理赴美上市的滴滴,到現在還在為此買單,給企業帶來了難以言表的損失。
二是認命心理,通常出現在中小企業之中。由于這類企業處于擴張初期,面對激烈的市場競爭,企業被迫投入全部的資源。如同一個人一樣,必須要吃飽飯才能去考慮生病之類的問題,因此他們往往會有意無意地忽視企業信息安全建設。但有數據表明,這類企業才是攻擊者最喜歡的目標,不少中小型企業也因此付出了代價。
隨著科技的發展和時間的推移,這樣矛盾的現象將會進一步得到改善,再抱有以上心理的企業遭遇攻擊和因此蒙受損失的概率將會逐漸上升,而網絡安全的重要性也必將倒逼企業更加重視安全部門。
令人欣慰的是,即便在企業中不受重視,但是廣大的信息安全人員依舊在崗位上戰斗,用盡一切辦法強化企業信息安全防護體系,撐起了企業的安全脊梁。尤其是那些一個人的安全部門,他們精通十八般武藝,為了心中那個“重要”的目標,痛并快樂著。
也許未來,依舊會有很多企業不重視安全,但是卻無法改變網絡安全越來越重要的趨勢,而那些不重視網絡安全的企業,最后總歸會因此失去點什么。
