近日，喜茶大裁員的消息在圈內(nèi)傳的沸沸揚(yáng)揚(yáng)，裁員規(guī)模高達(dá)30%，盡管喜茶表示，公司不存在所謂大裁員的情況，年前少量的人員調(diào)整是基于年終考核的正常人員調(diào)整和優(yōu)化，卻依舊不妨礙吃瓜群眾繼續(xù)吃瓜。

而在這場(chǎng)“裁員風(fēng)波”中，被吃瓜群眾吐槽“最悲慘”的就是信息安全部門，整個(gè)安全部門全部被砍掉了。這也讓不少網(wǎng)安圈內(nèi)的人在吃瓜之余，不免有點(diǎn)心有戚戚焉：安全部門是如此不受重視，當(dāng)企業(yè)經(jīng)營(yíng)出現(xiàn)問題時(shí)，幾乎是第一個(gè)被裁掉，以此降低企業(yè)經(jīng)營(yíng)成本。

自“甲方安全”出現(xiàn)以來，這個(gè)部門或多或少都帶有一些悲情色彩，總是引來一大堆致命的吐槽：不出事老板以為安全部門一整年無所事事;一出事就被當(dāng)做救火隊(duì)員，在公司24小時(shí)待命，并且最終還要成為事件的背鍋俠，扛起和職位、薪資不匹配的大鍋;在同事眼中，安全部門就是麻煩制造者，增加了產(chǎn)品上線的流程和時(shí)間;在領(lǐng)導(dǎo)眼中，安全部門就是燒錢的成本部門，而且這個(gè)錢花的總是讓老板覺得很不值......

而這一大堆吐槽也由引發(fā)了網(wǎng)安行業(yè)內(nèi)一個(gè)經(jīng)典問題的討論：安全作為一個(gè)成本投入部門， 該如何有效衡量它的產(chǎn)出價(jià)值?

不受重視的安全部門

對(duì)于以上這個(gè)問題，筆者咨詢了部分安全大佬和行業(yè)人士，得到的結(jié)果卻是讓人覺得有點(diǎn)悲觀。

作為一個(gè)成本投入部門，信息安全部門的價(jià)值一直難以有效衡量：企業(yè)在信息安全上的投入是實(shí)實(shí)在在的，但信息安全對(duì)企業(yè)的隱性產(chǎn)出卻難以直觀呈現(xiàn)在高層面前，這也是安全部門不受重視的根本原因。

畢竟，企業(yè)的最終目的是為了賺錢，所有的部門和工作都是圍繞整個(gè)目的來進(jìn)行，在這樣的情況下，不能賺錢且不是非必須的安全部門自然是姥姥不疼，舅舅不愛。

近年來，隨著網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展和政策大爆發(fā)，信息安全的受重視程度有所提高，但和國(guó)外相比，我國(guó)很多企業(yè)，尤其是中小企業(yè)，信息安全部門的地位普遍不高，對(duì)于信息安全建設(shè)的重視和投入依舊不足。

例如，相當(dāng)一大部分企業(yè)的安全部門又IT人員兼任，或者是整個(gè)安全部門只有一個(gè)人，匹馬單槍扛起整個(gè)企業(yè)或組織機(jī)構(gòu)的安全工作，這絕非是一件簡(jiǎn)單的事情，其中的辛酸外人難以理解。

因?yàn)橐龊冒踩ぷ鳎悴粌H要了解企業(yè)的業(yè)務(wù)，清楚產(chǎn)品上線各項(xiàng)流程;你還要擅長(zhǎng)溝通，具備良好的語(yǔ)言表達(dá)能力，把專業(yè)的安全語(yǔ)言翻譯成對(duì)方聽得懂的話;你要精通網(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn)，時(shí)刻關(guān)注公司的合規(guī)情況;你還要會(huì)一點(diǎn)教育培訓(xùn)的能力，在一群昏昏欲睡的同事面前講解如何提升網(wǎng)絡(luò)安全意識(shí);甚至你還可能會(huì)被當(dāng)成修電腦的，或者是處理桌面問題等。

就是這樣一個(gè)幾乎不可能完成的工作，當(dāng)你加班加點(diǎn)完成之后，你會(huì)發(fā)現(xiàn)得到的不是老板的贊賞，而是“一個(gè)人同樣可以干好安全工作的刻板印象”，自然也就絕了招人加薪的想法。

此外，隨著網(wǎng)絡(luò)安全法律法規(guī)的完善，我國(guó)對(duì)于觸及網(wǎng)絡(luò)安全紅線的處罰也越來越嚴(yán)重，而安全部門作為最直接的管理者，往往需要為此承擔(dān)相應(yīng)的責(zé)任，有時(shí)候甚至面臨刑事責(zé)任。

這也正如某個(gè)大佬吐槽的那樣，操著賣白粉的心，拿著賣白菜的錢，還背著一口甩不掉的鍋。

但安全真的很重要

但這是不是意味著安全不重要?事實(shí)恰好相反，不論是對(duì)于國(guó)家還是對(duì)于企業(yè)來說，安全都非常重要。

網(wǎng)絡(luò)安全在國(guó)家層面的重視程度相信大家都深有體會(huì)，這里就不再贅述;即使是在企業(yè)層面，其重要性也不容忽視。

還記得剛剛在國(guó)內(nèi)掀起腥風(fēng)血雨的Apache Log4j 漏洞嗎?多少企業(yè)因?yàn)檫@個(gè)核彈級(jí)漏洞瑟瑟發(fā)抖，不得不加班加點(diǎn)徹夜修復(fù)，給企業(yè)帶來了巨大的壓力，不少企業(yè)甚至因此而遭受嚴(yán)重?fù)p失。

如果再把時(shí)間往前推一些，2017年爆發(fā)的WannaCry勒索病毒事件足以讓全世界記憶深刻，100多個(gè)國(guó)家的數(shù)萬臺(tái)電腦被加密，不少企業(yè)業(yè)務(wù)甚至因此而中斷。

直到現(xiàn)在，勒索病毒依舊十分活躍，瑞星發(fā)布的《2021年中國(guó)網(wǎng)絡(luò)安全報(bào)告》顯示，2021年勒索軟件依然猖獗，仍主要針對(duì)政府及企業(yè)用戶，越來越多的威脅組織在勒索的同時(shí)，采取文件竊取的方式來“綁架”企業(yè)的隱私文件，以歷史攻擊事件梳理來看這確實(shí)卓有成效，大大提高了勒索軟件敲詐贖金的成功幾率。

再加上近幾年國(guó)家陸續(xù)頒布了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等多部重磅法律法規(guī)，企業(yè)面臨的合規(guī)要求越來越嚴(yán)格，觸及合規(guī)紅線所遭受的處罰更加嚴(yán)重，有的(例如APP下架)甚至?xí)?duì)企業(yè)業(yè)務(wù)造成嚴(yán)重影響。

此時(shí)，誰又能否認(rèn)信息安全的重要性?

安全重要但不重視?

那么，這里就出現(xiàn)了一個(gè)矛盾的現(xiàn)象了：網(wǎng)絡(luò)安全十分重要，但是在企業(yè)內(nèi)部，網(wǎng)絡(luò)安全部門卻又不受重視。

在筆者看來，其原因在于，一是企業(yè)面對(duì)網(wǎng)絡(luò)攻擊時(shí)抱有僥幸心理，認(rèn)為企業(yè)不會(huì)成為攻擊目標(biāo)，或者是攻擊不會(huì)給企業(yè)帶來嚴(yán)重的損失。以往的經(jīng)驗(yàn)表明攻擊并不是經(jīng)常出現(xiàn)，但是隨著數(shù)字化轉(zhuǎn)型浪潮的出現(xiàn)，企業(yè)正在為這種僥幸心理買單。

例如曾出現(xiàn)“5億用戶信息泄露事件”的華住集團(tuán)，顯然不會(huì)再抱有這樣的僥幸心理，而是扎扎實(shí)實(shí)做好網(wǎng)絡(luò)安全工作;而抱著這種僥幸心理赴美上市的滴滴，到現(xiàn)在還在為此買單，給企業(yè)帶來了難以言表的損失。

二是認(rèn)命心理，通常出現(xiàn)在中小企業(yè)之中。由于這類企業(yè)處于擴(kuò)張初期，面對(duì)激烈的市場(chǎng)競(jìng)爭(zhēng)，企業(yè)被迫投入全部的資源。如同一個(gè)人一樣，必須要吃飽飯才能去考慮生病之類的問題，因此他們往往會(huì)有意無意地忽視企業(yè)信息安全建設(shè)。但有數(shù)據(jù)表明，這類企業(yè)才是攻擊者最喜歡的目標(biāo)，不少中小型企業(yè)也因此付出了代價(jià)。

隨著科技的發(fā)展和時(shí)間的推移，這樣矛盾的現(xiàn)象將會(huì)進(jìn)一步得到改善，再抱有以上心理的企業(yè)遭遇攻擊和因此蒙受損失的概率將會(huì)逐漸上升，而網(wǎng)絡(luò)安全的重要性也必將倒逼企業(yè)更加重視安全部門。

令人欣慰的是，即便在企業(yè)中不受重視，但是廣大的信息安全人員依舊在崗位上戰(zhàn)斗，用盡一切辦法強(qiáng)化企業(yè)信息安全防護(hù)體系，撐起了企業(yè)的安全脊梁。尤其是那些一個(gè)人的安全部門，他們精通十八般武藝，為了心中那個(gè)“重要”的目標(biāo)，痛并快樂著。

也許未來，依舊會(huì)有很多企業(yè)不重視安全，但是卻無法改變網(wǎng)絡(luò)安全越來越重要的趨勢(shì)，而那些不重視網(wǎng)絡(luò)安全的企業(yè)，最后總歸會(huì)因此失去點(diǎn)什么。