安全er的崩潰，從業務人員說「不」開始

在阿里雲的時候，就以爲安所有是一個很「清奇」的部門，彷佛一整套體系都是獨立的，有本身的小圈子。

出來後加入安全圈子，爲各廠商提供業務安全服務，也在第一次接觸到各廠商的SRC（應急響應中心）後，看到一羣不一樣的人由於同樣的責任感團結在一塊兒，愈加感覺到安全er的活力。

然而，在活力的背後，隱藏着安全er長久的剋制。

不止一次聽起安全從業者感慨，作安全最大的阻力並非在外部，而偏偏是公司內部。這到底是爲何呢？

安全與業務，老是一對無解的冤家

叱吒風雲的黑客和低調支撐業務的甲方安全er，擁有兩種截然相反的職業軌跡，後者很顯然承受了更多。

咱們天天能夠看見這個場景在不斷上演：業務部門要上線一個活動，有明顯的被攻擊風險，事先沒知會過安所有門（好一點的同步一下，不過也沒太大用），安所有門趕來要求增長一些防控措施，業務部門置若罔聞，再去追問，就用「KPI」、「業績」給打發了。

業務人員由於持有業績KPI而強勢，而相關的安全需求則被視爲無用功。除非發生大型的損失（如拼多多優惠券事件），業務人員纔會對安所有門有所敬畏。這讓安所有的防控策略成了「大病醫療險」，平時勾選一下的意願都沒有，真出事了，也找不到索賠點。

爲何安全會像一個保險產品同樣？沒法量化是其中一個最大的問題。填補多少的漏洞、上線多少新的防禦方案、避免了多少的風險，這些都是對未發生的事情作防控，而究竟這些問題真的發生了，會帶來多少的損失，每每是很難量化的，與業務部門真金白銀的業績比起來，更是如此。

也就不難怪爲什麼業務部門的話語權更重，對安所有門的影響如此之大了。

主導和服務，全然不一樣的兩條路

不過，上述的苦逼安所有門更多來自互聯網的甲方公司。在和錢離得近的金融行業，風控部門則擁有較高的話語權。特別是在銀行、持牌消金機構，風控能夠有效下降逾期率、壞帳率，直觀地減小業務損失。甚至於，機構的運營狀況如何，主要是看風控作的如何。

不難看出，當離錢更近的時候，風險損失更容易量化，那麼安全作的工做就更容易體現價值，話語權也更大一些。

筆者和業內的幾家安全負責人作了簡單的交流，發如今這樣的大背景下，安所有門走出了兩種形態：

一種是作好守護者的安所有。主要關注公司全局的安全生態建設，會給業務提出相關的風險建議，可是最終是否採納的決定權在業務。若是在已經提示過風險的業務上出現問題，惟一的底線就是不背鍋。

另外一種則是與業務部門分庭抗禮的風控部。公司的業務計劃須要與風控部門同步，將風險控制在事前，風控部門的績效考覈與業務直接掛鉤，話語權與壓力並存。

安全er將來的可能性

那麼話說回來，在離錢還有點遠的安所有，難道沒有推進部門話語權的可能性嗎？

不全然是，筆者在這提出兩個必要的場景作討論：

一、意識轉變

安所有從過往的傳統網絡安全範疇過分到業務安全，成爲一門顯學的時候，大衆對於業務與安全的融合性或許會有更好的認識，也更能理解作好安全建設的必要性。

二、價值挖掘

安所有門能將工做成果與業務成果掛鉤，量化業務價值，進而推進安所有向價值中心轉變。這點頗受爭議，可是路都是人走出來的，何況行業天天都在發生變化，何嘗不是一個值得努力的方向。