近日,喜茶大裁员的消息在圈内传开,裁员规模高达30%。人员调整优化,但依然不妨碍吃瓜群众继续吃瓜。在这场“裁员风波”中,被吃瓜群众吐槽“最惨”的当属信息安全部门,整个安全部门被裁掉了。这也让很多互联网安全圈的人在吃瓜的时候产生了一种共鸣:安全部门这么冷落,业务运营出现问题的时候,几乎是第一个下岗的。这降低了企业运营成本。自从“甲方保安”出现后,这个部门就多多少少有些惨烈,总是引来不少致命的吐槽:不出意外,老大觉得保安部整整一年无事可做;团队成员在公司24小时随叫随到,最终成为事件的幕后黑手,背负着与职位和薪酬不相符的大锅;在同事眼里,安全部是个麻烦制造者,增加了产品上线的流程和时间;在领导眼里,安全部是烧钱的成本部门,花的钱对老板来说总是一文不值……而这大量的投诉也引发了互联网安全行业的经典问题讨论:作为成本投入部门,如何有效衡量其产出价值?针对上述问题,笔者咨询了一些安全大咖和业内人士,但得到的结果却是让人觉得有点悲观。作为成本投入部门,信息安全部门的价值始终难以有效衡量:企业对信息安全的投入是实实在在的,但信息安全对企业的隐性输出却难以直观呈现给高层。等级。部门被低估的根本原因。毕竟企业的最终目的是赚钱,所有部门和工作都是围绕着整个目的展开的。在这样的情况下,这个赚不到钱,又没有必要的保卫部,自然不受外婆和舅舅的喜爱。近年来,随着网络安全行业的发展和政策的爆炸式增长,信息安全受到越来越多的关注。但与国外相比,我国很多企业,尤其是中小企业,在信息安全部门的地位普遍较低。对信息安全建设的重视和投入仍然不足。例如,相当一部分企业的安全部门也有IT人员,或者整个安全部门只有一个人,一人承担整个企业或组织的安全工作。这绝不是一件简单的事情。其辛酸外人难以理解。因为要做好安全工作,不仅需要了解公司的业务,了解产品上线的各个流程;还必须善于沟通,有良好的语言表达能力,将专业的安全语言翻译成对方能听懂的话;你必须精通网络安全政策和标准,时刻关注公司的合规性;你还要有一点教育培训能力,在一群昏昏欲睡的同事面前讲解如何提高网络安全意识;你甚至可能被视为电脑维修工,或者处理桌面问题等等,这样的工作几乎是不可能完成的。当你加班完成后,你会发现得到的不是老板的赏识,而是“一个人也能做好安全工作的刻板印象”,自然不会招人。加薪的想法。此外,随着网络安全法律法规的完善,我国对触及网络安全红线的处罚也越来越严重,而作为最直接管理者的安全部门往往需要为此承担相应的责任,有时甚至会面临刑事责任。这就像某位大佬吐槽的一样,抱着卖白粉的心,拿着卖白菜的钱,背着甩不掉的锅。但是安全确实很重要,但这是否意味着安全不重要呢?事实恰恰相反,无论是对于国家还是对于企业,安全都是非常重要的。网络安全在国家层面的重要性相信大家都深有体会,在此不再赘述;即使在企业层面,其重要性也不容忽视。还记得刚刚在国内引起一场血战的ApacheLog4j漏洞吗?多少企业因为这个核弹级别的漏洞而战战兢兢,不得不加班加点通宵修复,给企业带来了巨大的压力,甚至有不少企业因此遭受了严重的损失。如果将时间往后推一点,2017年爆发的WannaCry勒索病毒事件就足以让世人记忆犹新。100多个国家的数万台计算机被加密,许多业务运营甚至中断。直到现在,勒索软件仍然非常活跃。瑞星发布的《2021年中国网络安全报告》表明,2021年勒索病毒仍将猖獗,主要针对政企用户。根据历史攻击事件“绑架”公司私人文件,确实有效,大大提高了勒索软件勒索的成功率。此外,近年来,国家陆续出台了《网络安全法》《数据安全法》《个人信息保护法》等多项重磅法规,企业面临的合规要求越来越严格,触及合规红线的处罚也更加严厉。)甚至会对企业的业务造成严重影响。此时,谁又能否认信息安全的重要性呢?安全很重要但没有受到重视?那么,这里有一个矛盾的现象:网络安全很重要,但是在企业内部,网络安全部门却不受重视。在笔者看来,其原因在于,一是企业在面对网络攻击时存在侥幸心理,认为企业不会成为攻击目标,或者攻击不会给企业带来严重损失。过去的经验表明,攻击不会经常发生,但随着数字化转型的浪潮,企业正在为侥幸付出代价。比如曾经经历过“5亿用户信息泄露事件”的华住集团,显然不再有这种侥幸心理,而是会扎实做好网络安全工作;滴,还一直在赔钱,给公司带来了难以形容的损失。二是认命心理,多见于中小企业。由于这类企业处于扩张初期,面临激烈的市场竞争,企业被迫投入全部资源。就像人一样,要先吃饱,才能考虑生病等问题,所以往往有意无意地忽视了企业信息安全建设。但数据显示,这类企业是攻击者最爱的目标,不少中小企业也为此付出了代价。随着技术的发展和时间的推移,这种矛盾的现象会得到进一步改善,具有上述心态的企业被攻击和遭受损失的概率会逐渐增加,网络安全的重要性也会被逆转。迫使企业更加重视安全部门。令人欣喜的是,即使不被企业重视,广大信息安全人员依然奋战在工作岗位上,千方百计强化企业信息安全防护体系,支撑企业安全中坚力量。尤其是一人保卫部,他们精通十八般武艺,为心中“重要”的目标苦中作乐。或许未来还会有很多不重视安全的企业,但是他们无法改变网络安全越来越重要的趋势,那些不重视网络安全的企业会失去一些东西。结束。
