近日，喜茶大裁員的消息在圈內(nèi)傳的沸沸揚揚，裁員規(guī)模高達30%，盡管喜茶表示，公司不存在所謂大裁員的情況，年前少量的人員調(diào)整是基于年終考核的正常人員調(diào)整和優(yōu)化，卻依舊不妨礙吃瓜群眾繼續(xù)吃瓜。

而在這場“裁員風波”中，被吃瓜群眾吐槽“最悲慘”的就是信息安全部門，整個安全部門全部被砍掉了。這也讓不少網(wǎng)安圈內(nèi)的人在吃瓜之余，不免有點心有戚戚焉：安全部門是如此不受重視，當企業(yè)經(jīng)營出現(xiàn)問題時，幾乎是第一個被裁掉，以此降低企業(yè)經(jīng)營成本。

自“甲方安全”出現(xiàn)以來，這個部門或多或少都帶有一些悲情色彩，總是引來一大堆致命的吐槽：不出事老板以為安全部門一整年無所事事；一出事就被當做救火隊員，在公司24小時待命，并且最終還要成為事件的背鍋俠，扛起和職位、薪資不匹配的大鍋；在同事眼中，安全部門就是麻煩制造者，增加了產(chǎn)品上線的流程和時間；在領導眼中，安全部門就是燒錢的成本部門，而且這個錢花的總是讓老板覺得很不值......

而這一大堆吐槽也由引發(fā)了網(wǎng)安行業(yè)內(nèi)一個經(jīng)典問題的討論：安全作為一個成本投入部門， 該如何有效衡量它的產(chǎn)出價值？

不受重視的安全部門

對于以上這個問題，筆者咨詢了部分安全大佬和行業(yè)人士，得到的結果卻是讓人覺得有點悲觀。

作為一個成本投入部門，信息安全部門的價值一直難以有效衡量：企業(yè)在信息安全上的投入是實實在在的，但信息安全對企業(yè)的隱性產(chǎn)出卻難以直觀呈現(xiàn)在高層面前，這也是安全部門不受重視的根本原因。

畢竟，企業(yè)的最終目的是為了賺錢，所有的部門和工作都是圍繞整個目的來進行，在這樣的情況下，不能賺錢且不是非必須的安全部門自然是姥姥不疼，舅舅不愛。

近年來，隨著網(wǎng)絡安全產(chǎn)業(yè)的發(fā)展和政策大爆發(fā)，信息安全的受重視程度有所提高，但和國外相比，我國很多企業(yè)，尤其是中小企業(yè)，信息安全部門的地位普遍不高，對于信息安全建設的重視和投入依舊不足。

例如，相當一大部分企業(yè)的安全部門又IT人員兼任，或者是整個安全部門只有一個人，匹馬單槍扛起整個企業(yè)或組織機構的安全工作，這絕非是一件簡單的事情，其中的辛酸外人難以理解。

因為要做好安全工作，你不僅要了解企業(yè)的業(yè)務，清楚產(chǎn)品上線各項流程；你還要擅長溝通，具備良好的語言表達能力，把專業(yè)的安全語言翻譯成對方聽得懂的話；你要精通網(wǎng)絡安全政策和標準，時刻關注公司的合規(guī)情況；你還要會一點教育培訓的能力，在一群昏昏欲睡的同事面前講解如何提升網(wǎng)絡安全意識；甚至你還可能會被當成修電腦的，或者是處理桌面問題等。

就是這樣一個幾乎不可能完成的工作，當你加班加點完成之后，你會發(fā)現(xiàn)得到的不是老板的贊賞，而是“一個人同樣可以干好安全工作的刻板印象”，自然也就絕了招人加薪的想法。

此外，隨著網(wǎng)絡安全法律法規(guī)的完善，我國對于觸及網(wǎng)絡安全紅線的處罰也越來越嚴重，而安全部門作為最直接的管理者，往往需要為此承擔相應的責任，有時候甚至面臨刑事責任。

這也正如某個大佬吐槽的那樣，操著***的心，拿著賣白菜的錢，還背著一口甩不掉的鍋。

安全重要但不重視？

那么，這里就出現(xiàn)了一個矛盾的現(xiàn)象了：網(wǎng)絡安全十分重要，但是在企業(yè)內(nèi)部，網(wǎng)絡安全部門卻又不受重視。

在筆者看來，其原因在于，一是企業(yè)面對網(wǎng)絡攻擊時抱有僥幸心理，認為企業(yè)不會成為攻擊目標，或者是攻擊不會給企業(yè)帶來嚴重的損失。以往的經(jīng)驗表明攻擊并不是經(jīng)常出現(xiàn)，但是隨著數(shù)字化轉型浪潮的出現(xiàn)，企業(yè)正在為這種僥幸心理買單。

例如曾出現(xiàn)“5億用戶信息泄露事件”的華住集團，顯然不會再抱有這樣的僥幸心理，而是扎扎實實做好網(wǎng)絡安全工作；而抱著這種僥幸心理赴美上市的滴滴，到現(xiàn)在還在為此買單，給企業(yè)帶來了難以言表的損失。

二是認命心理，通常出現(xiàn)在中小企業(yè)之中。由于這類企業(yè)處于擴張初期，面對激烈的市場競爭，企業(yè)被迫投入全部的資源。如同一個人一樣，必須要吃飽飯才能去考慮生病之類的問題，因此他們往往會有意無意地忽視企業(yè)信息安全建設。但有數(shù)據(jù)表明，這類企業(yè)才是攻擊者最喜歡的目標，不少中小型企業(yè)也因此付出了代價。

隨著科技的發(fā)展和時間的推移，這樣矛盾的現(xiàn)象將會進一步得到改善，再抱有以上心理的企業(yè)遭遇攻擊和因此蒙受損失的概率將會逐漸上升，而網(wǎng)絡安全的重要性也必將倒逼企業(yè)更加重視安全部門。

令人欣慰的是，即便在企業(yè)中不受重視，但是廣大的信息安全人員依舊在崗位上戰(zhàn)斗，用盡一切辦法強化企業(yè)信息安全防護體系，撐起了企業(yè)的安全脊梁。尤其是那些一個人的安全部門，他們精通十八般武藝，為了心中那個“重要”的目標，痛并快樂著。

也許未來，依舊會有很多企業(yè)不重視安全，但是卻無法改變網(wǎng)絡安全越來越重要的趨勢，而那些不重視網(wǎng)絡安全的企業(yè)，最后總歸會因此失去點什么。

原文轉自FreeBuf.COM，作者蘇蘇。

Hi，我是超級科技

超級科技是信息安全專家，能無上限防御DDos攻擊和CC攻擊，阿里云戰(zhàn)略合作伙伴！