1.4 如何引起重視？

企業(yè)信息安全是一個“極端復(fù)雜”的“二級混沌系統(tǒng)”，企業(yè)安全團隊所要解決的絕不僅僅是技術(shù)問題。所以想要做好安全工作，需要投入很大的精力，安全團隊需要得到公司決策層的大力支持。而在企業(yè)中，決策層的支持是稀缺資源，我們不能躲在角落靜等企業(yè)高層的主動關(guān)注。

保險銷售人員的工作是把他的產(chǎn)品銷售給客戶，而企業(yè)安全團隊成員（尤其是團隊負責(zé)人）的責(zé)任是要將自己的能力、團隊甚至理念銷售給企業(yè)。

我們在前文提出了一個觀點：企業(yè)的安全團隊是不可替代的！但是這個觀點并不是說給安全從業(yè)者們聽的，因為他們就是企業(yè)自建安全團隊的受益者，就算意識不到這一點，也完全沒問題。更應(yīng)該理解這個觀點的其實是企業(yè)的決策者。

問題來了，企業(yè)安全團隊如何讓高層意識到自己的不可替代性？在企業(yè)中沒有哪個部門會跟高層說自己是不重要的，在所有人都在宣稱自己很重要的時候，安全團隊?wèi)?yīng)該怎么做？我們將企業(yè)內(nèi)部環(huán)境分為如下四種情況，分別展開討論。

第一種是最差的情況，企業(yè)的管理者對網(wǎng)絡(luò)安全完全沒有概念，認為安全事件根本就不是問題，就算有問題運維團隊順手就干了。

正常情況下，筆者不建議安全從業(yè)者就職于這類公司，這也是為什么我們將這類企業(yè)環(huán)境歸結(jié)為最差的情況，但并不能確定沒有信息安全從業(yè)者就職于這類企業(yè)，所以我們還是要探討一下。一般來說這種情況下，企業(yè)往往沒有什么實際的安全壓力，否則也不會完全不重視。所以，我們僅僅是舉別人的例子，講可能存在的風(fēng)險是很難打動管理層的。如果我們要在這類企業(yè)中凸顯安全的重要性，建議從如下幾個層面開展。

1）找到企業(yè)安全問題，如果自己能力不足，可以動用一些個人關(guān)系和廠商的資源（如果需要挖漏洞，需要注意授權(quán)問題）。

2）歸納總結(jié)，然后把這些問題和企業(yè)的實際損失掛鉤，比如中了挖礦病毒會造成IDC資源的消耗有多少，最好能直接與經(jīng)濟損失掛鉤。

3）將這些問題擇機向高層提出，注意是“擇機”。如果提出這些敏感問題的時機不對，結(jié)果可能適得其反。

第二種情況是管理者清楚安全的重要性，但認為這并不是第一要務(wù)，團隊可以有，但不需要很大的團隊，花錢也不能多。

目前在行業(yè)內(nèi)這類情況還算比較多的，簡單來說就是領(lǐng)導(dǎo)們想支持你，但不想讓你折騰得太“猛”。這種情況下，安全團隊要緊貼業(yè)務(wù)，千萬不能沉迷于自己的技術(shù)優(yōu)勢。公司管理層的職責(zé)是讓公司生存下去，而不是讓你展現(xiàn)你的技術(shù)實力。我們要讓自己的技術(shù)成為業(yè)務(wù)發(fā)展的助力，而不是絆腳石。這話說起來簡單，具體執(zhí)行起來還是很難的。筆者的一位好友曾經(jīng)在某大型互聯(lián)網(wǎng)公司的做法就很值得借鑒：

首先，給業(yè)務(wù)劃定一個安全范圍，在這個范圍內(nèi)，用各種辦法保障業(yè)務(wù)安全，給業(yè)務(wù)野蠻生長的空間。其次，同樣用各種手段巡查是否有“出圈”的情況。第三，調(diào)整這個“圈”，使它不斷適應(yīng)業(yè)務(wù)的發(fā)展。

大家是不是想起了《西游記》？是的，孫悟空的那個圈就是安全范圍（見圖1-1），唐僧出圈后遇到危險，悟空當(dāng)然要去解救，但沒人會覺得這是悟空的問題。責(zé)任問題在《西游記》里不是重點，但在企業(yè)中把責(zé)任分清楚的重要性不言而喻。如果悟空具備互聯(lián)網(wǎng)企業(yè)產(chǎn)品經(jīng)理的思維模式，這個圈就應(yīng)該能自動伸縮，用戶體驗會更好。

第三種情況是企業(yè)確實面臨著嚴重的安全問題，比如：被“薅羊毛”、數(shù)據(jù)丟失等。這種情況往往是前期比較好做，畢竟有具體的問題需要解決，要求安全團隊有比較強的解決實際問題的能力，無論是產(chǎn)品選型還是自主研發(fā)，需要的是快速、經(jīng)濟、準確地解決問題。只要不出大問題，這個階段會是安全團隊和管理層的“蜜月期”。但后期如何深入體系化建設(shè)是個問題，在這個階段建議安全團隊的管理者要思考這些具體問題解決后，安全團隊的定位。

第四種情況是管理層能很好地認清形勢，給安全團隊比較大的支持。這種情況確實有利于安全團隊開展工作，很多事推動起來也比較順利。但是與對行業(yè)形勢和安全態(tài)勢都比較了解的管理層溝通，安全團隊更要展示出自己的技術(shù)能力和大局意識，同時要更多地和高層溝通，明確方向。這無疑給安全團隊負責(zé)人提出了很高的要求，團隊成員也需要調(diào)整自己在團隊中的定位，從而給團隊負責(zé)人提供更多的支持。

以上是筆者總結(jié)的幾種情況，不一定覆蓋所有可能性，因為每個企業(yè)都有自己的行業(yè)特點和團隊面貌。所以，每個人都要根據(jù)自己的實際情況選擇適合的對策。但無論處于何種情況，要得到高層的支持，需要頻繁溝通，同時，對于日常工作或項目進度要有市場的成果展現(xiàn)。成果的展現(xiàn)主要分兩個維度，一個是時間維度，另一個是成果維度。

所謂時間維度，就是在一個較長線的工作中，要適當(dāng)?shù)卣宫F(xiàn)階段性成果。筆者比較反對“憋大招”的做法，這會讓公司高層對你的工作很沒底。一定要有階段性的產(chǎn)出物，并及時展現(xiàn)或匯報。除非有些工作就是要制造驚喜效果，但這類工作想必不會很多。

所謂成果維度，就是對于那些工作很難量化成數(shù)據(jù)或者沒有具體展現(xiàn)的工作成果，要適當(dāng)尋找展現(xiàn)機會。這就對安全團隊的管理者提出了較高的要求，團隊管理者要具備足夠的產(chǎn)品思維，能把安全團隊的成果轉(zhuǎn)換成可量化、甚至可見的產(chǎn)品級輸出。對內(nèi)產(chǎn)品級的輸出并不需要像安全廠商一樣有非常成熟的產(chǎn)品成熟度，但也不要將系統(tǒng)設(shè)計得太過技術(shù)，一個友好的人機交互界面是非常有必要的。安全團隊負責(zé)人應(yīng)該考慮從多個維度展現(xiàn)工作成果，甚至把這種思想深入骨髓，研發(fā)產(chǎn)品的時候、工作匯報的時候、日常閑聊的時候都應(yīng)該找機會把安全團隊的工作價值體現(xiàn)出來。關(guān)于匯報工作的具體方法，本書第14章將詳細論述。

最后，因為近年來國家對網(wǎng)絡(luò)安全越來越重視，所以從合規(guī)的角度來說服領(lǐng)導(dǎo)也是非常重要的，合規(guī)方面的內(nèi)容將在第2章介紹。