2.3 如何協調資源

多數安全相關的工作都不能單打獨斗，需要大量人員、資金以及政策上的支持。所以協調資源很重要，這種事無非是兩個層面：“要什么”和“怎么要”。貌似簡單的問題，在實際工作中可能面臨極大的困難。

2.3.1 要什么？

除了3歲之前的孩子能做到一定程度的“想要什么就要什么”外，我們在任何情況下都不太可能做到隨心所欲地索取資源。所以搞清楚自己的需求是什么非常重要。

（1）要Head Count

作為一個團隊的管理者，在排除“一個人的安全部門”的情況下，自然需要團隊支持，要設計團隊的崗位組成，包括但不限于：安全運維、滲透測試、源碼審核、安全運營、安全開發等，如果是一個比較大的團隊，還需要相應的管理崗。除非公司在推著你去擴大安全團隊，否則你都要向領導明確陳述這些崗位的作用和帶來的價值。

比如安全開發這個崗位不是所有安全團隊都會有，我們想要設置這個崗位就可以從下面幾個角度去陳述。

1)預算批復需要時間，但如果我們有開發團隊就可以在需求確定后快速進入工作狀態，而不用等預算。

2)企業需求頻繁變更，項目制使需求變更這件事變得非常困難，開發團隊可以讓很多工作進入“小步快走”的狀態，更有利于風險控制。

3)自主研發這件事雖然在互聯網公司司空見慣，但在傳統企業還是一個很能體現技術實力的工作，有利于企業技術形象提升，甚至對外實現產品級輸出。

（2）要錢

其實企業中大部分需求最后都落地到要錢這一環節，上文提到的Head Count就等于工資預算。要錢這件事是一個團隊最重要，也是最難的事。因為再有錢的企業預算也是有限的，對不存在絕對的安全行業來說，企業有多少預算都可以用更高的安全等級消耗掉預算。要預算需要根據企業的特點，甚至某些負責人的喜好采取不同的策略。

對于輕資產的企業，就盡量不要提出采購海量硬件設備的解決方案；對于很看重技術創新的企業來說，自主研發所帶來的滿足感是商業產品所不能滿足的。

（3）要政策

鑒于安全工作的復雜性，埋頭苦干肯定不是最好的工作方式。安全團隊需要與外界大量協作：安全漏洞需要和運維與開發協作；內部活動需要與培訓或行政部門協作；安全響應中心（Security Response Center，SRC）需要與白帽子協作等。企業的規模越大，跨部門甚至跨企業的協作成本越高。在很多工作前期就與領導溝通，爭取到一些文件級的政策，對后面的工作有很大的幫助。至少在較高層的會議中的口頭協定，都會極大降低你在后續工作中的溝通成本。

2.3.2 怎么要？

2.3.1節已經一定程度上解答了怎么要資源的問題，這一節主要回答下面兩個問題。

（1）“無休止地要預算”的錯覺如何避免

一般情況下，企業中各部門都會每年申請自己的預算。在預算申請的時候經常會給領導層一個錯覺——安全需求永遠無法滿足，永遠用不同原因申請預算。一旦讓領導產生這種情緒，很可能導致預算審批變得越來越困難。這種情況可以從如下幾點規避。

1）解決痛點，前文中談到過這個問題，如果我們識別出了企業的痛點，并得到了領導的認同。那最好的方法就是將你的安全方案和解決痛點的關系闡述清楚，是事半功倍的選擇。

2）安全體系要有一致性，除非企業技術架構有重大調整，否則安全體系的規劃一定要有一致性。并不是說放棄創新，而是說創新要在符合整體體系大方向的范圍內進行。切忌每年搞不同的體系架構，去年PDCA，今年滑動標尺，明年再搞縱深防御，這會讓聽你匯報的人感覺一頭霧水。記住，如果你的領導不是安全行業出身，他能完全接受一個體系就很不錯了。

3）別炫技，除非你的老板是個懂安全相關技術的人，否則千萬別在你的報告或者匯報中摻雜太多技術性較強的名詞或邏輯。記住，你的核心需求是讓領導認同你并給你想要的資源，而不是展現你技術有多強。

（2）陳述了需求，但出于種種原因無法得到想要的資源怎么辦

比起領導不認同的情況，更無奈的是領導很認同你的想法，但綜合考慮之后他做出了很艱難的選擇——放棄你的方案，因為有限的資源內他有更重要的事情要做。這種情況下只有兩件事可做。

1）爭取退而求其次的第二方案：這需要首先弄清楚為什么我們的方案被拒絕。如果是因為A方案預算太高，我們是否能提供所需預算更少的備選方案？如果由于公司編制問題不讓招人，我們是否能提供一個人力外包的解決方案？如果因為公司體制問題無法給你很明確的政策支持，我們能否尋求一個口頭承諾？總之，別急著放棄，看看有沒有更多的選擇。

2）放平心態：就算所有方案都沒有可能被采納，也不要灰心。一般情況下領導不會無端否定你的方案，要在有限的資源下盡量幫助企業解決更多問題。就算你想跳槽，也不要讓這件事情變成跳槽的原因，否則你可能會面臨不斷跳槽的境地，因為沒有哪個企業會很順利地滿足安全團隊所有要求。