2.1 創(chuàng)業(yè)型企業(yè)一定需要CSO嗎

1．招聘方的訴求

當(dāng)下不少創(chuàng)業(yè)型公司都在找CSO，也有找到我的，就順帶分享一下我對這個問題的思考。首先這個問題即便是對同一個人而言可能答案也會因時而變，其次CSO只是一個代表性的稱呼，大家不要過于糾結(jié)一定要做什么事才算CSO, CSO和CISO又有什么區(qū)別之類的，在這個語境下用來指代招聘方想找擁有全局安全管理經(jīng)驗(yàn)的人，甚至最好是資深的從業(yè)者，他能帶一支哪怕是幾個人的安全團(tuán)隊(duì)，并能把安全相關(guān)的事全部攬過去。

2．不同階段的需求

對于尚在天使融資階段，找個CSO大多就是去忽悠投資人的，通俗一點(diǎn)理解就是湊一支履歷光鮮的隊(duì)伍去“騙錢”。能不能做事情這個很難說，也不能說人家一定做不了事情，這種只能事后諸葛亮的蓋棺定論，隨便說人不靠譜也是不負(fù)責(zé)任的，不過我想對于大多數(shù)有不錯崗位的人而言應(yīng)該是不會去的。

對于拿到A輪、B輪投資的階段，業(yè)務(wù)方向已被證明，業(yè)務(wù)量不大但進(jìn)入快速成長期，問題層出不窮。CEO和CTO覺得頭疼并且想把這部分壓力轉(zhuǎn)嫁出去，理論上是應(yīng)該找一個懂安全的人的，但是現(xiàn)在這個時間點(diǎn)（也就是2016年）真的不是一個好時間，在當(dāng)下很多公司用數(shù)百萬也經(jīng)常找不到合適的CSO，創(chuàng)業(yè)型公司要在這個時間點(diǎn)上爭奪安全人才真的是很累的一件事。建議找2～3個靠譜的安全工程師，然后CTO（技術(shù)總監(jiān)）、運(yùn)維Leader、開發(fā)的架構(gòu)師這幾個角色快速補(bǔ)一點(diǎn)安全的知識和方法論，哪怕是充當(dāng)救火隊(duì)長趕鴨子上架，大家配合一下，應(yīng)該也能把安全撐起來，不一定非要找一個大牛級的CSO，因?yàn)橛袝r候業(yè)務(wù)量沒那么大規(guī)模，不一定需要很高級別的人，且創(chuàng)業(yè)型公司為了保持自己的鮮活也不需要套用大公司的流程和方法，做好基礎(chǔ)的運(yùn)維安全，代碼安全，加強(qiáng)一些安全意識，不出問題的時候騰出時間來研究一下下一步怎么做，跟時間和業(yè)務(wù)增長速度賽跑，跑著跑著，應(yīng)該就會越來越輕松了。當(dāng)然，作為創(chuàng)業(yè)者，如果你有一個安全領(lǐng)域的朋友愿意幫你出謀劃策，偶爾回答一下安全建設(shè)如何做這類問題，其實(shí)那CSO的需求也就解決了，代價只是請吃幾頓飯。

對于拿到C輪、D輪、E輪投資的階段，業(yè)務(wù)初具規(guī)模，開始朝更高的目標(biāo)沖刺，同時能給人畫更多的“餅”，如果之前已經(jīng)招到靠譜的安全工程師，那這個時候應(yīng)該已經(jīng)成長起來，承擔(dān)起Leader的角色，通常也不需要從外部招CSO了。這個時候想從外部招CSO的都是之前主觀的或被迫的不太重視安全，出了問題才想要頭痛醫(yī)頭腳痛醫(yī)腳。這個時候的業(yè)務(wù)形態(tài)跟大公司比應(yīng)該是“麻雀雖小五臟俱全”，安全管理上應(yīng)該是有很多相似的地方了，對于初具規(guī)模的業(yè)務(wù)而言安全管理的經(jīng)驗(yàn)很重要，可以直接從大公司挖人。當(dāng)然了級別較高的人估計(jì)還是挖不動的，能挖動的主要就是骨干那一層的人吧。通常你需要容忍他們業(yè)務(wù)上有深度但不一定面面俱到，很可能情商和管理能力也差強(qiáng)人意，不過能解決你的問題就行，面面俱到的人才畢竟還是太貴了。對于那些估值超過100億美元的創(chuàng)業(yè)型公司，還是建議找高端人才。

對于準(zhǔn)備沖IPO的階段，這個時候想必不會囊中羞澀，如果你是這類公司的CXO，還為找不到人感慨萬千，我想也許是心態(tài)還不夠開放，亦或許是給人的“誠意”還不夠，對此我也給不了太多建議了，畢竟市場上高級人才只有那么一小撮人，來不來，去不去取決于那一小撮人的意愿，被打動了自然來，沒被打動的自然不去。

3．創(chuàng)業(yè)型企業(yè)的挑戰(zhàn)

對選擇轉(zhuǎn)會的CSO去創(chuàng)業(yè)公司是否有挑戰(zhàn)？有，也沒有。首先做的事情往往還是從頭建團(tuán)隊(duì)，把過去建設(shè)安全體系的過程從零開始再做一遍，從這個角度講重復(fù)過去做的事情盡管業(yè)務(wù)有所不同但過程和結(jié)果上未必有挑戰(zhàn)。有“挑戰(zhàn)”的反而是如何在創(chuàng)業(yè)公司的條件下招募成員，維系團(tuán)隊(duì)，在很多流程及界限不分明的情況下推動事情落地，僅此而已。對CSO本人而言得到的實(shí)踐機(jī)會未必有大公司多而廣，因?yàn)榘踩且粋€隨企業(yè)規(guī)模而復(fù)雜化的工作。但是，如果你是CSO的跟班小弟，那你可能是成長最快得到鍛煉最多的人，因?yàn)槟憬?jīng)歷了安全建設(shè)從無到有飛速發(fā)展，從簡單到自動化的過程，這個過程不是人人都能經(jīng)歷的，如果你進(jìn)入BAT在一個很細(xì)的分支上耕耘幾年未必能積累到這種“全局視野”，相反在這種環(huán)境下才能快速積累。所以除非公司IPO, CSO都不是團(tuán)隊(duì)里收益最大的人，但跟班小弟卻是最大的贏家。