安全部门提高人效的指标及安全服务成本杂谈 | 总第231周

‍‍

‍‍

0x1本周话题

话题一：现在都在提降本增效，信息安全部门都有哪些提高人效的指标？

A1：裁员，《网络安全降本增效之从1到0的建设过程》。

Q：在不裁员的情况下呢？甚至安全人员本来就缺的情况下，还被要求制定人效指标，求大家支支招，再裁整个团队就没了。

A2：安全应该和合规风险一样，有最低比例要求。目前证券业都缺安全人员。

A3：得看具体工作职责和基础设施条件，比如单人代码量，平均执行工单数，自动托管率，有些工作是可以通过成本1的信息化建设，节约人力2的投入的，实现1＜2，事实上就算没有降本增效要求，平时这也是解放自己的业绩。

我虽然投入了1，但是后续这件事需求量增加不用堆人了，能系统化解决了，边际成本降低了。

A4：几年前做安全工作中，有个让业务配合的技巧，就是给业务出招，要么帮增加业务的功绩，要么帮业务降低成本，然后引起业务和安全的互相合作。从当前全面降本增效的角度看， 如果要能帮业务降本，那么就会给安全更多机会，也是一种变相降本的方式。

Q：安全怎么帮业务降本增效？业务和内容安全除外。还有为啥要帮业务降本增效呀，核心是讲自己价值，安全挣钱很难，算出来肯定亏。

A5：我讲的其实是一种拉齐成本的方法。初衷肯定不是以降本为目的的。降了什么增了什么，拿什么比很关键。

Q：安全出的方案是不是都得增加工作量？

A6：比如我出一个方案，跟安全没关系，降低了业务100万每年的存储成本，业务就会来跟你合作至少多少的投入。本质是拉动合作关系，在这个场景下就是一种变相降本。

安全帮业务降本增效也完全走得通，ids、edr能细颗粒度帮助业务分析资源调度合理性问题、建设规划合理性问题以及质量监控等问题。

A7：那是把应用运维同学的活都抢了吧。

A8：合作，也不一定是零和，安全不要老想着零和。不然来个狠点的，同等规模企业，用最少的人和钱，完成不出红线的安全工作。就是不卷自己，看同行，如学习某电商，挥刀自宫。

A9：我们最近老是被借走人，老板说，跟同业比，你们人真不少，想想办法克服下。我想了想，不是我效率不行，是你们不争气，如果把工作职责拉齐，我们人太少。

A10：做得太好了，老板没感知。开发还可以代码写 sleep()，安全能 alert()么。不过很难做得太好，比如西工大被美国NSA APT攻击了，老板问你，我们有没有这种风险，要做什么改进，你怎么回答？

A11：不要老板问吧，平常就准备好，别人家出了啥问题，赶紧自我反省下。热点的时候，老板有别的消息渠道，会主动问你，提前准备好了也行，怎么回答呢，这时候总不能兜售攻破公司的100种方法吧，要给解药吧。

A12：你别说你已经做好了就行了，问题和解药一直有，只不过一直做不完，现在已经是妥协后的抓大放小了，历史上的问题，总说自己已经完全搞定了，多少也在粉饰太平。

比如分析，热点事件原因是什么，要规避风险可分解为10个环节，我们在1-7已经完成了什么，在8-10还有提升的空间，可以采取如下行动。老板说：好，做吧。一年后，你不能把老板不接受的风险再说一遍吧。当然，如果老板接受了一定风险，让安全控制着风险和业务一起运行，这个时候反而离不开安全。

话题二：最近几个合作方都在提网安行业大裁员，这是啥信号？

A1：最近好几家几乎同一时间在搞这个事情，让人感觉是行业冬天要来了。这次范围还真是挺广泛的，我们的安全服务商 一多半都有变动。个人理解还是安全服务的成本被抬得太高了。

A2：感觉是安全服务没有做到标准化，之前可能很多企业尤其是头部的，为了扩张，甚至0利润的在做一些服务项目，但是人员成本是硬支出。

A3：看看这个新闻，12月28日晚，招商银行发布监事会决议公告称，会议审议通过了《关于招商银行2022年度绩效薪酬追索扣回情况的议案》。更早之前，招行2022年年报曾经披露，招商银行执行绩效薪酬追索扣回的员工2,876人，追索扣回绩效薪酬总金额5,824万元

A4：银行有这个工资追回机制，约束力较大的是对管理人员。还有个延递机制还是啥的，相当于之前说的钱，其实还没发到手吧。若员工花了没钱，先从年终奖扣，不够了在来年的工资里面继续扣，直到满了为止。

A5：安全还好吧，一方面是合规和隐私保护的压力，二方面是安全的木桶效应明显，削减安全资源不仅会降低自身安全能力导致风险，还会因为自身在大环境内水平降低导致更大风险（黑客会选择更容易的攻击对象）。

其实企业的安全投入不会减少，而是越来越理智和具有针对性，多年的压力传导，很多企业尤其是政企已经度过了大开大建的过程，后续可能会向精细化转变，比如：敏感数据保护的具体落地、安全运营、开发安全这些方面。对于干实事的人来说是好事，安全需要做有价值的事情。

A6：对于企业主来说怎么算有价值，如果不出事了，或者出事后并不需要付出多少代价，那大部分企业是没有机会体验这个价值的，对能力强的区别不大，但是岗位需求减少，整体影响还是大的。

A5：安全哪有那么重要，主营业务不行的时候，安全就是边缘化裁员对象。没了业务，安全也就没了。

A6：合规，隐私保护，安全防护，利益相关方需求，安全讲好这些价值是基本的，别做第一个裁的，做最后的贡献，给其他被裁的设个赔偿下限。

还有大公司搞esg的，安全也是其中很重要一部分，我觉得安全可以多了解了解别的部门具体在干啥，会有新的发现和新的———老板，安全真的很重要，安全价值处处在。

A7：业务和数据安全的需求一直在，对安全公司来说，等级保护落实，攻防演习带来的需求是两波比较大的机会，因为是强监管、强需求；随着这两方面常态化，各单位的安全建设趋于稳定，主动增量部分，就看各自对业务和数据安全的重视程度了。合规方面除非业务关停，需求一直有；隐私保护方面除非公司关停数据删掉，需求一直有。

A8：不安全、不合规，大部分情况没啥成本，通报一个解决一个，按需找机构打点下都能解决，按需付费，也不一定要养多少人。所以很多厂的安全部门都汇报给合规线了，总归比汇报给运维线好得多。

A9：至少安全跟合规，立场上没有跟运维冲突那么大，外行领导内行，其实在某个领域很普遍。其实外领内也有他的优点，打破权威和僵化。

0x2

原文始发于微信公众号（君哥的体历）：安全部门提高人效的指标及安全服务成本杂谈 | 总第231周