我在甲方做安全（第一集）：领导只掏一碗钱，非让我做两碗粉

“反差实在太大了……”

“嗯？”

“哦，领导，我是说，公司有些地方的反差实在太大了。”

随便找了个位置坐下，迎上了老王一脸不解的神情：“此话怎讲？”“是这样，每年呐，那个国外都有个企业战略集团，叫做ESG，他们和ISSA之间呢，每年都会合作开展一项研究项目，这个研究项目啊，最终会形成一份题为《网络安全专业人士的生活和时代》的报告。”稍一停顿，老王和我面面相觑，肉眼可见的是，他脸上的疑惑更甚了。

“就每年呐，作为该项目的一部分，受访者都会被问及一系列关于全球网络安全技能短缺的问题，这领导您懂吧……然后根据该小组的说法，网络安全技能短缺是十分真实且影响巨大的。比如2023年，有71%的受访者表示，他们的组织受到了网络安全技能短缺的影响。当然，这些结果并不令人意外，ESG和ISSA在这项研究上有过八年的经验，每年他们都会问出同样的问题，而且每年都会有60%到75%的组织声称，他们受到了技能短缺的影响。所以，这不是啥多稀奇的事，可以说很普遍……。”

“不是，你兜兜转转这公司那报告的，到底想说啥？”老王皱眉抚发，刘海从三七变为二八。于是我叹了口气说道：“领导，我想说的是，我们公司的网络安全技能也非常短缺啊……”

尴尬又不失礼仪地对视了几秒，老王缓缓直起身，眯缝起了双眼：“小杨啊，这就是你所谓的反差太大？”他手指轻敲桌面，似乎在酝酿该以何种“黑帮形象”与我周旋。

“领导同志，天地良心啊，面试时不是您说本司最看重的就是安全部门嘛，说什么安全部门马上要扩大规模了，还说什么安全负责人这个位置不是谁都能坐的，希望我来之后能将自己的信仰绽放于公司上下……可这都半年下来了，扩充的人呢，我们安全部门每天就仨人，我一负责人带俩您老口中所谓的‘精兵悍将’，每天早起贪黑，就差端茶送水没干了呀……”

这一刻我倒是有过寻思，是否顺便擦擦眼角效果会更好？

老王轻咳几声，似乎有所质疑：“我有说过这话？”哈哈，好一招“翻脸不认人，入司大变样”，怪不得说男人婚前婚后两张脸……“不信您问娜娜，面试我时她也在场！……娜娜！娜娜！！”

“行了行了，别叫唤了……小杨啊，是这样。”老王咽了咽口水，咂巴着嘴：“公司当初聘请你来，就是想着或许你能以一挡百，你能明白这良苦用心吗？一方面，公司是承认你的能力，对你有绝对的信心。另一方面，你也知道，现在外部大环境如何，我当你自己人，所以就明着和你说，对吧，这多招人就是额外的成本，这钱用在哪里不是用？你懂我意思不？”老王扬起嘴角，朝我缓缓点着头。

唉～可惜我要对公司的安全负责啊……不等老王自我感觉继续良好，我深吸一口气后说道：“领导，您知道安全技能短缺会给公司带来什么影响吗？您又是否知道，超额的工作量会给员工带来怎样的后果？对安全部门来说，除了日常的安全运营外，我们还要背负报告的压力，和其他部门沟通的压力，以及不可持续工作的压力。我知道，不管是啥工作，都会有相应的挑战和困难，可我们是安全部门呐，我们背负的是整个企业的安全问题啊！在这样高压的背景下，安全人员犯错的可能性会不会大大增加？同时他们对安全工作的积极性会不会越来越低？”

紧接着，我拿出了手机，从上读起了早就预备好的数据：“根据ESG和ISSA的这项研究，32%的CISO表示，技能短缺会导致与网络安全任务相关的人为错误增加；38%的CISO声称，技能短缺会导致网络安全和业务团队之间的协作减少；而43%的CISO则表示，技能短缺会导致公司只能雇用到初级安全人员，因为真正的安全人才会嫌公司不注重网络安全。”

“此外……”我快速翻阅手机，感觉自己“一点寒芒先到，随后枪出游龙”：“安全公司Hadamard的研究指出，43%的安全人员表示，工作压力令他们几乎没有能力去应对潜在威胁；25%的安全人员觉得，由于网络安全事件的类型太多，只让现有人员去应对好这各式各样的威胁，这几乎是不可能的事。同时，IBM最新的数据泄露成本报告指出，安全技能短缺和人才配备不足是造成数据泄露成本上升的最主要的因素，安全技能严重短缺的组织的平均数据泄露成本为536万美元。”

将手机放下，看着眼前逐渐若有所思的老王，我缓缓说道：“领导，您不是最喜欢拿我们公司和国外对标吗？说我们就该以国外先进为基础，以赶超他们为目标，所以您为了响应国家政策，为了实践更完善的制度，才改变了安全负责人向IT负责人报告的传统，让我有啥事都直接和您说……现在我该说的都说了，您看……”

半晌，老王重重地点了点头，但随口又皱眉道：“公司不是没招人，我们招了的，不信你问娜娜。”我倒是真想立刻就去娜娜那儿问个清楚，比如问问她有没有男朋友之类的。

“您老想知道为什么不？哈哈，根据ESG和ISSA的研究，68%的CISO表示，他们的组织根本没有提供‘具备竞争力的薪酬’。此外，41%的CISO声称，他们的组织缺乏对网络安全负责人的声誉造就，这使得招聘安全人才变得更为困难。当然，我们公司无需在我身上大费周折，但这个薪酬问题，您看……”

老王推了推眼镜，似乎颇为无奈：“现在家家公司都在强调降本增效，你让我怎么向上面开口？”

“那就让他们自己衡量，到底是数据泄露、业务中断的风险能够承受，还是小小的人力成本能够接受，一天天惯的……怪不得只有32%的CISO认为，他们的组织在解决网络安全技能短缺方面做得还不错，而41%的CISO表示，组织现状十分令人担忧！国外都是如此，更何况我们呢……”

“行啦行啦，那你说说我们现在可以做些啥呗，让上面提高预算哪有那么简单……我尽量配合你咯。”老王摘下眼镜，不停搓着脸庞，想来他身上的压力应该也不小……那他为啥有闲情和娜娜“劈情操”？

“领导，说得好啊！有您在背后支持，公司怎能不迈向辉煌啊！我对您的敬仰，真是犹如滔滔江水连绵……”看到老王从指缝后激射出两道锐利的目光，我话锋一转：“当下，我们首先要关注到‘安全员工的身心状况’，比如我手上的这两位，千万不能把他们给逼走了，我的计划是，除了提高他们的满意度外，还可以为他们提供技能发展的机会，当然，我作为安全负责人应该也需要相应的提升。最近听说安在新媒体推出的‘超级CSO研修班’还不错，领导您看……”

“先说下去……”

“好嘞。其次，企业在安全文化方面的宣贯很重要，这需要您来牵头，比如让企业其他部门像您一样，重视起安全的存在，这样他们才会像您一样，重视起我们安全人员，您说是不是这道理？一旦其他部门都重视安全了，安全的实施就能更有效地落地，各部门和安全部门之间的配合也能越来越顺畅，相应地，各种监管风险、泄露风险、攻击风险也会越来越少。更美好的明天也就在等着我们，伟大的民族复兴从这一刻起……”

“说！下！……”

“那我们不禁要问！如何在不增加人员的情况下提高员工效率，以弥补公司安全技能短缺等问题呢？在我看来，与IT部门合作，实现端到端的流程自动化是个不错的选择。而且，自动化安全操作流程是一个很好的开端，对先进的组织而言，其不仅仅会局限于某个节点的安全自动化，而是会考虑跨生命周期的流程自动化，包括安全、IT运营和软件开发，比如在发现/修补软件漏洞、分割网络或DevSecOps程序等方面嵌入自动化，等等。”

老王重新戴回了眼镜，不禁点头道：“这倒是可以考虑。”

“而作为安全规划的一部分，我觉得现阶段目标应该直接围绕网络安全技能短缺问题，并建立假设，比如我可以为此创建出一个开放的网络安全模型，然后使那些安全托管服务商能够与我们现有的控制、既定的流程，以及公司特有的技能组合进行无缝集成。就是这方面的预算，还需要您老……嘿嘿。”

老王瘪了瘪嘴，但脸上还是露出了笑意：“不错，想得倒是挺周到。”

“对了，还有一点！”灵机一动，我觉得自身的倦怠问题或许能得到不错的缓解：“安全培训很重要！我那几位前辈曾说过，比如那个安全专家陈圣说的，在企业层面，应该着重发展企业内部的网络安全技能，而不是简单地从外部寻找现成的人才，应该鼓励内部人员创新和持续学习；再比如安全专家ziven说的，企业可以定期进行安全意识培训，提高全体员工对网络安全的重视程度，让员工明白网络安全的重要性，以及如何在日常工作中遵守相关的安全规定和操作流程；此外，某技术公司安全部经理于利新也说过，安全人员也可以创建培训课程，把其他对安全感兴趣的人员培养起来。”

老王听后又是云里雾里：“你这啥意思？你还有闲工夫开培训班？”

“开培训班那确实太累了，我寻思先简单地培训下各部门的负责人比较好。对了，我突然想起来了，上次娜娜说她对网络安全还是挺感兴趣的，不如我先单独培训她试试？毕竟人事部门要管理的数据很多，可能存在安全问题……”