安全观点：企业信息安全十大痛点，你中招了？w

前言：

晚上见了个老朋友，一起聊了下安全相关的话题，吃完饭回家地铁上，突然想起了几个思路，所以便有了以下内容，当然这些内容也是301这几年跟很多企业的朋友沟通后了解到的十个比较头疼的话题，也是现在企业最为关心的十个问题，希望能够给大家带来一些帮助，至于解决方案是什么？我觉得作为读者的你，可以加我个人微信（2036234），无论你是什么企业，什么职位，未来可能会对你有一定帮助。

第一、决策层不重视信息安全

无论是传统行业中高层，甚至是互联网企业的高层领导，一方面他们是非技术背景，另外一方面确实觉得信息安全的重要性是有限的，总觉得自己的业务发展很稳定，不会觉得有骇客去关注到自己的企业，从而决定企业/部门IT技术的投入比例。最后，自然不会考虑在信息安全投入更多的资金和资源去落实安全工作。这样的企业大多数内部资产信息/用户的数据早就存在安全风险，甚至已经被人已经窃取。

第二、信息安全投入与产出无法量化

领导总觉得在信息安全上投入了一定资金和人力资源就觉得信息安全工作能做到100%不出现任何安全漏洞和数据泄露的情况，并且信息安全每年的投入的价值很难量化。例如：全年投入了多少资金，最终发现了多少安全问题，安全评分提升了多少，是否完成了所谓的有效KPI。

全年未出现过任何安全事件是高层想要到的结果？还是真正没出现过安全事件/漏洞，让领导觉得安全部门没有存在的价值，甚至产出没办法量化，未来几年里安全规划工作该如何去考虑。

第三、安全工作无法落地执行

不少企业的领导会经常参加各种高层会议，并且了解到其他企业的一些创新思路，不考虑自己企业业务是否具备相关的条件去执行一系列的工作，甚至真正会提出100%没有漏洞的观点，导致没办法让安全工作可以去落地执行。例如：设置一些较为恶心的规则，业务变更、互联网环境变化导致出现的安全漏洞会把相关的责任推给安全部门，让安全部门承担相关责任。

第四、安全人才招聘与流失问题

互联网安全人才一直是所有企业永远的痛，最几年互联网业务的发展，无论是互联网企业，还是传统企业在不断向互联网转型，大量的核心业务越来越依赖互联网，数据安全已经成为了企业的重中之重。而企业对安全人才的紧缺程度已经超出大家的想象。企业找不到合适的安全人才，自然没办法把安全工作落实，推进下去。安全人才薪酬和工作认可度上的不合理，也使得安全人才流失率存在很严重的问题。

第五、跨部门协作不配合

信息安全一向是企业中最容易得罪人的一件事情，安全部门一般会想运维、开发、业务、市场、销售等部门的提出大量的安全需求，而大多数部门会以不配合的态度去对待安全部门，甚至安全部门的同学发现了企业内部存在严重漏洞，甚至会求着相关部门的同学去解决问题，而不是相关部门主动去修复问题，导致大量的安全漏洞修复周期和流程很长，让潜在的安全风险暴漏在互联网上。

第六、企业内耗与政治斗争

无论是中小型的（安全）企业还是大型企业都会存在一系列的企业内耗和政治斗争的情况，特别是在一些大型的集团企业中会涉及到大量的站队问题，新官上任三把火，会把新的团队重新洗牌，部门之间的业务冲突会使得安全工作没办法执行和落地，甚至会把安全团队的层级调低，导致大量的安全人才流失和，甚至安全团队集体跳槽。

第七、企业资源分配不对称导致资源浪费

很多企业的安全部门是希望把安全工作能够落地到位，希望能够通过技术价值驱动去采购好的解决方案（产品、服务），而企业内部采购服务的流程、周期较为繁琐，安全或开发、运维等部门没有决策权，甚至有些互联网企业CTO都没办法去去决策，最大的决策者或者采购、法务部门会在安全预算上大打折扣，甚至低价中标去采购没办法满足企业要求的服务和产品，导致项目没办法交付，影响安全工作的落实和进度，最终导致资源浪费，错失更多的机会。

第八、元老级领导决策失误

快速成长型的互联网企业或者传统企业，早期创业的资深员工随着企业业务和人员规模的扩大，使得早期的创始团队成员成为了企业的中层管理人员，而由于个人能力有限，对信息安全认识程度有限，在对一些技术方向问题上的判断失误，甚至有些企业的领导会觉得任何人提出的观点上不增加一些内容，总觉得没办法体现自己的能力，最终导致执行层面无法落地安全工作。

第九、安全问题理解普遍不足

安全意识问题是大部分企业的痛点，业务人员不懂安全，运维部门不懂运维相关安全、开发部门不懂开发安全，决策层觉得信息安全投入是花钱，安全部门存在的价值和意义在未出安全事故/事件的情况下，没有存在感。安全永远的状态就是：重要但不紧急，或者紧急不重要。

第十、安全信任问题

企业中高层对团队内部人员极度不信任，甚至觉得安全部门就是过来找麻烦的，不愿意把具体的安全工作和一些创新想法落实到位。相反，中高层希望通过引入第三方外部的资源力量来帮其解决一系列的问题。所以，在信息领域会出现一种声音：『同样一句话，第三方人员讲出来的效果比企业内部推进的效果要好很多。』—外来的和尚好念经。

第十一、不关注301公众号

企业信息安全第十一大痛点就是，301写了那么多安全相关的知识，你却不点赞和转发，真是对不起自己也对不起团队。说了这么多，肯定是希望你转发给更多同（ling）仁（dao）你说是吧？

最后

如果你是企业的相关负责人，我觉得你是很有必要多看几遍；如果你是安全从业人员或者对安全感兴趣，你更应该多看几遍，这些内容对你未来找工作会有很大的帮助。

欢迎对号入座，如果你觉得我说的有价值，请点击右上方进行转发，让更多（lao）人（ban）看到互联网从业人员的价值。

本文原创，未授权谢绝转载。：）点击阅读原文，查看301知乎专栏。

301强烈推荐内容，想必您会喜欢：

0、互联网企业该如何构建安全团队第三季—困惑与突破

1、成长型互联网企业该如何构建安全团队—第一季

2、互联网企业该如何构建安全团队第二季—安全初期

3、这才是互联网与安全团队需要的几种人才！

4、安全从业者记住改掉的几个毛病

5、白帽子：年轻人要有危机意识

6、白帽子黑客：EX，还记得我们一起去太平山顶的约定么？

7、少年黑客：我的初恋女友，你在哪里？

8、开春巨献！全球TOP500安全公司到底在做些什么

9、2015年至今国内信息安全领域那些投资那些事

10、301:浅谈互联网安全现状与攻击趋势

11、招人必看！301浅谈国内安全人才薪酬现状

12、301：从安全角度浅谈云计算服务平台现状与发展

长按二维码，关注301在路上，独立安全观点！

欢迎投（约）稿。

微信：2036234

原文始发于微信公众号（301在路上）：安全观点：企业信息安全十大痛点，你中招了？w