嘴替发言：做安全的最讨厌什么部门？

没事时安全是成本中心，有事了，安全就是“投入了还出事”，有这口才和辩论水准，怎么不见谁去和公安局说道两句纳税问题的呢？还啥“和其他部门交朋友”，岂不知“安全和他们心连心，他们和安全玩脑筋”？有安全专家就说了，最蠢不过研发，“说了他们又不听，听又不懂，懂又不做，做又做错，错又不认，认又不改，改又不服，不服也不说，那叫我们安全怎么办？”

从现实来看，IT部门是基础架构漏洞修复的责任部门，研发部门是应用漏洞修复的责任部门，两个部门漏洞的修复都需要对方部门的配合，而相关配合的协调往往需要安全团队来主持，此时，两个部门都怕漏洞的修复会影响生产，原生动力不足，又怕背锅，因此他们往往都会甩给安全团队一句话：“出了问题谁负责？我们担不起这个责任。这样很难办的。”

“难办？那就别办了！”

今天，不是安全要掀桌子，实在是大环境所逼，让人不得不一吐为快。“研发或其他部门也没有欠我们什么，我们从来不会逼朋友去做不想做的事，安全有自己的原则，我们不想一辈子被人踩在脚下，公司以为我们是臭要饭的？我们安全等了那么多年，就是要等一个机会，我们要争一口气，不是想证明安全有多了不起，而是要告诉大家，安全失去的东西一定要拿回来！”

安全失去了什么？尊严、地位，还有心爱的……不不不，就是尊严和地位。有安全专家说了，解决矛盾的办法其实很简单，就是提高安全团队在公司里的地位，只要安全得到管理层的支持，就能成为“话事人”，就能将安全最佳实践落地。而最忌讳的就是将安全团队放在IT团队或研发团队中，这样安全很难做出成绩，出了问题，安全还是会成为背锅侠。

“当然，‘干爹们’若实在不愿支持我们，安全团队就只能通过‘三令五申’反复强调、督促研发及IT团队进行整改，并留下工作痕迹，比如往来邮件，一旦真的因相关漏洞未修复而造成损失，就需要追责。此时安全团队自己也已‘尽职’，责任会落在两个团队。这是安全团队地位不高时的上上策。”

除了“为赶项目而忽略安全风险，导致安全漏洞和数据泄露等问题”的研发部门，其他部门也请出列，今天“我们既分高下，也决生死”。

某安全负责人表示：“营销部门其实蛮烦的。”营销部门通常会大量外发、接收电子邮件，同时也会大量使用社交媒体等渠道进行推广，而这些渠道可能存在安全风险，也是病毒、勒索软件、钓鱼攻击的最佳对象。“为了追求效果而忽略安全问题，导致大量的垃圾邮件和诈骗信息，如果真的影响到了用户们的信息安全，你们该当何罪？来人呐，拖出去……”

也就安全部门总是能为营销团队及时救火，他们也是对安全需求最为频繁的部门，什么市场数据、敏感数据、用户数据，大数据分析等，哪一项能离开安全？没有安全部门，怎么做安全评估和安全风险策略调整？可为什么干营销的还总是对安全指手画脚？嫌这实施影响进度，嫌那落地耽误推进，忘了是谁在你们背后尽心尽力了吗？

还有人力资源部，管理员工信息，比如身份证号码、家庭住址、电话号码等敏感信息时，能不能长点心？不落地必要的安全措施，导致员工信息泄露和滥用，你们担得起这份责任吗？

“不要老是为了自己的利益而忽视信息安全！你们的做法可能会对公司的声誉和用户数据造成严重威胁！法律责任谁来承担？董事长吗？？换做你是董事长，你敢如此吗？？还有，不要老是等出了问题了，才想到找我们安全部门，提前沟通不会吗？让大家都来了解相关政策和最佳实践不好吗？这难道不是一种负责任的做法吗？”

老话说得好：有错就要认，挨打要立正。

说到底，其他部门之所以敢“在安全头上拉屎，又问安全借纸”，是谁在不作为？答案显而易见：领导。安全若没有领导层的支持，若没有老板的支持，要怎么实施下去？“对你老板来说，安全部门在保护谁的资产啦？不是你的资产啊？你自己都不重视，谁又乐意为你忙碌啊？”

所以对安全部门来说，讨厌的最终目标无非就是领导：“就是这群人，整天坐山观虎斗，还美其名曰‘纵横捭阖，相互制衡’，其实就是不学无术，只喜欢在自己的世界里YY些宫斗和权衡。连削减个安全预算也要摆出一副老谋深算、足智多谋的样子，怎一个‘装’字了得。”

可惜，“互联网嘴替”的工作已近尾声，笔者却还意犹未尽。当然，大家也可尽情期待，因为我们始终只服务于安全行业、安全领域和安全人员，所以无论其他行业和组织怎么看待我们，我们也永远只站在安全这一边。所以，让我们尽情开骂……不是，让我们共建和谐社会，开创更美好的未来吧。