企业安全建设初期的几点反思

前言
近些年，随着安全行业蒸蒸日上，越来越多的互联网公司认识到安全对公司的重要性，逐步建立自己的安全团队。但工作十年、经验丰富、适合负责整个安全团队的人在业内非常稀少，且有的公司在一开始也并没有魄力投入百万年薪在一个安全人才上，因此很多公司的安全需求，变成了机会，流动到了年轻一辈的安全工程师手里。

而我也正是其中一个抓住机会安全工程师。但在真正开展工作后，不断的感受到思维的局限、能力的瓶颈、经验的缺乏都严重阻碍着工作推进。经历着困境和危机，也不断在总结和反思，本文则是2015年年底的总结，对于资深专家，止增笑耳，期望能给予指正建议，而分享本文，更多是期望未来其他把握住机会的年轻人，能少走一些弯路。

正文
在公司摸爬滚打一年半，围绕着安全负责的事情由小变大又由大变小起伏多次，过程中深刻感受到，安全技术可以从网络和书本获取，工作经验可以由导师、领导传承，安全防护思想可以跟着业界前辈学习，但如何在一家互联网公司做好整体的安全工作，却掺杂了很多公司特性、业务特性、人员特性在里面，其中滋味只有走过才能真正有所体会。这一年多干得并不好，总结出以下我认为最重要的几个问题：

一、初期的关键是资源与风险的平衡
来公司之前，我在乙方做了好几年安全服务工作，加上在某金融巨头待了半年，自诩看遍大小公司的安全现状，也向一些业内资深大牛进行了讨教与学习，获得了多种安全全局架构设计的方法。结合公司现状，我不断在思考如何设计安全防护体系，才能更全面Cover住，且在对公司技术架构理解的不断深入，搞出了一套面面俱到的安全体系V1.0，安全体系V2.0。但随着时间的推移，发现即使搞出来3.0，4.0，5.0也并不能解决公司实际的安全问题。

这根源问题，是建设初期资源极度匮乏，盘子铺得越开，工作进展会越慢。因此，首先需要理清楚的是，你手上现有或者是短期内能有什么样的人力、能拿到多少预算、横向部门能给予什么样的支持等，再评估清楚目前风险点是哪些，从高到低进行一个排序。最后进行权衡，将资源集中在高风险的地方快速Push，并适当放弃掉一部分困难太大无法推进的事情。

对于平衡资源与风险的方法，我建议用SWOT进行分析。这是一个非常棒的工具，基本思路是利用自身优势抓住机会并控制住危机，面对自身劣势和不足适当放弃部分工作。具体方法论请参考网络，不做赘述。

二、重视安全管理与安全运营
很多做安全技术的人，对非技术的东西都持对立的态度，以技术为尊，加上技术背景的人，总在技术上有一些理想和追求，因此“工程师”负责整体安全时，容易全力投入在技术上，造成失衡。虽然我并没有这么极端，但之前相对管理和运营工作，我也确实更重视技术本身的建设。

无需解释安全管理、安全技术、安全组织架构等这多方之间的紧密关系与相辅相成的配合必要性，会有更多人能把这一概念讲解更为透彻。但当时我一直面临一个问题，如何向不懂安全甚至不懂技术的高层汇报工作，如何向其他横向部门的人呈现我们工作做得怎么样。后续才领悟，高层作为管理者，安全管理能成为向上沟通的重要工具，真正理解了安全管理工作的价值，才能看到高层眼中的风险，才能完成换位思考，才能讲出领导真正能理解且关心的话。

而安全需要运营，这是前辈们以及其他互联网公司都在讲的话，我不做私自解读。我的工作思路：技术上要做看不见的安全，这样降低与业务的冲突，减少与攻击者在同维度上的对抗，但不能做看不见的安全部门，没有声音的部门也会没有资源。安全运营则是将安全技术工作转化为横向部门可见可理解的工作，同时也是打造安全团队的影响力，展现成绩的重要环节。

三、随着组织壮大要随之进行角色转换
面试过其他几家互联网公司的安全团队创始人，聊下来发现这些同学都有很强的技术能力，能应对各类安全建设需求，做事认真负责，逻辑分析、沟通能力也很好，都是一些非常优秀的安全人才。但是，这些互联网公司现有的安全团队负责人并不是这些创立安全团队的同学，这是为什么呢？

这也是我正在反思的问题。从我司的情况来看，公司在飞速发展，组织规模在不断壮大，对于安全团队来说，更缺的不是一个技术骨干的角色（或者说技术不是目前团队发展瓶颈），而是一名合格的管理者。因此，要么招聘一名团队管理者，要么就是自我转型，进行角色转换，跟上公司发展、团队发展。

而在这角色转换过程中，首先需要转换的是心态，真正从技术骨干转变成管理者，不要再念念不忘某个exp/poc，想明白自己的核心任务是什么；其次需要培养能力，根据我自身的情况，我认为最需要培养的是战略规划、目标管理、团队管理等几方面能力。

四、敢于招牛人组精英团队
很多互联网公司都有技术序列级别，且有不允许小管大 的传统。在这一前提下，安全团队负责人成为了梯队天花板，而且工作经验并不是非常丰富的负责人，技术级别可能也并不高，这会导致整个团队的技术梯队层次偏低。而团队的技术梯队几乎决定整个安全团队的前景，因此，在我司受过最好的文化熏陶，就是要“敢于招比自己牛的人”。这一观点实际上也是“角色转换”另一维度的解读。完成角色转换后，才能更客观、综合的评价人，发现牛人之牛，敢用牛人之牛。

但确实有些担心，牛人太牛，过来了当我老板了怎么办？首先，评估人一定要综合全面、客观，一个满嘴跑火车、打花架子、没有真才实学的人在任何团队都是害虫，因此牛人须为真牛人；其次，找准自己的核心竞争力所在，利用自身优势在团队内、公司内发光发热，充满自信，不惧挑战；最后，如果一个真正处处超越自己的人，位居我之上，给我榜样，让我学习难道不是一件好事吗？

写在最后
在乙方公司时，公司教会了我“自我认知”，而在现在公司时，某一个领导曾教育过我：“一个优秀的人，不是能正确认识自己的不足，而是能尽快用执行去改进不足”。道理都很简单，正如韩寒金句“听过很多道理，依然过不好这一生”，重点还是执行改进方案。

我依然在岗位上不断的摸索，不断修正，我还干得很不好，问题也远不止这些，借此文一方面警示自己急需重点改进的问题，同时也是表达观点，希望能得到前辈的指引。

本文转自d1net（转载）