3.14 TCO和ROI
企业安全建设本质上不是一个可以通过完全量化的指标来衡量建设得好与坏以及能力成熟度的事情。安全是一个永无止境的投入,永远都没有办法提出一个清单,说这里面的条目你都做到了,安全就很好了。也是为什么等级保护、ISO27001、PCI-DSS这类企业认证可以用来装点“门面”,在广告、营销、融资、上市公司内控等环节告诉公众自己是有那么一点安全能力的,但是永远都不可能说我是无懈可击。某些老板在台上走秀时吹牛的情节请自动忽略。安全建设的好坏不只是依赖于安全团队的强弱,还跟安全建设本身所消耗的金钱和资源有关,大多数企业都不是土豪级的公司,拿业界最佳实践来衡量都缺少前提条件,业界最佳实践可以是安全团队自己的追求,但不是安全团队工作成果的评价标准,因为现实中不可能消耗那么多钱用于安全建设,而一定是根据企业所处的阶段投入到应景的程度适可而止,如果这个时候某些砖家一定要拿什么能力成熟度模型来评估,说结果不好看,你可以很理直气壮的告诉对方从现实的角度出发无可厚非,什么阶段就是应该做什么事,拿个互联网行业千亿美金市值的公司来“套”大多数公司纯属无脑行为。
可用于评价安全建设做的好与坏的唯一标准就是ROI,用什么样资源(TCO)产出什么样的安全效果。能力平庸的CSO可能建了很大的安全团队也还是频出安全事件,团队中不乏张口就是“七分管理,三分技术”的那类人,而面向实操干活的人却是少数且没有地位的工程师,即便有学习能力不错的工程师也没法系统化的组织他们的工作,任其自生自灭。还有的公司不缺干将,但是招了牛人却只做救火之用,到头来的产出和一支没有牛人的团队相差无几。思路清晰的CSO即便自己不充当工程师的角色,也能以一支精锐小团队覆盖企业中绝大多数安全环节。
在互联网公司,安全负责人最可能影响ROI的几个因素如下:
缺少系统化蓝图,对安全建设的全局以及分解后的轻重没有感性认知,这是最可能导致头痛医头脚痛医脚的原因。
对管理体系和工具链建设没有整体认知,选择在错误的时间点做正确的事。
把安全工作当成checklist而不是风险管理工作,凡事要求绝对安全而不能接受相对风险,对下属求全责备,大概只有外星人能满足这种需求。
弱于判断安全建设在实践环节的好与坏,搞不清楚某个安全机制在业界属于落后水平,平均水平,还是领先水平,以及某种安全机制对于削减某类风险的作用强弱,容易被执行者忽悠。带来的结果就是貌似很苦很努力,但收效甚微。
个人的职场步调与公司发展的阶段不一致,公司处于快速扩张时期,而安全负责人本人则采取保守谨慎的策略。
只务内勤,不管外联,不重视生态关系建设。最后导致小问题,大影响。
作为一个风险管理型的角色,而不是直接产生利润的职能,其管理向上沟通可能会有一定的难度,在风险取舍方面跟上下左右达成一致也需要提前沟通好。
