300萬(wàn)年薪招不到人，誰(shuí)能勝任首席安全官？

作者：真梓，編輯：石亞瓊

來(lái)源：數(shù)字時(shí)氪（ID：digital36kr)

年薪300萬(wàn)，這是一家游戲公司去年給首席安全官（CSO ）崗位開(kāi)出的offer。

數(shù)字看似夸張，但這并非孤例。"如果技術(shù)真的過(guò)關(guān)，又有不錯(cuò)的管理經(jīng)驗(yàn)，就算是年薪500萬(wàn)的首席安全官（CSO）也有人找。"關(guān)注IT招聘近10年的獵頭劉潔近期透露。

上百萬(wàn)高薪背后是安全行業(yè)人才供需失衡——如今，國(guó)內(nèi)網(wǎng)絡(luò)安全專業(yè)人才累計(jì)缺口超140萬(wàn)人，CSO更是整個(gè)安全行業(yè)中的極度稀缺人才。

劉潔發(fā)現(xiàn)，“今年不管是從業(yè)者還是專家都很難招，一年能談十幾個(gè)就算不錯(cuò)了。至于CSO，更是高端稀缺資源?！?在具體數(shù)量上，有從業(yè)者表示，“如果嚴(yán)格定義，當(dāng)前在行業(yè)中叫得上名號(hào)的CSO，或許兩個(gè)手都數(shù)得出來(lái)”。

成為優(yōu)秀的CSO顯然不易。如果是自下而上的路徑，只有在合適的行業(yè)、合適的公司、合適的時(shí)點(diǎn)，不斷協(xié)調(diào)資源做出業(yè)績(jī)，再將安全與公司的主營(yíng)業(yè)務(wù)相結(jié)合，且經(jīng)過(guò)多年的驗(yàn)證與經(jīng)驗(yàn)沉淀，才有機(jī)會(huì)從安全工程師成長(zhǎng)為真正的CSO。這種復(fù)雜的成長(zhǎng)之路，注定了這一職位的稀缺性。

1995年，當(dāng)全球第一位CSO 史蒂夫·卡茨被聘用上任。此后的25年，在經(jīng)歷了互聯(lián)網(wǎng)泡沫后，全球最終進(jìn)入了超高速發(fā)展的移動(dòng)互聯(lián)網(wǎng)時(shí)代。安全，尤其是數(shù)據(jù)安全的重要性，早已成為全球議題。

在國(guó)內(nèi)，早前《網(wǎng)絡(luò)安全法》、等級(jí)保護(hù)測(cè)評(píng)制度已經(jīng)推行。而在2021年，《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)接踵而至，不少公司在市面上高薪尋求CSO等資深安全人才也因此漸成趨勢(shì)。

CSO，這個(gè)還不算破圈的職業(yè)，已經(jīng)逐步成為這個(gè)時(shí)代最不可或缺的高管職位。

01 一個(gè)呼喚CSO的時(shí)點(diǎn)到來(lái)了

"又失敗了。"

當(dāng)令人失望的結(jié)果再次出現(xiàn)在眼前，創(chuàng)業(yè)者陳森一時(shí)難以接受。

此時(shí)，距離他的APP被下架已過(guò)去數(shù)天，但跡象并未有一絲好轉(zhuǎn)——自接到通知起，公司已經(jīng)按照相關(guān)要求調(diào)整多遍，卻遲遲無(wú)法通過(guò)考核。

創(chuàng)業(yè)公司，與產(chǎn)品相關(guān)的事務(wù)多由CTO負(fù)責(zé)，再加上業(yè)內(nèi)不少整改都牽扯技術(shù)問(wèn)題，陳森憑直覺(jué)將CTO任命為此事的第一負(fù)責(zé)人。但當(dāng)失敗的結(jié)果循環(huán)往復(fù)出現(xiàn)，他隱約意識(shí)到，這次的整改可能不僅牽扯到技術(shù)調(diào)整。

于是，一個(gè)由CEO親自牽頭，技術(shù)、法務(wù)、政府關(guān)系等多部門(mén)參與的小組成立了。雖然大家都沒(méi)有如此操作的經(jīng)驗(yàn)和信心，但在老板的指揮下，各成員還是進(jìn)行了分工，先由法務(wù)和GR部門(mén)解讀要求，再交予技術(shù)負(fù)責(zé)人解決實(shí)操問(wèn)題。

這一次，看似費(fèi)力的方法湊了效，APP終于如愿整改通過(guò)。

然而即便有驚無(wú)險(xiǎn)，一個(gè)疑惑依然在陳森心中徘徊："像這樣的問(wèn)題，組織內(nèi)到底該由誰(shuí)負(fù)責(zé)？"

"CSO。"一位長(zhǎng)期身處安全行業(yè)的顧問(wèn)告訴他。

"這個(gè)人需要站在全局的立場(chǎng)上，協(xié)調(diào)開(kāi)發(fā)、運(yùn)維、法務(wù)、政府關(guān)系等部門(mén)，還要對(duì)外溝通，一步步解決問(wèn)題。這是CSO的職責(zé)。"

CSO（Chief of Security Officer），即首席安全官。從狹義角度，這一職位的基礎(chǔ)職責(zé)是滿足企業(yè)所面臨的合規(guī)性要求，同時(shí)也保證企業(yè)所有物理、信息資產(chǎn)的安全。

坦率而言，如今CSO的認(rèn)知度并不算高——當(dāng)談及這一縮寫(xiě)，不少人的第一反應(yīng)是"首席戰(zhàn)略官"，更多人則和陳森一樣，一頭霧水。

數(shù)據(jù)成為了證明。一份發(fā)表在2018年的《中國(guó)首席安全官（CSO）調(diào)研報(bào)告》顯示，在彼時(shí)的129份問(wèn)卷調(diào)查中，僅有30.2%的政企機(jī)構(gòu)設(shè)立了CSO或相應(yīng)級(jí)別崗位。而近一半的機(jī)構(gòu)，在當(dāng)時(shí)從未考慮過(guò)設(shè)置這一崗位。

但時(shí)至2021年，情況發(fā)生了顯著變化。

今年10月，獵頭劉潔表示，當(dāng)前不少甲方企業(yè)出于自建、更新團(tuán)隊(duì)的目的，紛紛急求CSO、安全負(fù)責(zé)人、安全專家等職位，“有需求的企業(yè)至少會(huì)放出兩個(gè)專家類型崗位，如果涉及到安全業(yè)務(wù)的更迭需求，CSO也不可或缺?！?/span>

直白的薪水范圍似乎更具沖擊力。眼下，“年薪百萬(wàn)”在安全管理層群體中已不具誘惑力。"如果技術(shù)真的過(guò)關(guān)，又有不錯(cuò)的管理經(jīng)驗(yàn)，就算是年薪500萬(wàn)的CSO也有人找。"她透露。

雖然，目前這類人才難求的情況多出現(xiàn)在大型跨國(guó)集團(tuán)、互聯(lián)網(wǎng)以及金融等長(zhǎng)期具備安全敏感性的行業(yè)，但更多的從業(yè)者表示，他們認(rèn)為其余不少行業(yè)也將逐步出現(xiàn)需求增長(zhǎng)的現(xiàn)象。

這是依托經(jīng)驗(yàn)和趨勢(shì)的預(yù)判。

最明顯地，繼等級(jí)保護(hù)測(cè)評(píng)制度、《網(wǎng)絡(luò)安全法》之后，《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以及《個(gè)人信息保護(hù)法》等法律法規(guī)在今年接連出臺(tái)，擴(kuò)大了安全的范疇。

在更細(xì)致的事件層面，有媒體報(bào)道，僅在2021年8月，就有67款A(yù)PP被通知下架，原因多與違規(guī)收集個(gè)人信息有關(guān)。另外，今年夏天監(jiān)管對(duì)準(zhǔn)IPO公司的約束，更讓數(shù)據(jù)安全成為各行各業(yè)關(guān)注的焦點(diǎn)。

當(dāng)上層制度日益清晰，相應(yīng)監(jiān)管愈發(fā)完善，種種跡象表明，一個(gè)呼喚CSO的時(shí)點(diǎn)或許到來(lái)了。

02 稀缺：300萬(wàn)難找CSO

不過(guò)，即便需求爆發(fā)的時(shí)點(diǎn)已至，與此對(duì)應(yīng)的一個(gè)戲劇化現(xiàn)象卻是，此時(shí)業(yè)內(nèi)大規(guī)模招聘成功的消息并不多見(jiàn)。

“我們暫時(shí)沒(méi)有設(shè)立這個(gè)職位。"不久前，當(dāng)問(wèn)及幾家上市公司時(shí)，對(duì)方如此回復(fù)。

其中的一種原因頗值得玩味——一些企業(yè)受限于既有人員的能力，CSO的招聘暫時(shí)還在推進(jìn)中，且不知何時(shí)能招到心儀人選。

這不是個(gè)例，"聽(tīng)說(shuō)有游戲公司去年就開(kāi)價(jià)300萬(wàn)招CSO，但其實(shí)并不好招。"一位行業(yè)人士透露。

供給端的不足是導(dǎo)致人才難尋的主要原因。

我們近期了解到，當(dāng)前在行業(yè)中，負(fù)責(zé)人級(jí)別的人才有數(shù)百，但真正被認(rèn)為稱得上C title的，或許"兩只手?jǐn)?shù)得出來(lái)"。

這個(gè)細(xì)節(jié)說(shuō)明，即便在外行眼里，負(fù)責(zé)人和CSO之間的差別難以衡量，但在從業(yè)者和需求方心中，真正的CSO和安全負(fù)責(zé)人之間卻存在著相當(dāng)?shù)牟町悺?/span>

對(duì)一般負(fù)責(zé)人而言，入門(mén)級(jí)的要求包括技術(shù)能力、對(duì)內(nèi)外上下的溝通能力、對(duì)政策和市場(chǎng)的理解，以及一定程度的管理能力。

而CSO不僅需具備以上能力，還要了解行業(yè)趨勢(shì)、熟知公司業(yè)務(wù)、在安全工作開(kāi)展和公司實(shí)際業(yè)務(wù)的需求中進(jìn)退有度，同時(shí)也要在一定情況下，將安全工作的價(jià)值和公司的主營(yíng)目標(biāo)相結(jié)合。

對(duì)外行而言，最淺層的一個(gè)判斷維度是，"你看有多少負(fù)責(zé)人能進(jìn)入決策層，直接向老板匯報(bào)？"有資深業(yè)內(nèi)人士表示。

很明顯，這不是同一級(jí)別的權(quán)責(zé)。尤其，做到將安全價(jià)值和公司業(yè)務(wù)目標(biāo)相結(jié)合，個(gè)體的努力只是一方面，很多時(shí)候更是一個(gè)綜合命題。

這帶來(lái)了接下來(lái)的疑問(wèn)——到底怎樣的土壤，才能孕育出真正的CSO？

世界上第一位CSO出現(xiàn)在金融業(yè)。

1995年，花旗銀行（現(xiàn)為花旗集團(tuán)）聘請(qǐng)了史蒂夫?卡茨（Steve Katz），由其負(fù)責(zé)相關(guān)的安全事務(wù)。此前，這家銀行曾遭到黑客攻擊。黑客闖入該銀行的現(xiàn)金管理系統(tǒng)，從系統(tǒng)中抽走一千萬(wàn)美元到自己的賬戶上。之后，花旗銀行雇用了卡茨。

而在國(guó)內(nèi)，早年將安全業(yè)務(wù)囊括旗下的大多是各類政企機(jī)構(gòu)的IT或運(yùn)維負(fù)責(zé)人。

換言之，早前甲方的安全業(yè)務(wù)常歸于信息化部門(mén)下的運(yùn)維部，屬于三級(jí)部門(mén)。當(dāng)時(shí)的IT或運(yùn)維負(fù)責(zé)人多進(jìn)行采購(gòu)防火墻、防毒墻、反垃圾郵件等產(chǎn)品，選擇范圍也較倚重國(guó)外品牌。

“在這樣的情況下，安全的地位不突出，基本沒(méi)有出現(xiàn)CSO的可能?！?/span>元起資本聯(lián)合創(chuàng)始合伙人萬(wàn)熠認(rèn)為。

相較來(lái)說(shuō)，金融、運(yùn)營(yíng)商以及互聯(lián)網(wǎng)公司表現(xiàn)得更為激進(jìn)。比如互聯(lián)網(wǎng)屬性較重的公司，較早便會(huì)自建安全團(tuán)隊(duì)。而出于監(jiān)管的強(qiáng)要求，金融類機(jī)構(gòu)也會(huì)對(duì)安全投入不少。"如今真正的CSO，大多出現(xiàn)在特定行業(yè)。"有負(fù)責(zé)企業(yè)安全的高管表示，"比如互聯(lián)網(wǎng)和金融。"

一個(gè)有趣的現(xiàn)象是，當(dāng)前不少急尋CSO的金融企業(yè)，其挖人方向多指向互聯(lián)網(wǎng)公司的安全團(tuán)隊(duì)。而在訪談中，我們發(fā)現(xiàn)如今被業(yè)內(nèi)人士談及較多、認(rèn)為稱得上CSO名號(hào)的人士，也多出自或具備互聯(lián)網(wǎng)公司背景。

中國(guó)的第一批互聯(lián)網(wǎng)公司在2000年左右成立，多從內(nèi)容、電商等領(lǐng)域起家。

這類業(yè)務(wù)中的安全風(fēng)險(xiǎn)向來(lái)不低。在內(nèi)容領(lǐng)域，圖文信息可能存在黃暴、虛假、政治敏感等問(wèn)題；游戲產(chǎn)品的代碼、數(shù)據(jù)、賬號(hào)等資產(chǎn)均具備變現(xiàn)可能，一直是黑產(chǎn)攻擊的重點(diǎn)。而從電商角度，用戶從下單到拿到商品，中間的各環(huán)節(jié)都存在個(gè)人信息泄露的風(fēng)險(xiǎn)，甚至由此導(dǎo)致詐騙事件。

當(dāng)業(yè)務(wù)和安全相伴相生，招聘人才、自建團(tuán)隊(duì)成了不得不做的選擇。

比如騰訊，早前其內(nèi)部遭遇計(jì)算機(jī)病毒的沖擊，再加上QQ盜號(hào)病毒的傳播，于2004年組建了自身的安全運(yùn)維組。網(wǎng)易的安全團(tuán)隊(duì)也在2006年之前組建，“06年我畢業(yè)加入網(wǎng)易，當(dāng)時(shí)就主做安全工作?！本W(wǎng)易智慧企業(yè)事業(yè)部副總裁周森表示。

如果要下一個(gè)定義，"大約在05年左右，不少大型互聯(lián)網(wǎng)公司開(kāi)始了自我建設(shè)。"有資深行業(yè)人士回溯。

一個(gè)常識(shí)是，安全作為前臺(tái)業(yè)務(wù)的支持部門(mén)，往往被看作消耗成本的角色。也只有那些主營(yíng)業(yè)務(wù)必須在安全保障下才能順利進(jìn)行的企業(yè)，才會(huì)花大價(jià)錢(qián)自建團(tuán)隊(duì)、單設(shè)部門(mén)。

而中國(guó)的安全行業(yè)自上世紀(jì)90年代起步，到00年左右已經(jīng)出現(xiàn)一批廠商。這意味著，如果企業(yè)只是一般重視，那可能也犯不著自建，采購(gòu)是更具投入產(chǎn)出比的選擇。這從側(cè)面說(shuō)明大型互聯(lián)網(wǎng)公司對(duì)安全的重視程度，同時(shí)也間接導(dǎo)致如今我們見(jiàn)到的CSO們，不少出自互聯(lián)網(wǎng)屬性較重的行業(yè)。

從更高維的層面，這指向一個(gè)結(jié)論——選擇合適的行業(yè)，是如今CSO成長(zhǎng)的首要前置條件。

“我想最適合CSO的成長(zhǎng)方式一定是先做篩選?！彬v訊副總裁丁珂表示。其是國(guó)內(nèi)著名安全專家，于2003年加入騰訊，數(shù)年間主導(dǎo)騰訊安全從自建到對(duì)外提供服務(wù)的全過(guò)程。

“每個(gè)人的精力和時(shí)間都有限，一定要挑對(duì)的。”

03 選擇和努力，一個(gè)也不能少

如果是自下而上的路徑，一個(gè)安全從業(yè)者成長(zhǎng)為CSO需要經(jīng)歷四個(gè)時(shí)期：技術(shù)探索階段（工程師）——思維轉(zhuǎn)換階段（主管）——綜合提升階段（負(fù)責(zé)人）——企業(yè)經(jīng)營(yíng)階段（CSO）。

當(dāng)然，這些經(jīng)歷的完善可能需要從業(yè)者歷經(jīng)多家企業(yè)，也可能需要他們輾轉(zhuǎn)甲、乙雙方。但不變的一點(diǎn)是，在成為CSO的路途中，選擇和努力，一個(gè)都不能少。

對(duì)曾任艾默生網(wǎng)絡(luò)能源亞太區(qū)安全總監(jiān)和順豐信息安全負(fù)責(zé)人，如今已經(jīng)自主創(chuàng)業(yè)的劉新凱而言，其早年擇業(yè)時(shí)有一條重要原則，即“看企業(yè)多重視安全”。

在學(xué)生時(shí)代，劉新凱即確認(rèn)了自己對(duì)安全的熱愛(ài)。2005年，他來(lái)到艾默生正式開(kāi)始了安全事業(yè)，并在此完成了從安全工程師到部門(mén)負(fù)責(zé)人的身份轉(zhuǎn)換。

當(dāng)年劉新凱手握IBM和艾默生兩個(gè)offer。而彼時(shí)艾默生還沒(méi)有完善的安全團(tuán)隊(duì)，但出于公司具備華為背景，安全基因明顯，再加上國(guó)際化安全視野的考慮，他選擇了艾默生。在這一前提之下，他得以和公司一起搭建安全體系，從技術(shù)、運(yùn)營(yíng)和管理等角度和公司一起成長(zhǎng)。

2015年，這種挑選“東家”的觀念也滲透到劉新凱入職順豐的選擇中。

首先在匯報(bào)關(guān)系上，順豐的安全業(yè)務(wù)不像艾默生存在亞太區(qū)和全球的分區(qū)，流程較為簡(jiǎn)單；另外在業(yè)務(wù)特點(diǎn)上，由于順豐的業(yè)務(wù)較綜合，可以滿足其渴望接觸不同行業(yè)的期待；尤為重要的是在高層認(rèn)知上，由于快遞行業(yè)常存在個(gè)人隱私泄露的風(fēng)險(xiǎn)，所以公司高層對(duì)安全的在乎程度非比尋常。

"絕大多數(shù)公司都趕不上順豐對(duì)安全的認(rèn)知。在順豐做安全是一種幸福的煩惱。"劉新凱感嘆。當(dāng)不少企業(yè)安全負(fù)責(zé)人在困擾人力和預(yù)算時(shí)，順豐的高層給足支持。而煩惱在于，雖然安全的特點(diǎn)是"永遠(yuǎn)不存在絕對(duì)的安全"，但順豐的目標(biāo)是"做到最好"。

選擇的重要性，同樣得到其他從業(yè)者的親證。

曾在移動(dòng)飛信、京東商城、摩拜單車(chē)擔(dān)任安全工作，后成為特斯聯(lián)信息安全官的李學(xué)慶認(rèn)為，自己“算是當(dāng)年的幸運(yùn)兒，撞到了京東這樣的大平臺(tái)，得以和京東一起成長(zhǎng)”。

和一部分從業(yè)者一樣，李學(xué)慶早前有過(guò)一些計(jì)算機(jī)知識(shí)積累但對(duì)安全不甚了解。在一份硬件測(cè)試工作之后，他在移動(dòng)飛信確立了安全的主攻方向。2011年，李學(xué)慶加入到京東商城。

經(jīng)過(guò)10年再回顧，李學(xué)慶認(rèn)為：“可能安全負(fù)責(zé)人能走多遠(yuǎn)首先和自身的認(rèn)知有關(guān)。第二和他所處的環(huán)境相關(guān)，因?yàn)檫@決定了他見(jiàn)過(guò)多少，能有多少機(jī)會(huì)。"

努力同樣必不可少。

當(dāng)年，在外在壓力和內(nèi)在動(dòng)力的驅(qū)使下，劉新凱和團(tuán)隊(duì)推進(jìn)完成了客戶隱私數(shù)據(jù)脫敏的「豐密」面單；也做出了保證快遞員和客服人員看不到用戶號(hào)碼的手持設(shè)備隱私改造，虛擬號(hào)碼系統(tǒng)和客服系統(tǒng)流程安全再造；另外為了保證企業(yè)內(nèi)部和業(yè)務(wù)安全，他和團(tuán)隊(duì)還在當(dāng)年做了4A系統(tǒng)「百源」，以保證公司員工賬號(hào)權(quán)限在各個(gè)流轉(zhuǎn)過(guò)程中的科學(xué)管理。

拿「百源」舉例，當(dāng)時(shí)公司要求所有核心系統(tǒng)不許再有獨(dú)立的權(quán)限管理模塊，而是由安全團(tuán)隊(duì)專門(mén)開(kāi)發(fā)的平臺(tái)管理所有權(quán)限，每晚由它計(jì)算并下發(fā)新的權(quán)限給所有系統(tǒng)。

也就是說(shuō)，這是一臺(tái)每天更新的權(quán)限管控大腦，一旦它出現(xiàn)問(wèn)題，幾乎所有系統(tǒng)都會(huì)"罷工"。"你能不能想象，當(dāng)系統(tǒng)凌晨3點(diǎn)還沒(méi)上線成功時(shí)我的心情。一旦出問(wèn)題，意味著可能第二天一早公司開(kāi)始營(yíng)業(yè)的時(shí)候，所有人都沒(méi)法辦公。"劉新凱回憶，"這是生死局。"

而李學(xué)慶在京東商城的安全“新手建設(shè)期”，也同樣付出不少心力。

電商領(lǐng)域的安全問(wèn)題向來(lái)不可小覷。

2011年，剛剛?cè)肼氃掠?，李學(xué)慶就被緊急安排解決一起相關(guān)安全事件。但或許出于之前在飛信的安全積累，這次的突發(fā)事件并沒(méi)有給他造成困難，真正的挑戰(zhàn)在解決問(wèn)題之后才出現(xiàn)——給全公司做安全培訓(xùn)，提升員工安全意識(shí)。

安全涉及到對(duì)人的管控，讓盡量多的員工對(duì)此產(chǎn)生認(rèn)知是必經(jīng)之路。李學(xué)慶覺(jué)得，"安全人員講不清楚安全工作的意義，是一件很不好的事。你需要讓別人理解到安全的意義，這才能讓安全工作更加順暢。"

剛開(kāi)始，他摸索制作了一版PPT嘗試向同事講解。但當(dāng)同一部門(mén)的同事聽(tīng)完李學(xué)慶的演講后，都表示"一頭霧水，聽(tīng)不明白"。于是，他求助了京東大學(xué)，在京東大學(xué)老師的幫助下，逐字句地重寫(xiě)PPT，再一個(gè)個(gè)部門(mén)去嘗試演講。

在培訓(xùn)中，李學(xué)慶會(huì)向業(yè)務(wù)同學(xué)介紹工作中需要注意的“十大酷招”，包括將簡(jiǎn)單的辦公密碼復(fù)雜化、將聊天過(guò)程中需要傳輸?shù)奈募M(jìn)行加密、對(duì)釣魚(yú)網(wǎng)站的基本識(shí)別以及對(duì)U盤(pán)和系統(tǒng)進(jìn)行及時(shí)的病毒查殺、補(bǔ)丁更新等。這些看似繁瑣的安全細(xì)節(jié)，需要通過(guò)培訓(xùn)和規(guī)定才能融入員工的工作日常。

而對(duì)李學(xué)慶本人而言，當(dāng)三個(gè)月過(guò)去，連續(xù)做完六十場(chǎng)培訓(xùn)的他最終從演講小白做到了脫稿培訓(xùn)，階段性跨過(guò)了安全從業(yè)者難以表達(dá)安全價(jià)值的門(mén)檻。

之后，李學(xué)慶還在京東內(nèi)部的公眾號(hào)上做了一系列安全宣傳工作，包括現(xiàn)在京東安全響應(yīng)中心一直延用的“安全小課堂”專欄。一直到他離開(kāi)時(shí)，京東已經(jīng)有了上百人的安全團(tuán)隊(duì)，在行業(yè)內(nèi)規(guī)模不小。

2017年，他從京東離職去到當(dāng)時(shí)如日中天的摩拜單車(chē)，任高級(jí)安全總監(jiān)，負(fù)責(zé)全球業(yè)務(wù)安全風(fēng)險(xiǎn)管理。2019年，他就任特斯聯(lián)信息安全官，負(fù)責(zé)集團(tuán)風(fēng)險(xiǎn)管理、工程效能、質(zhì)量控制以及智慧城市的安全商業(yè)化。

04 生存法則：不能站在老板角度理解安全價(jià)值的CSO是不稱職的

其實(shí)，安全人員還有著另一個(gè)略顯尷尬的代名詞——"背鍋俠"。

這是說(shuō)，一些公司招聘負(fù)責(zé)人的目的是希望在安全事件發(fā)生時(shí)，企業(yè)內(nèi)部有人可以為此"擔(dān)責(zé)"，在人力權(quán)責(zé)范疇內(nèi)達(dá)到"防患于未然"的效果。

在訪談中，不少人表示，如果從業(yè)者單純把"背鍋俠"當(dāng)成甩不掉的頭銜，以負(fù)面情緒工作，得到的結(jié)果很可能是輾轉(zhuǎn)多家企業(yè)，卻無(wú)法實(shí)現(xiàn)能力躍遷和職業(yè)晉升。

正確的思路是，盡可能地摸出一套適用安全部門(mén)的“生存法則”——站在老板立場(chǎng)理解安全業(yè)務(wù)，并用合適的方式協(xié)調(diào)其他部門(mén)的支持，是這套法則的關(guān)鍵。

"安全1號(hào)位需要用治理的思路做安全，而不能單純停留在解決單個(gè)問(wèn)題上。"有負(fù)責(zé)安全的總經(jīng)理如此總結(jié)自己的經(jīng)驗(yàn)。

舉個(gè)例子，如果負(fù)責(zé)人僅僅從攻防思路出發(fā)，一直告訴公司高層和公司其他團(tuán)隊(duì)自己挖了幾個(gè)漏洞，這種單點(diǎn)解決問(wèn)題的思路是難以讓人理解安全價(jià)值的。負(fù)責(zé)人要站在全局的視角，尤其是告訴高層，做這件事到底給公司解決了什么問(wèn)題。

李學(xué)慶總結(jié)，如今許多還在成長(zhǎng)中的管理者缺乏一些核心思維，這可能是阻礙不少人職業(yè)晉升的首要難題。對(duì)此，他的方式是給老板從風(fēng)險(xiǎn)角度"算賬"，維度包括高管的法律風(fēng)險(xiǎn)、財(cái)務(wù)的營(yíng)收風(fēng)險(xiǎn)、業(yè)務(wù)的下架風(fēng)險(xiǎn)、出海的數(shù)據(jù)風(fēng)險(xiǎn)等等。

“CSO要具備四個(gè)思維：企業(yè)經(jīng)營(yíng)思維、安全價(jià)值思維、風(fēng)險(xiǎn)體系思維、組織戰(zhàn)略思維?！崩顚W(xué)慶覺(jué)得，將安全站在老板高度上思考，融入企業(yè)和組織經(jīng)營(yíng)的各方面是CSO需要做到的事。

換句話講，如果不能站在老板角度讓他理解安全的價(jià)值，說(shuō)明這個(gè)CSO是不稱職的。

當(dāng)然，這只是第一步。在安全業(yè)務(wù)上，最終目標(biāo)還是合作共贏。

在實(shí)際工作中，不少安全問(wèn)題會(huì)在業(yè)務(wù)的生產(chǎn)過(guò)程中發(fā)生，所以若想盡量保證安全，還需要業(yè)務(wù)團(tuán)隊(duì)和安全團(tuán)隊(duì)配合。

但難點(diǎn)在于，不少人還是覺(jué)得安全問(wèn)題就該全盤(pán)歸屬安全人員，不認(rèn)為大家需要彼此配合。面對(duì)這種情況，一些安全負(fù)責(zé)人會(huì)首先整理權(quán)責(zé)矩陣，即和相關(guān)高層核對(duì)業(yè)務(wù)該負(fù)責(zé)的范圍，如果認(rèn)可，那么之后的配合就落到了規(guī)章制度中。

這或許是效率最快的方式，卻不能令大家都舒服。

一家垂直行業(yè)頭部公司的負(fù)責(zé)人李文表示，當(dāng)有些業(yè)務(wù)方實(shí)在難以理解安全需要合作的邏輯，并且拒絕權(quán)責(zé)劃分時(shí)，自己的團(tuán)隊(duì)會(huì)通過(guò)攻防手段直接獲取老板的個(gè)人信息，期望以此證明問(wèn)題的嚴(yán)重性。如果還不行，那么就用第三方公司直接測(cè)試公司業(yè)務(wù)的安全問(wèn)題，并向老板匯報(bào)。

最終，這種“半強(qiáng)制”的方式獲得了業(yè)務(wù)方的重視與配合。

“安全負(fù)責(zé)人不能太'軟'。這個(gè)位置要去協(xié)調(diào)資源，要去跟別人掰扯，哪有那么好做？專業(yè)能力要有，經(jīng)驗(yàn)要有，向上匯報(bào)能力要有，最后該吵的時(shí)候一定要能吵，不吵怎么可能做好？"他補(bǔ)充。

但“半強(qiáng)制”帶來(lái)的影響是顯性的。因?yàn)椋辽僭诰徒欢螘r(shí)間內(nèi)，業(yè)務(wù)部門(mén)會(huì)對(duì)安全工作持續(xù)存疑，就算配合也不打心底信任?！案糸u還是要找機(jī)會(huì)化解?！崩钗奶寡?。

要化解矛盾，安全負(fù)責(zé)人首先需要在工作中持續(xù)體現(xiàn)自身的專業(yè)性，另外號(hào)召團(tuán)隊(duì)日常主動(dòng)幫其他部門(mén)"修掉"安全問(wèn)題也是常見(jiàn)的方式之一。這需要日日經(jīng)營(yíng)，更妥帖的方式還是不帶心理包袱的合作共贏。

尤其，當(dāng)安全改變業(yè)務(wù)流程，這大概率會(huì)是件遇到內(nèi)部阻礙的事。這時(shí)更考驗(yàn)安全負(fù)責(zé)人（CSO）的“合作共贏”能力。

比如，當(dāng)劉新凱的團(tuán)隊(duì)在自建虛擬號(hào)碼系統(tǒng)時(shí)，其實(shí)在業(yè)務(wù)端升級(jí)了近40萬(wàn)把手持設(shè)備，客服人員原有的撥號(hào)習(xí)慣也發(fā)生了調(diào)整。從時(shí)間流程上，這件事的前期技術(shù)準(zhǔn)備花費(fèi)了三個(gè)月，真正在各個(gè)大區(qū)的落地推廣只花費(fèi)了兩個(gè)月。

在這個(gè)時(shí)間范圍內(nèi)落地項(xiàng)目，劉新凱覺(jué)得在公司的文化，老板的支持外，還因?yàn)榘踩珗F(tuán)隊(duì)做到了和業(yè)務(wù)團(tuán)隊(duì)共贏。

"我們把客服的整個(gè)費(fèi)用降了下來(lái)，流程也進(jìn)行了優(yōu)化。"劉新凱覺(jué)得這是客服團(tuán)隊(duì)愿意和安全團(tuán)隊(duì)高效配合的關(guān)鍵之一。

站在客服團(tuán)隊(duì)的角度思考，在流程上，這個(gè)項(xiàng)目的落地免去各區(qū)域自己和運(yùn)營(yíng)商溝通的復(fù)雜流程；在實(shí)操中，客服人員只需要點(diǎn)擊按鈕就能撥出號(hào)碼，工作效率更快；在成本維度，IP電話和傳統(tǒng)電話相比價(jià)格更為低廉。

“怎么站在老板和各個(gè)業(yè)務(wù)部門(mén)負(fù)責(zé)人的視角思考問(wèn)題，是安全負(fù)責(zé)人、CSO的必備技能。主要靠?jī)牲c(diǎn)，首先通過(guò)溝通達(dá)成戰(zhàn)略上的認(rèn)同，另外更重要的是安全負(fù)責(zé)人要有專業(yè)能力，給合作方提供更多幫助?！?/span>這是劉新凱認(rèn)為，在企業(yè)內(nèi)部順利開(kāi)展安全工作的核心。

05 好的CSO，從高效花錢(qián)到高速賺錢(qián) ？

從安全負(fù)責(zé)人進(jìn)階成為真正的CSO，到底還需跨越幾步？

在元起資本聯(lián)合創(chuàng)始合伙人萬(wàn)熠看來(lái)，最關(guān)鍵的在于安全要和企業(yè)核心業(yè)務(wù)進(jìn)行結(jié)合。因?yàn)橹挥羞@樣，公司才更可能賦予安全背景的管理者真正的C title，讓其進(jìn)入核心決策層。

什么才算真正的核心？在保證企業(yè)資產(chǎn)的安全穩(wěn)定外，給公司業(yè)績(jī)添磚加瓦，就是最能體現(xiàn)價(jià)值的事。

在安全行業(yè)，如果企業(yè)具備自建能力，且在某些方向上有些許獨(dú)到的技術(shù)、產(chǎn)品優(yōu)勢(shì)，那么安全負(fù)責(zé)人也有機(jī)會(huì)帶領(lǐng)團(tuán)隊(duì)走上商業(yè)化之路。

網(wǎng)易易盾就是一個(gè)例子。

易盾孵化自網(wǎng)易集團(tuán)的安全部，主要包括內(nèi)容安全、業(yè)務(wù)安全和移動(dòng)安全三大業(yè)務(wù)線。

“網(wǎng)易主要從內(nèi)容起家，像音樂(lè)、新聞和游戲等業(yè)務(wù)，不少會(huì)涉及到內(nèi)容審核、抗DDOS等問(wèn)題。所以我們?cè)趦?nèi)容安全和游戲安全上有經(jīng)驗(yàn)積累。”現(xiàn)任網(wǎng)易智慧企業(yè)事業(yè)部副總裁的周森表示。

周森于2006年加入網(wǎng)易參與安全工作。2011年網(wǎng)易安全部正式單設(shè)，他擔(dān)任總經(jīng)理一職。

早期，網(wǎng)易多對(duì)安全產(chǎn)品進(jìn)行采購(gòu)。而后期，隨著公司整體業(yè)務(wù)的擴(kuò)展，安全部決定自研內(nèi)容、游戲安全等產(chǎn)品，并在2016年進(jìn)行商業(yè)化。這是易盾的由來(lái)。

談及2016年的決定，周森覺(jué)得商業(yè)化節(jié)點(diǎn)的來(lái)臨既有市場(chǎng)因素，也有內(nèi)在原因。

首先在當(dāng)年，云計(jì)算市場(chǎng)已經(jīng)興起，帶動(dòng)企業(yè)級(jí)服務(wù)商業(yè)化的動(dòng)力。另外，當(dāng)時(shí)網(wǎng)易內(nèi)部不少事業(yè)部也在思考將自身能力外放，安全作為公共支撐部門(mén)，也希望提供自己的價(jià)值。并且，當(dāng)時(shí)的網(wǎng)易安全部已經(jīng)成立5年，各項(xiàng)業(yè)務(wù)已經(jīng)處于平穩(wěn)期，部門(mén)內(nèi)也需要新的挑戰(zhàn)。

"你看集團(tuán)的做完了，該接的業(yè)務(wù)都接了，其實(shí)大家擔(dān)心沒(méi)有成長(zhǎng)空間了。"周森回憶。

當(dāng)更大的戰(zhàn)場(chǎng)鋪開(kāi)，挑戰(zhàn)也如約而至。

首先是產(chǎn)品。作為一個(gè)對(duì)內(nèi)服務(wù)的部門(mén)，安全部當(dāng)時(shí)的產(chǎn)品和網(wǎng)易各部門(mén)的使用習(xí)慣緊密貼合，而且產(chǎn)品方案也單純圍繞內(nèi)部需求。但到了真正服務(wù)外部客戶的時(shí)候，周森和團(tuán)隊(duì)發(fā)現(xiàn)這種對(duì)內(nèi)“重耦合”的模式無(wú)法對(duì)外提供好服務(wù)。

于是，為了滿足不同客戶的需求，易盾的做法是將產(chǎn)品基本重寫(xiě)一遍?！艾F(xiàn)在我們對(duì)外提供的方案會(huì)有大、中、小型客戶的分類，更適合對(duì)外提供服務(wù)。"周森介紹。

另一重挑戰(zhàn)是銷售。周森本人是技術(shù)背景出身，此前對(duì)銷售并無(wú)太多感知，但當(dāng)商業(yè)化之路開(kāi)始，如何評(píng)價(jià)銷售、管理渠道、線上線下聯(lián)動(dòng)都是作為負(fù)責(zé)人需要了解的內(nèi)容。在那段時(shí)間里，周森買(mǎi)來(lái)不少書(shū)籍進(jìn)行學(xué)習(xí)，同時(shí)也在和客戶的交流中提升經(jīng)驗(yàn)。慢慢地，他也能為銷售部分做出些許貢獻(xiàn)。

"比如有一個(gè)深圳的客戶，剛開(kāi)始是售前在溝通，但服務(wù)需要持續(xù)，所以我從內(nèi)容安全整個(gè)行業(yè)的角度，就對(duì)方高層所憂慮的一些事情談起。這些內(nèi)容讓對(duì)方更認(rèn)可易盾的專業(yè)性。"周森舉例。

在他眼里，整個(gè)2016年都屬于易盾的摸索期，到2017年，整個(gè)業(yè)務(wù)走上了相對(duì)順暢的成長(zhǎng)期。直到今年，易盾已經(jīng)服務(wù)了數(shù)千家付費(fèi)客戶，周森本人也在今年升任網(wǎng)易智慧企業(yè)事業(yè)部副總裁。

即使給集團(tuán)業(yè)績(jī)添磚加瓦的目標(biāo)依然在進(jìn)程中，但對(duì)脫胎于集團(tuán)網(wǎng)絡(luò)安全部的周森和團(tuán)隊(duì)來(lái)說(shuō)，易盾如今數(shù)千家付費(fèi)客戶的成果，也階段性證明了安全業(yè)務(wù)商業(yè)化的潛力。

但直到現(xiàn)在，挑戰(zhàn)仍一直存在。如今，國(guó)內(nèi)內(nèi)容安全市場(chǎng)也有不少參與者，這帶來(lái)的競(jìng)爭(zhēng)一直在持續(xù)。"這是真金白銀的競(jìng)爭(zhēng)。為了爭(zhēng)奪客戶，廠商之間的價(jià)格戰(zhàn)也時(shí)有發(fā)生，這也給行業(yè)帶來(lái)了壓力。"周森說(shuō)。

一旦走出去，遇到新挑戰(zhàn)是一種必然，但這種內(nèi)部孵化團(tuán)隊(duì)，對(duì)外輸出能力的案例仍然讓不少安全負(fù)責(zé)人觸動(dòng)。

"安全本來(lái)就是個(gè)成本部門(mén)。做好了，很難講清它的價(jià)值，做不好出事了，不管你之前做的有多好，最終都是你做的不好。"有安全負(fù)責(zé)人私下表示。"在這種現(xiàn)實(shí)情況下，如果能有機(jī)會(huì)去做商業(yè)化，是最直接證明團(tuán)隊(duì)和個(gè)體價(jià)值的方式。"

當(dāng)前在行業(yè)中，這種對(duì)外提供服務(wù)的案例多出現(xiàn)在有財(cái)力、人力和安全能力的大型企業(yè)身上。除卻網(wǎng)易，業(yè)內(nèi)還有騰訊、阿里、華為等一些帶有甲方色彩的安全品牌。

以騰訊安全為例，其在2006年左右從C端的電腦管家、手機(jī)管家入手，一直到2018年"930"變革后，形成To B和To C業(yè)務(wù)的兩條線。

算上To C業(yè)務(wù)，騰訊安全對(duì)外提供服務(wù)的歷程不算短。但對(duì)于要用商業(yè)回報(bào)來(lái)驗(yàn)證安全投入價(jià)值的思路，負(fù)責(zé)騰訊安全業(yè)務(wù)的副總裁丁珂卻認(rèn)為，這更多是一種無(wú)奈。作為“過(guò)來(lái)人”，在騰訊和他的眼中，安全首先是責(zé)任，而不是商業(yè)價(jià)值，商業(yè)價(jià)值是建立在和客戶、生態(tài)共贏的基礎(chǔ)上自然長(zhǎng)出的。

當(dāng)然，這也回到CSO成長(zhǎng)的關(guān)鍵——要和老板、團(tuán)隊(duì)基于安全的長(zhǎng)期投入達(dá)成價(jià)值觀的共識(shí)。

"騰訊在這個(gè)行業(yè)是特別'奇葩'的特例。因?yàn)槲覀兊某砷L(zhǎng)在一個(gè)溫和的過(guò)程中，大家有高度的共識(shí)。這個(gè)過(guò)程看上去很自然，但有些價(jià)值觀的東西是內(nèi)生的。"丁珂坦誠(chéng)。

站在更宏觀的視角，他覺(jué)得行業(yè)內(nèi)用商業(yè)回報(bào)去要求安全投入的階段很快就會(huì)過(guò)去。

原因很簡(jiǎn)單，當(dāng)前安全行業(yè)已經(jīng)處于破圈的節(jié)點(diǎn)。尤其是今年，《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》和《個(gè)人信息保護(hù)法》等接踵而至，再加上之前的《網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，關(guān)于安全的法律法規(guī)正在以超乎尋常的速度完善。

在這個(gè)風(fēng)向已然變化的關(guān)鍵時(shí)期，如果企業(yè)還不重視安全，還需要負(fù)責(zé)人以各種方式艱難地突出價(jià)值，那么在丁珂眼中，或許這就是一家管理思路存在很大短板的公司。

"包括CIO、CSO等在內(nèi)的角色，首先自己要‘懂法’。第二，CSO要在有前途的行業(yè)里面，前瞻性地跟客戶長(zhǎng)期共贏。"丁珂說(shuō)。

這類觀點(diǎn)也得到不少同業(yè)認(rèn)可。尤其在今年這波安全政策密集出臺(tái)后，不少安全負(fù)責(zé)人也感到了行業(yè)的潛在助推力。

"法律法規(guī)越來(lái)越完善，以后越來(lái)越多的負(fù)責(zé)人可以拿著法條告訴老板，安全是一件需要全公司一起參與建設(shè)的事情，也是一件需要負(fù)責(zé)人和老板風(fēng)險(xiǎn)共擔(dān)的事。"周森認(rèn)為。

總結(jié)而言，在過(guò)往，安全從業(yè)者需要選擇合適的行業(yè)企業(yè)，再加上持續(xù)有策略地體現(xiàn)安全價(jià)值，才能成長(zhǎng)為真正的CSO。但一個(gè)長(zhǎng)期現(xiàn)實(shí)是，合適的行業(yè)和企業(yè)本就沒(méi)那么多，也是這僧多粥少的局面，讓大家的成長(zhǎng)之路更加艱難。

如今好的方面是，時(shí)代風(fēng)向的加持，給了不少安全負(fù)責(zé)人更多選擇。

首先在政策和需求的利好下，重視安全的企業(yè)一定會(huì)愈發(fā)常見(jiàn)。另外，在整個(gè)行業(yè)的正向鼓舞下，不少安全負(fù)責(zé)人也正逐步選擇自己下場(chǎng)成就獨(dú)立事業(yè)。比如，劉新凱在去年離開(kāi)順豐，成立了自己的安全公司「紅途科技」，主攻數(shù)據(jù)安全方向。

這些現(xiàn)象都說(shuō)明，過(guò)往安全負(fù)責(zé)人艱難成長(zhǎng)的路徑，或許已經(jīng)到了被打破的時(shí)點(diǎn)。時(shí)代會(huì)從呼喚更多的CSO開(kāi)始，綿延出更多適合這一群體成長(zhǎng)的路途。

（文中陳森、劉潔和李文為化名）

延伸閱讀??