時代呼喚首席安全官

來源:36氪
發佈時間:2021-10-28
這個還不算破圈的職位,年薪300萬也難招。

導語:

年薪300萬,這是一家遊戲公司去年給首席安全官(CSO)崗位開出的offer。

數字看似誇張,但這並非孤例。"如果技術真的過關,又有不錯的管理經驗,就算是年薪500萬的首席安全官(CSO)也有人找。"關注IT招聘近10年的獵頭劉潔近期向36氪透露。

上百萬高薪背後是安全行業人才供需失衡——如今,國內網路安全專業人才累計缺口超140萬人,CSO更是整個安全行業中的極度稀缺人才。劉潔發現,“今年不管是從業者還是專家都很難招,一年能談十幾個就算不錯了。至於CSO,更是高端稀缺資源。” 在具體數量上,有從業者表示,“如果嚴格定義,當前在行業中叫得上名號的CSO,或許兩個手都數得出來”。

成為優秀的CSO顯然不易。如果是自下而上的路徑,只有在合適的行業、合適的公司、合適的時點,不斷協調資源做出業績,再將安全與公司的主營業務相結合,且經過多年的驗證與經驗沉澱,才有機會從安全工程師成長為真正的CSO。這種複雜的成長之路,註定了這一職位的稀缺性。

1995年,當全球第一位CSO 史蒂夫•卡茨被聘用上任。此後的25年,在經歷了網際網路泡沫後,全球最終進入了超高速發展的移動網際網路時代。安全,尤其是數據安全的重要性,早已成為全球議題。

在國內,早前《網路安全法》、等級保護測評制度已經推行。而在2021年,《數據安全法》和《個人資訊保護法》等法律法規接踵而至,不少公司在市面上高薪尋求CSO等資深安全人才也因此漸成趨勢。

CSO,這個還不算破圈的職業,已經逐步成為這個時代最不可或缺的高管職位。

一個呼喚CSO的時點到來了

“又失敗了。"

當令人失望的結果再次出現在眼前,創業者陳森一時難以接受。

此時,距離他的APP被下架已過去數天,但跡象並未有一絲好轉——自接到通知起,公司已經按照相關要求調整多遍,卻遲遲無法通過考核。

創業公司,與産品相關的事務多由CTO負責,再加上業內不少整改都牽扯技術問題,陳森憑直覺將CTO任命為此事的第一負責人。但當失敗的結果迴圈往復出現,他隱約意識到,這次的整改可能不僅牽扯到技術調整。

於是,一個由CEO親自牽頭,技術、法務、政府關係等多部門參與的小組成立了。雖然大家都沒有如此操作的經驗和信心,但在老闆的指揮下,各成員還是進行了分工,先由法務和GR部門解讀要求,再交予技術負責人解決實操問題。

這一次,看似費力的方法湊了效,APP終於如願整改通過。

然而即便有驚無險,一個疑惑依然在陳森心中徘徊:"像這樣的問題,組織內到底該由誰負責?"

"CSO。"一位長期身處安全行業的顧問告訴他。

"這個人需要站在全局的立場上,協調開發、運維、法務、政府關係等部門,還要對外溝通,一步步解決問題。這是CSO的職責。"

CSO(Chief of Security Officer),即首席安全官。從狹義角度,這一職位的基礎職責是滿足企業所面臨的合規性要求,同時也保證企業所有物理、資訊資産的安全。

坦率而言,如今CSO的認知度並不算高——當談及這一縮寫,不少人的第一反應是"首席戰略官",更多人則和陳森一樣,一頭霧水。

數據成為了證明。一份發表在2018年的《中國首席安全官(CSO)調研報告》顯示,在彼時的129份問卷調查中,僅有30.2%的政企機構設立了CSO或相應級別崗位。而近一半的機構,在當時從未考慮過設置這一崗位。

但時至2021年,情況發生了顯著變化。

今年10月,獵頭劉潔對36氪表示,當前不少甲方企業出於自建、更新團隊的目的,紛紛急求CSO、安全負責人、安全專家等職位,“有需求的企業至少會放出兩個專家類型崗位,如果涉及到安全業務的更疊需求,CSO也不可或缺。”

直白的薪水範圍似乎更具衝擊力。眼下,“年薪百萬”在安全管理層群體中已不具誘惑力。"如果技術真的過關,又有不錯的管理經驗,就算是年薪500萬的CSO也有人找。"她透露。

雖然,目前這類人才難求的情況多出現在大型跨國集團、網際網路以及金融等長期具備安全敏感性的行業,但更多的從業者告訴36氪,他們認為其餘不少行業也將逐步出現需求增長的現象。

這是依託經驗和趨勢的預判。

最明顯地,繼等級保護測評制度、《網路安全法》之後,《數據安全法》、《關鍵資訊基礎設施安全保護條例》以及《個人資訊保護法》等法律法規在今年接連出臺,擴大了安全的範疇。在更細緻的事件層面,有媒體報道,僅在2021年8月,就有67款APP被通知下架,原因多與違規收集個人資訊有關。另外,今年夏天監管對準IPO公司的約束,更讓數據安全成為各行各業關注的焦點。

當上層制度日益清晰,相應監管愈發完善,種種跡象表明,一個呼喚CSO的時點或許到來了。

稀缺:300萬難找CSO
 

不過,即便需求爆發的時點已至,與此對應的一個戲劇化現象卻是,此時業內大規模招聘成功的消息並不多見。

“我們暫時沒有設立這個職位。"不久前,當36氪問及幾家上市公司時,對方如此回復。

其中的一種原因頗值得玩味——一些企業受限于既有人員的能力,CSO的招聘暫時還在推進中,且不知何時能招到心儀人選。

這不是個例,"聽説有遊戲公司去年就開價300萬招CSO,但其實並不好招。"一位行業人士透露。

供給端的不足是導致人才難尋的主要原因。

36氪近期了解到,當前在行業中,負責人級別的人才有數百,但真正被認為稱得上C title的,或許"兩隻手數得出來"。

這個細節説明,即便在外行眼裏,負責人和CSO之間的差別難以衡量。但在從業者和需求方心中,真正的CSO和安全負責人之間卻存在著相當的差異。

對一般負責人而言,入門級的要求包括技術能力、對內外上下的溝通能力、對政策和市場的理解,以及一定程度的管理能力。

而CSO不僅需具備以上能力,還要了解行業趨勢、熟知公司業務、在安全工作開展和公司實際業務的需求中進退有度,同時也要在一定情況下,將安全工作的價值和公司的主營目標相結合。

對外行而言,最淺層的一個判斷維度是,"你看有多少負責人能進入決策層,直接向老闆彙報?"有資深業內人士告知36氪。

很明顯,這不是同一級別的權責。尤其,做到將安全價值和公司業務目標相結合,個體的努力只是一方面,很多時候更是一個綜合命題。

這帶來了接下來的疑問——到底怎樣的土壤,才能孕育出真正的CSO?

世界上第一位CSO出現在金融業。

1995年,花旗銀行(現為花旗集團)聘請了史蒂夫•卡茨(Steve Katz),由其負責相關的安全事務。此前,這家銀行曾遭到駭客攻擊。駭客闖入該銀行的現金管理系統,從系統中抽走一千萬美元到自己的賬戶上。之後,花旗銀行雇用了卡茨。

而在國內,早年將安全業務囊括旗下的大多是各類政企機構的IT或運維負責人。

換言之,早前甲方的安全業務常歸於資訊化部門下的運維部,屬於三級部門。當時的IT或運維負責人多進行採購防火牆、防毒墻、反垃圾郵件等産品,選擇範圍也較倚重國外品牌。

“在這樣的情況下,安全的地位不突出,基本沒有出現CSO的可能。”元起資本聯合創始合夥人萬熠認為。

相較來説,金融、運營商以及網際網路公司表現得更為激進。比如網際網路屬性較重的公司,較早便會自建安全團隊。而出於監管的強要求,金融類機構也會對安全投入不少。"如今真正的CSO,大多出現在特定行業。"有負責企業安全的高管向36氪表示,"比如網際網路和金融。"

一個有趣的現象是,當前不少急尋CSO的金融企業,其挖人方向多指向網際網路公司的安全團隊。而在訪談中,我們發現如今被業內人士談及較多、認為稱得上CSO名號的人士,也多出自或具備網際網路公司背景。

中國的第一批網際網路公司在2000年左右成立,多從內容、電商等領域起家。

這類業務中的安全風險向來不低。在內容領域,圖文資訊可能存在黃暴、虛假、政治敏感等問題;遊戲産品的代碼、數據、賬號等資産均具備變現可能,一直是黑産攻擊的重點。而從電商角度,用戶從下單到拿到商品,中間的各環節都存在個人資訊洩露的風險,甚至由此導致詐騙事件。

當業務和安全相伴相生,招聘人才、自建團隊成了不得不做的選擇。

比如騰訊,早前其內部遭遇電腦病毒的衝擊,再加上QQ盜號病毒的傳播,于2004年組建了自身的安全運維組。網易的安全團隊也在2006年之前組建,“06年我畢業加入網易,當時就主做安全工作。”網易智慧企業事業部副總裁周森告知36氪。

如果要下一個定義,"大約在05年左右,不少大型網際網路公司開始了自我建設。"有資深行業人士回溯。

一個常識是,安全作為前臺業務的支援部門,往往被看作消耗成本的角色。也只有那些主營業務必須在安全保障下才能順利進行的企業,才會花大價錢自建團隊、單設部門。

而中國的安全行業自上世紀90年代起步,到00年左右已經出現一批廠商。這意味著,如果企業只是一般重視,那可能也犯不著自建,採購是更具投入産出比的選擇。這從側面説明大型網際網路公司對安全的重視程度,同時也間接導致如今我們見到的CSO們,不少出自網際網路屬性較重的行業。

從更高維的層面,這指向一個結論——選擇合適的行業,是如今CSO成長的首要前置條件。

"我想最適合CSO的成長方式一定是先做篩選。”騰訊副總裁丁珂對36氪表示。其是國內著名安全專家,于2003年加入騰訊,數年間主導騰訊安全從自建到對外提供服務的全過程。

“每個人的精力和時間都有限,一定要挑對的。"

選擇和努力,一個也不能少
 

如果是自下而上的路徑,一個安全從業者成長為CSO需要經歷四個時期:技術探索階段(工程師)——思維轉換階段(主管)——綜合提升階段(負責人)——企業經營階段(CSO)。

當然,這些經歷的完善可能需要從業者歷經多家企業,也可能需要他們輾轉甲、乙雙方。但不變的一點是,在成為CSO的路途中,選擇和努力,一個都不能少。

對曾任艾默生網路能源亞太區安全總監和順豐資訊安全負責人,如今已經自主創業的劉新凱而言,其早年擇業時有一條重要原則,即“看企業多重視安全”。

在學生時代,劉新凱即確認了自己對安全的熱愛。2005年,他來到艾默生正式開始了安全事業,並在此完成了從安全工程師到部門負責人的身份轉換。

當年劉新凱手握IBM和艾默生兩個offer。而彼時艾默生還沒有完善的安全團隊,但出於公司具備華為背景,安全基因明顯,再加上國際化安全視野的考慮,他選擇了艾默生。在這一前提之下,他得以和公司一起搭建安全體系,從技術、運營和管理等角度和公司一起成長。

2015年,這種挑選“東家”的觀念也滲透到劉新凱入職順豐的選擇中。

首先在彙報關係上,順豐的安全業務不像艾默生存在亞太區和全球的分區,流程較為簡單;另外在業務特點上,由於順豐的業務較綜合,可以滿足其渴望接觸不同行業的期待;尤為重要的是在高層認知上,由於快遞行業常存在個人隱私洩露的風險,所以公司高層對安全的在乎程度非比尋常。

"絕大多數公司都趕不上順豐對安全的認知。在順豐做安全是一種幸福的煩惱。"劉新凱感嘆。當不少企業安全負責人在困擾人力和預算時,順豐的高層給足支援。而煩惱在於,雖然安全的特點是"永遠不存在絕對的安全",但順豐的目標是"做到最好"。

選擇的重要性,同樣得到其他從業者的親證。

曾在移動飛信、京東商城、摩拜單車擔任安全工作,後成為特斯聯資訊安全官的李學慶認為,自己“算是當年的幸運兒,撞到了京東這樣的大平臺,得以和京東一起成長”。和一部分從業者一樣,李學慶早前有過一些電腦知識積累但對安全不甚了解。在一份硬體測試工作之後,他在移動飛信確立了安全的主攻方向。2011年,李學慶加入到京東商城。

經過10年再回顧,李學慶認為:“可能安全負責人能走多遠首先和自身的認知有關。第二和他所處的環境相關,因為這決定了他見過多少,能有多少機會。"

努力同樣必不可少。

當年,在外在壓力和內在動力的驅使下,劉新凱和團隊推進完成了客戶隱私數據脫敏的「豐密」面單;也做出了保證快遞員和客服人員看不到用戶號碼的手持設備隱私改造,虛擬號碼系統和客服系統流程安全再造;另外為了保證企業內部和業務安全,他和團隊還在當年做了4A系統「百源」,以保證公司員工賬號許可權在各個流轉過程中的科學管理。

拿「百源」舉例,當時公司要求所有核心繫統不許再有獨立的許可權管理模組,而是由安全團隊專門開發的平臺管理所有許可權,每晚由它計算並下發新的許可權給所有系統。

也就是説,這是一台每天更新的許可權管控大腦,一旦它出現問題,幾乎所有系統都會"罷工"。"你能不能想像,當系統淩晨3點還沒上線成功時我的心情。一旦出問題,意味著可能第二天一早公司開始營業的時候,所有人都沒法辦公。"劉新凱回憶,"這是生死局。"

而李學慶在京東商城的安全“新手建設期”,也同樣付出不少心力。

電商領域的安全問題向來不可小覷。

2011年,剛剛入職月余,李學慶就被緊急安排解決一起相關安全事件。但或許出於之前在飛信的安全積累,這次的突發事件並沒有給他造成困難,真正的挑戰在解決問題之後才出現——給全公司做安全培訓,提升員工安全意識。

安全涉及到對人的管控,讓儘量多的員工對此産生認知是必經之路。李學慶覺得,"安全人員講不清楚安全工作的意義,是一件很不好的事。你需要讓別人理解到安全的意義,這才能讓安全工作更加順暢。"

剛開始,他摸索製作了一版PPT嘗試向同事講解。但當同一部門的同事聽完李學慶的演講後,都表示"一頭霧水,聽不明白"。於是,他求助了京東大學,在京東大學老師的幫助下,逐字句地重寫PPT,再一個個部門去嘗試演講。

在培訓中,李學慶會向業務同學介紹工作中需要注意的“十大酷招”,包括將簡單的辦公密碼複雜化、將聊天過程中需要傳輸的文件進行加密、對釣魚網站的基本識別以及對隨身碟和系統進行及時的病毒查殺、補丁更新等。這些看似繁瑣的安全細節,需要通過培訓和規定才能融入員工的工作日常。

而對李學慶本人而言,當三個月過去,連續做完六十場培訓的他最終從演講小白做到了脫稿培訓,階段性跨過了安全從業者難以表達安全價值的門檻。

之後,李學慶還在京東內部的公眾號上做了一系列安全宣傳工作,包括現在京東安全響應中心一直延用的“安全小課堂”專欄。一直到他離開時,京東已經有了上百人的安全團隊,在行業內規模不小。

2017年,他從京東離職去到當時如日中天的摩拜單車,任高級安全總監,負責全球業務安全風險管理。2019年,他就任特斯聯資訊安全官,負責集團風險管理、工程效能、品質控制以及智慧城市的安全商業化。

生存法則:不能站在老闆角度理解安全價值的CSO是不稱職的
 

其實,安全人員還有著另一個略顯尷尬的代名詞——"背鍋俠"。

這是説,一些公司招聘負責人的目的是希望在安全事件發生時,企業內部有人可以為此"擔責",在人力權責範疇內達到"防患于未然"的效果。

在訪談中,不少人告訴36氪,如果從業者單純把"背鍋俠"當成甩不掉的頭銜,以負面情緒工作,得到的結果很可能是輾轉多家企業,卻無法實現能力躍遷和職業晉陞。

正確的思路是,盡可能地摸出一套適用安全部門的“生存法則”——站在老闆立場理解安全業務,並用合適的方式協調其他部門的支援,是這套法則的關鍵。

"安全1號位需要用治理的思路做安全,而不能單純停留在解決單個問題上。"有負責安全的總經理如此總結自己的經驗。

舉個例子,如果負責人僅僅從攻防思路出發,一直告訴公司高層和公司其他團隊自己挖了幾個漏洞,這種單點解決問題的思路是難以讓人理解安全價值的。負責人要站在全局的視角,尤其是告訴高層,做這件事到底給公司解決了什麼問題。

李學慶總結,如今許多還在成長中的管理者缺乏一些核心思維,這可能是阻礙不少人職業晉陞的首要難題。對此,他的方式是給老闆從風險角度"算賬",維度包括高管的法律風險、財務的營收風險、業務的下架風險、出海的數據風險等等。

“CSO要具備四個思維:企業經營思維、安全價值思維、風險體系思維、組織戰略思維。”李學慶覺得,將安全站在老闆高度上思考,融入企業和組織經營的各方面是CSO需要做到的事。

換句話講,如果不能站在老闆角度讓他理解安全的價值,説明這個CSO是不稱職的。

當然,這只是第一步。在安全業務上,最終目標還是合作共贏。

在實際工作中,不少安全問題會在業務的生産過程中發生,所以若想儘量保證安全,還需要業務團隊和安全團隊配合。

但難點在於,不少人還是覺得安全問題就該全盤歸屬安全人員,不認為大家需要彼此配合。面對這種情況,一些安全負責人會首先整理權責矩陣,即和相關高層核對業務該負責的範圍,如果認可,那麼之後的配合就落到了規章制度中。

這或許是效率最快的方式,卻不能令大家都舒服。

一家垂直行業頭部公司的負責人李文告訴36氪,當有些業務方實在難以理解安全需要合作的邏輯,並且拒絕權責劃分時,自己的團隊會通過攻防手段直接獲取老闆的個人資訊,期望以此證明問題的嚴重性。如果還不行,那麼就用第三方公司直接測試公司業務的安全問題,並向老闆彙報。

最終,這種“半強制”的方式獲得了業務方的重視與配合。

“安全負責人不能太'軟'。這個位置要去協調資源,要去跟別人掰扯,哪有那麼好做?專業能力要有,經驗要有,向上彙報能力要有,最後該吵的時候一定要能吵,不吵怎麼可能做好?"他補充。

但“半強制”帶來的影響是顯性的。因為,至少在就近一段時間內,業務部門會對安全工作持續存疑,就算配合也不打心底信任。“隔閡還是要找機會化解。”李文坦言。

要化解矛盾,安全負責人首先需要在工作中持續體現自身的專業性,另外號召團隊日常主動幫其他部門"修掉"安全問題也是常見的方式之一。這需要日日經營,更妥帖的方式還是不帶心理包袱的合作共贏。

尤其,當安全改變業務流程,這大概率會是件遇到內部阻礙的事。這時更考驗安全負責人、CSO的“合作共贏”能力。

比如,當劉新凱的團隊在自建虛擬號碼系統時,其實在業務端升級了近40萬把手持設備,客服人員原有的撥號習慣也發生了調整。從時間流程上,這件事的前期技術準備花費了三個月,真正在各個大區的落地推廣只花費了兩個月。

在這個時間範圍內落地項目,劉新凱覺得在公司的文化,老闆的支援外,還因為安全團隊做到了和業務團隊共贏。

"我們把客服的整個費用降了下來,流程也進行了優化。"劉新凱覺得這是客服團隊願意和安全團隊高效配合的關鍵之一。

站在客服團隊的角度思考,在流程上,這個項目的落地免去各區域自己和運營商溝通的複雜流程;在實操中,客服人員只需要點擊按鈕就能撥出號碼,工作效率更快;在成本維度,IP電話和傳統電話相比價格更為低廉。

“怎麼站在老闆和各個業務部門負責人的視角思考問題,是安全負責人、CSO的必備技能。主要靠兩點,首先通過溝通達成戰略上的認同,另外更重要的是安全負責人要有專業能力,給合作方提供更多幫助。"這是劉新凱認為,在企業內部順利開展安全工作的核心。

好的CSO,從高效花錢到高速賺錢 ?
 

從安全負責人進階成為真正的CSO,到底還需跨越幾步?

在元起資本聯合創始合夥人萬熠看來,最關鍵的在於安全要和企業核心業務進行結合。因為只有這樣,公司才更可能賦予安全背景的管理者真正的C title,讓其進入核心決策層。

什麼才算真正的核心?在保證企業資産的安全穩定外,給公司業績添磚加瓦,就是最能體現價值的事。

在安全行業,如果企業具備自建能力,且在某些方向上有些許獨到的技術、産品優勢,那麼安全負責人也有機會帶領團隊走上商業化之路。

網易易盾就是一個例子。

易盾孵化自網易集團的安全部,主要包括內容安全、業務安全和移動安全三大業務線。

“網易主要從內容起家,像音樂、新聞和遊戲等業務,不少會涉及到內容審核、抗DDOS等問題。所以我們在內容安全和遊戲安全上有經驗積累。”現任網易智慧企業事業部副總裁的周森告訴36氪。

周森于2006年加入網易參與安全工作。2011年網易安全部正式單設,他擔任總經理一職。

早期,網易多對安全産品進行採購。而後期,隨著公司整體業務的擴展,安全部決定自研內容、遊戲安全等産品,並在2016年進行商業化。這是易盾的由來。

談及2016年的決定,周森覺得商業化節點的來臨既有市場因素,也有內在原因。

首先在當年,雲計算市場已經興起,帶動企業級服務商業化的動力。另外,當時網易內部不少事業部也在思考將自身能力外放,安全作為公共支撐部門,也希望提供自己的價值。並且,當時的網易安全部已經成立5年,各項業務已經處於平穩期,部門內也需要新的挑戰。"你看集團的做完了,該接的業務都接了,其實大家擔心沒有成長空間了。"周森回憶。

當更大的戰場鋪開,挑戰也如約而至。

首先是産品。作為一個對內服務的部門,安全部當時的産品和網易各部門的使用習慣緊密貼合,而且産品方案也單純圍繞內部需求。但到了真正服務外部客戶的時候,周森和團隊發現這種對內“重耦合”的模式無法對外提供好服務。

於是,為了滿足不同客戶的需求,易盾的做法是將産品基本重寫一遍。“現在我們對外提供的方案會有大、中、小型客戶的分類,更適合對外提供服務。"周森介紹。

另一重挑戰是銷售。周森本人是技術背景出身,此前對銷售並無太多感知,但當商業化之路開始,如何評價銷售、管理渠道、線上線下聯動都是作為負責人需要了解的內容。在那段時間裏,周森買來不少書籍進行學習,同時也在和客戶的交流中提升經驗。慢慢地,他也能為銷售部分做出些許貢獻。

"比如有一個深圳的客戶,剛開始是售前在溝通,但服務需要持續,所以我從內容安全整個行業的角度,就對方高層所憂慮的一些事情談起。這些內容讓對方更認可易盾的專業性。"周森舉例。

在他眼裏,整個2016年都屬於易盾的摸索期,到2017年,整個業務走上了相對順暢的成長期。直到今年,易盾已經服務了數千家付費客戶,周森本人也在今年升任網易智慧企業事業部副總裁。

即使給集團業績添磚加瓦的目標依然在進程中,但對脫胎于集團網路安全部的周森和團隊來説,易盾如今數千家付費客戶的成果,也階段性證明了安全業務商業化的潛力。

但直到現在,挑戰仍一直存在。如今,國內內容安全市場也有不少參與者,這帶來的競爭一直在持續。"這是真金白銀的競爭。為了爭奪客戶,廠商之間的價格戰也時有發生,這也給行業帶來了壓力。"周森説。

一旦走出去,遇到新挑戰是一種必然,不過這種內部孵化團隊,對外輸出能力的案例仍然讓不少安全負責人觸動。

"安全本來就是個成本部門。做好了,很難講清它的價值,做不好出事了,不管你之前做的有多好,最終都是你做的不好。"有安全負責人私下表示。"在這種現實情況下,如果能有機會去做商業化,是最直接證明團隊和個體價值的方式。"

當前在行業中,這種對外提供服務的案例多出現在有財力、人力和安全能力的大型企業身上。除卻網易,業內還有騰訊、阿裏、華為等一些帶有甲方色彩的安全品牌。

以騰訊安全為例,其在2006年左右從C端的電腦管家、手機管家入手,一直到2018年"930"變革後,形成To B和To C業務的兩條線。

算上To C業務,騰訊安全對外提供服務的歷程不算短。但對於要用商業回報來驗證安全投入價值的思路,負責騰訊安全業務的副總裁丁珂卻認為,這更多是一種無奈。作為“過來人”,在騰訊和他的眼中,安全首先是責任,而不是商業價值,商業價值是建立在和客戶、生態共贏的基礎上自然長出的。

當然,這也回到CSO成長的關鍵——要和老闆、團隊基於安全的長期投入達成價值觀的共識。

"騰訊在這個行業是特別'奇葩'的特例。因為我們的成長在一個溫和的過程中,大家有高度的共識。這個過程看上去很自然,但有些價值觀的東西是內生的。"丁珂坦誠。

站在更宏觀的視角,他覺得行業內用商業回報去要求安全投入的階段很快就會過去。

原因很簡單,當前安全行業已經處於破圈的節點。尤其是今年,《數據安全法》、《關鍵資訊基礎設施安全保護條例》和《個人資訊保護法》等接踵而至,再加上之前的《網路安全法》、網路安全等級保護制度,關於安全的法律法規正在以超乎尋常的速度完善。

在這個風向已然變化的關鍵時期,如果企業還不重視安全,還需要負責人以各種方式艱難地突出價值,那麼在丁珂眼中,或許這就是一家管理思路存在很大短板的公司。

"包括CIO、CSO等在內的角色,首先自己要‘懂法’。第二,CSO要在有前途的行業裏面,前瞻性地跟客戶長期共贏。"丁珂説。

這類觀點也得到不少同業認可。尤其在今年這波安全政策密集出臺後,不少安全負責人也感到了行業的潛在助推力。

"法律法規越來越完善,以後越來越多的負責人可以拿著法條告訴老闆,安全是一件需要全公司一起參與建設的事情,也是一件需要負責人和老闆風險共擔的事。"周森認為。

總結而言,在過往,安全從業者需要選擇合適的行業企業,再加上持續有策略地體現安全價值,才能成長為真正的CSO。但一個長期現實是,合適的行業和企業本就沒那麼多,也是這僧多粥少的局面,讓大家的成長之路更加艱難。

如今好的方面是,時代風向的加持,給了不少安全負責人更多選擇。

首先在政策和需求的利好下,重視安全的企業一定會愈發常見。另外,在整個行業的正向鼓舞下,不少安全負責人也正逐步選擇自己下場成就獨立事業。比如,劉新凱在去年離開順豐,成立了自己的安全公司「紅途科技」,主攻數據安全方向。36氪此前也曾報道原「完美世界」資深安全總監何藝創業,成立零信任安全公司「持安科技」的消息。

這些現象都説明,過往安全負責人艱難成長的路徑,或許已經到了被打破的時點。時代會從呼喚更多的CSO開始,綿延出更多適合這一群體成長的路途。

(文中陳森、劉潔和李文為化名)

本文圖片來自:IC photo 正版圖庫