近日，喜茶大裁員的消息在圈內(nèi)傳的沸沸揚揚，裁員規(guī)模高達(dá)30%，盡管喜茶表示，公司不存在所謂大裁員的情況，年前少量的人員調(diào)整是基于年終考核的正常人員調(diào)整和優(yōu)化，卻依舊不妨礙吃瓜群眾繼續(xù)吃瓜。

而在這場“裁員風(fēng)波”中，被吃瓜群眾吐槽“最悲慘”的就是信息安全部門，整個安全部門全部被砍掉了。這也讓不少網(wǎng)安圈內(nèi)的人在吃瓜之余，不免有點心有戚戚焉：安全部門是如此不受重視，當(dāng)企業(yè)經(jīng)營出現(xiàn)問題時，幾乎是第一個被裁掉，以此降低企業(yè)經(jīng)營成本。

自“甲方安全”出現(xiàn)以來，這個部門或多或少都帶有一些悲情色彩，總是引來一大堆致命的吐槽：不出事老板以為安全部門一整年無所事事;一出事就被當(dāng)做救火隊員，在公司24小時待命，并且最終還要成為事件的背鍋俠，扛起和職位、薪資不匹配的大鍋;在同事眼中，安全部門就是麻煩制造者，增加了產(chǎn)品上線的流程和時間;在領(lǐng)導(dǎo)眼中，安全部門就是燒錢的成本部門，而且這個錢花的總是讓老板覺得很不值......

而這一大堆吐槽也由引發(fā)了網(wǎng)安行業(yè)內(nèi)一個經(jīng)典問題的討論：安全作為一個成本投入部門， 該如何有效衡量它的產(chǎn)出價值?

不受重視的安全部門

對于以上這個問題，筆者咨詢了部分安全大佬和行業(yè)人士，得到的結(jié)果卻是讓人覺得有點悲觀。

作為一個成本投入部門，信息安全部門的價值一直難以有效衡量：企業(yè)在信息安全上的投入是實實在在的，但信息安全對企業(yè)的隱性產(chǎn)出卻難以直觀呈現(xiàn)在高層面前，這也是安全部門不受重視的根本原因。

畢竟，企業(yè)的最終目的是為了賺錢，所有的部門和工作都是圍繞整個目的來進(jìn)行，在這樣的情況下，不能賺錢且不是非必須的安全部門自然是姥姥不疼，舅舅不愛。

近年來，隨著網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展和政策大爆發(fā)，信息安全的受重視程度有所提高，但和國外相比，我國很多企業(yè)，尤其是中小企業(yè)，信息安全部門的地位普遍不高，對于信息安全建設(shè)的重視和投入依舊不足。

例如，相當(dāng)一大部分企業(yè)的安全部門又IT人員兼任，或者是整個安全部門只有一個人，匹馬單槍扛起整個企業(yè)或組織機構(gòu)的安全工作，這絕非是一件簡單的事情，其中的辛酸外人難以理解。

因為要做好安全工作，你不僅要了解企業(yè)的業(yè)務(wù)，清楚產(chǎn)品上線各項流程;你還要擅長溝通，具備良好的語言表達(dá)能力，把專業(yè)的安全語言翻譯成對方聽得懂的話;你要精通網(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn)，時刻關(guān)注公司的合規(guī)情況;你還要會一點教育培訓(xùn)的能力，在一群昏昏欲睡的同事面前講解如何提升網(wǎng)絡(luò)安全意識;甚至你還可能會被當(dāng)成修電腦的，或者是處理桌面問題等。

就是這樣一個幾乎不可能完成的工作，當(dāng)你加班加點完成之后，你會發(fā)現(xiàn)得到的不是老板的贊賞，而是“一個人同樣可以干好安全工作的刻板印象”，自然也就絕了招人加薪的想法。

此外，隨著網(wǎng)絡(luò)安全法律法規(guī)的完善，我國對于觸及網(wǎng)絡(luò)安全紅線的處罰也越來越嚴(yán)重，而安全部門作為最直接的管理者，往往需要為此承擔(dān)相應(yīng)的責(zé)任，有時候甚至面臨刑事責(zé)任。

這也正如某個大佬吐槽的那樣，操著賣白粉的心，拿著賣白菜的錢，還背著一口甩不掉的鍋。

但安全真的很重要

但這是不是意味著安全不重要?事實恰好相反，不論是對于國家還是對于企業(yè)來說，安全都非常重要。

網(wǎng)絡(luò)安全在國家層面的重視程度相信大家都深有體會，這里就不再贅述;即使是在企業(yè)層面，其重要性也不容忽視。

還記得剛剛在國內(nèi)掀起腥風(fēng)血雨的Apache Log4j 漏洞嗎?多少企業(yè)因為這個核彈級漏洞瑟瑟發(fā)抖，不得不加班加點徹夜修復(fù)，給企業(yè)帶來了巨大的壓力，不少企業(yè)甚至因此而遭受嚴(yán)重?fù)p失。

如果再把時間往前推一些，2017年爆發(fā)的WannaCry勒索病毒事件足以讓全世界記憶深刻，100多個國家的數(shù)萬臺電腦被加密，不少企業(yè)業(yè)務(wù)甚至因此而中斷。

直到現(xiàn)在，勒索病毒依舊十分活躍，瑞星發(fā)布的《2021年中國網(wǎng)絡(luò)安全報告》顯示，2021年勒索軟件依然猖獗，仍主要針對政府及企業(yè)用戶，越來越多的威脅組織在勒索的同時，采取文件竊取的方式來“綁架”企業(yè)的隱私文件，以歷史攻擊事件梳理來看這確實卓有成效，大大提高了勒索軟件敲詐贖金的成功幾率。

再加上近幾年國家陸續(xù)頒布了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等多部重磅法律法規(guī)，企業(yè)面臨的合規(guī)要求越來越嚴(yán)格，觸及合規(guī)紅線所遭受的處罰更加嚴(yán)重，有的(例如APP下架)甚至?xí)ζ髽I(yè)業(yè)務(wù)造成嚴(yán)重影響。

此時，誰又能否認(rèn)信息安全的重要性?

安全重要但不重視?

那么，這里就出現(xiàn)了一個矛盾的現(xiàn)象了：網(wǎng)絡(luò)安全十分重要，但是在企業(yè)內(nèi)部，網(wǎng)絡(luò)安全部門卻又不受重視。

在筆者看來，其原因在于，一是企業(yè)面對網(wǎng)絡(luò)攻擊時抱有僥幸心理，認(rèn)為企業(yè)不會成為攻擊目標(biāo)，或者是攻擊不會給企業(yè)帶來嚴(yán)重的損失。以往的經(jīng)驗表明攻擊并不是經(jīng)常出現(xiàn)，但是隨著數(shù)字化轉(zhuǎn)型浪潮的出現(xiàn)，企業(yè)正在為這種僥幸心理買單。

例如曾出現(xiàn)“5億用戶信息泄露事件”的華住集團，顯然不會再抱有這樣的僥幸心理，而是扎扎實實做好網(wǎng)絡(luò)安全工作;而抱著這種僥幸心理赴美上市的滴滴，到現(xiàn)在還在為此買單，給企業(yè)帶來了難以言表的損失。

二是認(rèn)命心理，通常出現(xiàn)在中小企業(yè)之中。由于這類企業(yè)處于擴張初期，面對激烈的市場競爭，企業(yè)被迫投入全部的資源。如同一個人一樣，必須要吃飽飯才能去考慮生病之類的問題，因此他們往往會有意無意地忽視企業(yè)信息安全建設(shè)。但有數(shù)據(jù)表明，這類企業(yè)才是攻擊者最喜歡的目標(biāo)，不少中小型企業(yè)也因此付出了代價。

隨著科技的發(fā)展和時間的推移，這樣矛盾的現(xiàn)象將會進(jìn)一步得到改善，再抱有以上心理的企業(yè)遭遇攻擊和因此蒙受損失的概率將會逐漸上升，而網(wǎng)絡(luò)安全的重要性也必將倒逼企業(yè)更加重視安全部門。

令人欣慰的是，即便在企業(yè)中不受重視，但是廣大的信息安全人員依舊在崗位上戰(zhàn)斗，用盡一切辦法強化企業(yè)信息安全防護(hù)體系，撐起了企業(yè)的安全脊梁。尤其是那些一個人的安全部門，他們精通十八般武藝，為了心中那個“重要”的目標(biāo)，痛并快樂著。

也許未來，依舊會有很多企業(yè)不重視安全，但是卻無法改變網(wǎng)絡(luò)安全越來越重要的趨勢，而那些不重視網(wǎng)絡(luò)安全的企業(yè)，最后總歸會因此失去點什么。