征文 | 陈欣炜:联合起来 让网络安全创造价值
投稿方式可戳文章底部“阅读原文”了解详情。
联合起来,让网络安全创造价值
文 | 陈欣炜
陈欣炜
江湖人称KC,18+工作经验,创业2次,现招商银行全资子公司招银云创从事合规和信息安全工作。多年的职业生涯里,从甲方到乙方,再从乙方到甲方,经历一线、二线工程师、技术部门负责人、VP、咨询公司合伙人等多个岗位,在机场、地铁、电信、电力、政府机关、航运、银行、交易所、券商等行业具备服务、咨询和管理经验。
前言
感谢主编提了这么个有趣的主题,诚如主编所言,存在感、价值感是目前甲方安全困扰的两大主题,网络安全如何体现自己值钱的方面,这真的是业界的大痛点。
关于这点,我不打算从诸如降本增效(虽然老板们很有兴趣,但是难以量化),ROI和CICO(虽然可以量化,但是数字基本很扯淡),还是横向风险比较价值(数字能量化,也不扯淡,但不直观)等常见方式来说,基本CIO和CTO都不太会吃这套了(当然,财务线大佬们很热衷)。
因此,打算从一个比较新的角度来聊这个问题,是本篇短文的开篇。
最后插一句,本文不打算聊安全外化,因为外化就是安全的价值实现之一。
基础:安全的价值在哪里?
我很喜欢用桥来开场,这也是我私下聚会常说的例子,虽然未必准确,但也是个人的一些想法。
如果说,有条河隔绝了两岸,而两岸人民有交互需要,这就是业务的产生。造桥的时候,为了保证业务优先,先造了个石板桥,石板桥大家都懂的,我小时候上大学时候在偏远地带,每次都要经过类似的石板桥,于是乎,大家过桥都十分小心,怕摔进河里,信息化的雏形也就是这样,业务为王,完全可以觉得不用安全,安全是白花钱的。
但是如果你是CIO甚至是企业主,你会安心业务一直在简陋的石板桥上行进么?不说不说监管要求,有大业务来了,承重够不够,宽度够不够,有没可能从桥上掉下去,桥下有没有人打算顺手拿点货物?
于是,基础的护栏造起来了,这也是安全的雏形。
没过多久,有人跳河了,于是决定把护栏提高。
又没过多久,卡车把护栏撞断了,于是决定把护栏加固。
再后来,跳河的人翻过护栏还是跳了,于是决定把护栏做成全封闭。
有人说,桥会断,于是在隔壁造了一座一模一样的桥。
安全就是这么做起来了,你说安全必要么,是必要的,但是我们已经可以看到,安全的投入是无穷的,安全的产出是难以测量的,难不成,你还要去计算跳河的数量?
这个时候,可能你意识到了,安全就是防范风险,是风险对抗的托底,这就是安全的基本价值,安全值钱的基础就在于和风险一体两面。
外力:事件令安全值钱
我曾经见到过一个CIO被大老板顶着责骂,原因如下:“你花了我几千万去做备份,三年了,每年又是几千万投下去,三年了,系统甚至都没有启动过,你花了我这么多钱,每年折腾咨询折腾演练,有什么成果?”
确实,那还是在CISO没有大行其道的年代,安全就是这样,出事了觉得安全无用白花钱,不出事觉得安全无用浪费钱,如果没有外因的驱动,安全确实里外尴尬。确实说,养兵千日,用在一时,但用在一时,并不能保证打胜仗。
外部事件的驱动可以促进并提升安全的价值。对于信安而言,每次都是泣血的事件推动安全水平的提升,无论是政策方向,还是技术方向。近年来的东风,确实给了安全很大的价值空间,无论从行业地位和从业待遇,都是飞速成长。
内功:联合令安全值钱
本文的重点是联合,确实安全目前是当红炸子鸡,也顺风顺水。但是我们可以发现,安全依然还是个小众行业,同时,人员的不断稀释也导致行业单兵作战严重。
因此,联合将会把目前的安全价值提升到一个高度,NBA球星都抱团了,安全行业也不妨一试(虽然我也早就这么做了)。
这里的联合,指的是同业安全联合,也指的是安全行业联合,例如诸子云就是个很好的尝试。
安全目前依然在雏鸟阶段,虽然有诸多高手映衬,但单独飞翔依然有难度。此时,团结能团结的力量,才是上策。
安全人员不是被不断稀释么,造血来不及,就直接联合同行业呀,这样的好处很明显,因为同行业面对的风险是基本相同的,尤其是细分行业,那更是高度相同,加强同业联合才能更好的做好信安,和促进行业发展。
安全技术不是参差不齐么,那就联合后学习先进经验,查遗补漏提升自己,等保的初衷也是如此。
安全走的路,其实就是当年运维走过的路,信息化走过来的路,吸取历史教训,学习更快的走法,才能更好的体现自己的价值。
结语
外力是势,内功是劲,如果自己能力不足,联合当然是成功之道。
联合的阻碍,是私心,是政治,但是为了行业,不要把安全束缚在自己的小圈子里。因为只有把圈子放大,圈子扩大到行业,到更大的范畴,才能聚沙成塔,实现价值。