安全er的崩溃，从业务人员说“不”开始

在阿里云的时候，就以为安所有是一个很“清奇”的部门，彷佛一整套体系都是独立的，有本身的小圈子。

出来后加入安全圈子，为各厂商提供业务安全服务，也在第一次接触到各厂商的SRC（应急响应中心）后，看到一群不一样的人由于同样的责任感团结在一块儿，愈加感觉到安全er的活力。

然而，在活力的背后，隐藏着安全er长久的克制。

不止一次听起安全从业者感慨，作安全最大的阻力并非在外部，而偏偏是公司内部。这到底是为何呢？

安全与业务，老是一对无解的冤家

叱咤风云的***和低调支撑业务的甲方安全er，拥有两种截然相反的职业轨迹，后者很显然承受了更多。

咱们天天能够看见这个场景在不断上演：业务部门要上线一个活动，有明显的被***风险，事先没知会过安所有门（好一点的同步一下，不过也没太大用），安所有门赶来要求增长一些防控措施，业务部门置若罔闻，再去追问，就用“KPI”、“业绩”给打发了。

业务人员由于持有业绩KPI而强势，而相关的安全需求则被视为无用功。除非发生大型的损失（如拼多多优惠券事件），业务人员才会对安所有门有所敬畏。这让安所有的防控策略成了“大病医疗险”，平时勾选一下的意愿都没有，真出事了，也找不到索赔点。

为何安全会像一个保险产品同样？没法量化是其中一个最大的问题。填补多少的漏洞、上线多少新的防御方案、避免了多少的风险，这些都是对未发生的事情作防控，而究竟这些问题真的发生了，会带来多少的损失，每每是很难量化的，与业务部门真金白银的业绩比起来，更是如此。

也就不难怪为什么业务部门的话语权更重，对安所有门的影响如此之大了。

主导和服务，全然不一样的两条路

不过，上述的苦逼安所有门更多来自互联网的甲方公司。在和钱离得近的金融行业，风控部门则拥有较高的话语权。特别是在银行、持牌消金机构，风控能够有效下降逾期率、坏帐率，直观地减小业务损失。甚至于，机构的运营状况如何，主要是看风控作的如何。

不难看出，当离钱更近的时候，风险损失更容易量化，那么安全作的工做就更容易体现价值，话语权也更大一些。

笔者和业内的几家安全负责人作了简单的交流，发如今这样的大背景下，安所有门走出了两种形态：

一种是作好守护者的安所有。主要关注公司全局的安全生态建设，会给业务提出相关的风险建议，可是最终是否采纳的决定权在业务。若是在已经提示过风险的业务上出现问题，惟一的底线就是不背锅。

另外一种则是与业务部门分庭抗礼的风控部。公司的业务计划须要与风控部门同步，将风险控制在事前，风控部门的绩效考核与业务直接挂钩，话语权与压力并存。

安全er将来的可能性

那么话说回来，在离钱还有点远的安所有，难道没有推进部门话语权的可能性吗？

不全然是，笔者在这提出两个必要的场景作讨论：

一、意识转变

安所有从过往的传统网络安全范畴过分到业务安全，成为一门显学的时候，大众对于业务与安全的融合性或许会有更好的认识，也更能理解作好安全建设的必要性。

二、价值挖掘

安所有门能将工做成果与业务成果挂钩，量化业务价值，进而推进安所有向价值中心转变。这点颇受争议，可是路都是人走出来的，何况行业天天都在发生变化，何尝不是一个值得努力的方向。