安全er的崩溃，从业务人员说“不”开始

在阿里云的时候，就觉得安全部是一个很"清奇"的部门，似乎一整套体系都是独立的，有自己的小圈子。

出来后加入安全圈子，为各厂商提供业务安全服务，也在第一次接触到各厂商的SRC（应急响应中心）后，看到一群不同的人因为一样的责任感团结在一起，越发感受到安全er的活力。

然而，在活力的背后，隐藏着安全er长久的克制。

不止一次听起安全从业者感慨，做安全最大的阻力并不是在外部，而恰恰是公司内部。这究竟是为什么呢？

安全与业务，总是一对无解的冤家

叱咤风云的***和低调支撑业务的甲方安全er，拥有两种截然相反的职业轨迹，后者很显然承受了更多。

我们每天可以看见这个场景在不断上演：业务部门要上线一个活动，有明显的被***风险，事先没知会过安全部门（好一点的同步一下，不过也没太大用），安全部门赶来要求增加一些防控措施，业务部门置若罔闻，再去追问，就用"KPI"、"业绩"给打发了。

业务人员因为持有业绩KPI而强势，而相关的安全需求则被视为无用功。除非发生大型的损失（如拼多多优惠券事件），业务人员才会对安全部门有所敬畏。这让安全部的防控策略成了"大病医疗险"，平时勾选一下的意愿都没有，真出事了，也找不到索赔点。

为什么安全会像一个保险产品一样？无法量化是其中一个最大的问题。填补多少的漏洞、上线多少新的防护方案、避免了多少的风险，这些都是对未发生的事情做防控，而究竟这些问题真的发生了，会带来多少的损失，往往是很难量化的，与业务部门真金白银的业绩比起来，更是如此。

也就不难怪为何业务部门的话语权更重，对安全部门的影响如此之大了。

主导和服务，全然不同的两条路

不过，上述的苦逼安全部门更多来自互联网的甲方公司。在和钱离得近的金融行业，风控部门则拥有较高的话语权。特别是在银行、持牌消金机构，风控可以有效降低逾期率、坏账率，直观地减少业务损失。甚至于，机构的运营情况如何，主要是看风控做的如何。

不难看出，当离钱更近的时候，风险损失更容易量化，那么安全做的工作就更容易体现价值，话语权也更大一些。

笔者和业内的几家安全负责人做了简单的交流，发现在这样的大背景下，安全部门走出了两种形态：

一种是做好守护者的安全部。主要关注公司全局的安全生态建设，会给业务提出相关的风险建议，但是最终是否采纳的决定权在业务。如果在已经提示过风险的业务上出现问题，唯一的底线就是不背锅。

另一种则是与业务部门平起平坐的风控部。公司的业务计划需要与风控部门同步，将风险控制在事前，风控部门的绩效考核与业务直接挂钩，话语权与压力并存。

安全er未来的可能性

那么话说回来，在离钱还有点远的安全部，难道没有推动部门话语权的可能性吗？

不全然是，笔者在这提出两个必要的场景做讨论：

1、意识转变

安全部从过往的传统网络安全范畴过度到业务安全，成为一门显学的时候，大众对于业务与安全的融合性或许会有更好的认识，也更能理解做好安全建设的必要性。

2、价值挖掘

安全部门能将工作成果与业务成果挂钩，量化业务价值，进而推动安全部向价值中心转变。这点颇受争议，但是路都是人走出来的，况且行业每天都在发生变化，未尝不是一个值得努力的方向。