最近有一家企业裁员的事件比较火爆而且涉及我们信息安全从业者,先看一则来自新京报贝壳财经的消息:
企业运营不善,裁员减负是很常见的事情,但是裁员过程中,首选信息安全部门,而且是全部裁掉,这个对于我们从事信息安全工作的来说,可能会有疑问。为什么要把信息安全部门全部裁掉呢?
先不论这个消息是真的还是假的,今天我想聊的是关于信息安全在企业中的价值,老板觉得信息安全部门没有用或者投入产出不成正比才会否认信息安全部门的作用和价值,然后采用这种极端的方式,全部裁掉。如果在老板心里,信息安全部门有他的价值存在,也就不会出现全部裁掉的情况。
甲方安全从业都会面临一个问题,就是如何在老板面前说明白信息安全的价值,通常采取的方式包括:
1、借助业界因为信息安全事件而导致的业务损失作为案例
2、利用国家出台的各项信息安全法律法规,比如网络安全法、等级保护、数据安全法等
3、企业历史出现的安全事件,通过事件驱动来向上汇报
假如你是一个企业的老板,信息安全团队向你汇报工作成果,你最关心什么?我认为,大部分老板还是关心自己的业务增长和收入情况,信息安全工作如何与企业业务增长和收入挂钩呢?
业内大佬说安全与业务是一个天平,安全做得多可能会导致业务受损,业务发展太快,有可能导致安全状况下降,如何平衡好安全与业务的关系是信息安全团队的重要工作之一。
在企业发展之初,通常不会考虑安全的问题,毕竟业务能否发展下去,企业能否活下去是首要目标,在企业达到一定体量之后,受到的关注成倍增加,比如用户的关注、国家的监管、自身安全事件的出现,企业就不得不去关注信息安全的问题,然后成立信息安全部门。
信息安全部门本身就是一个成本中心,无法对业务有直接的促进作用,只能在业务快速发展的过程中,为业务保驾护航,尽量减少业务发展过程中由于信息安全问题导致的经济损失或者制约发展的情况。
当企业在走下坡路的时候,为了节约开支活下去,首先想到的就是节约成本,降低开支,比如裁员、减少年终奖、降低福利待遇等措施,而裁员时,首先考虑的是那些职能人员,即使裁掉也不会影响业务的正常运行,IT 人员中:运维人员负责企业线上业务的稳定运行,如果裁掉可能会导致线上业务无法正常使用,导致用户流失,业务受损,无法裁掉、产研团队负责业务系统的开发和维护,如果裁掉,无法保证业务系统正常研发和使用,也会导致业务无法正常发展,也是无法裁掉的部门、接下来就剩信息安全部门,即使裁掉,暂时不会对业务造成影响,只有在发送安全事件或者监管查到的时候才会出现经济损失的情况,那么就裁掉吧。
信息安全作为企业的成本,当企业处于上升期的时候,投入一定的资源去做信息安全相关的事儿,不会有太大的压力,而企业发展无法自顾时,牺牲的一定是当下对企业发展影响最小的部分,当渡过难关之后再次招人干活也是可以的。
信息安全圈流传的一句话:出了安全事件、要信息安全部门干什么用,这都没有防住?没有出安全事件,要信息安全部分有什么用,天天无所事事,裁掉算了。信息安全事件是低概率事件,大多数人无感知是正常的,无感知不代表安全,信息安全工作还是要做。
最后,即使被裁也不要怕,有人裁员,就有人招人,只不过换个坑位继续默默无闻的做企业背后的英雄,有企业走下坡路,就有企业处于上升期,随着国家监管的完善,信息安全的需求也会不断增加,如果你在找工作,欢迎加我微信,有不少企业招人,可以帮你推荐。