1.4 如何引起重视？

企业信息安全是一个“极端复杂”的“二级混沌系统”，企业安全团队所要解决的绝不仅仅是技术问题。所以想要做好安全工作，需要投入很大的精力，安全团队需要得到公司决策层的大力支持。而在企业中，决策层的支持是稀缺资源，我们不能躲在角落静等企业高层的主动关注。

保险销售人员的工作是把他的产品销售给客户，而企业安全团队成员（尤其是团队负责人）的责任是要将自己的能力、团队甚至理念销售给企业。

我们在前文提出了一个观点：企业的安全团队是不可替代的！但是这个观点并不是说给安全从业者们听的，因为他们就是企业自建安全团队的受益者，就算意识不到这一点，也完全没问题。更应该理解这个观点的其实是企业的决策者。

问题来了，企业安全团队如何让高层意识到自己的不可替代性？在企业中没有哪个部门会跟高层说自己是不重要的，在所有人都在宣称自己很重要的时候，安全团队应该怎么做？我们将企业内部环境分为如下四种情况，分别展开讨论。

第一种是最差的情况，企业的管理者对网络安全完全没有概念，认为安全事件根本就不是问题，就算有问题运维团队顺手就干了。

正常情况下，笔者不建议安全从业者就职于这类公司，这也是为什么我们将这类企业环境归结为最差的情况，但并不能确定没有信息安全从业者就职于这类企业，所以我们还是要探讨一下。一般来说这种情况下，企业往往没有什么实际的安全压力，否则也不会完全不重视。所以，我们仅仅是举别人的例子，讲可能存在的风险是很难打动管理层的。如果我们要在这类企业中凸显安全的重要性，建议从如下几个层面开展。

1）找到企业安全问题，如果自己能力不足，可以动用一些个人关系和厂商的资源（如果需要挖漏洞，需要注意授权问题）。

2）归纳总结，然后把这些问题和企业的实际损失挂钩，比如中了挖矿病毒会造成IDC资源的消耗有多少，最好能直接与经济损失挂钩。

3）将这些问题择机向高层提出，注意是“择机”。如果提出这些敏感问题的时机不对，结果可能适得其反。

第二种情况是管理者清楚安全的重要性，但认为这并不是第一要务，团队可以有，但不需要很大的团队，花钱也不能多。

目前在行业内这类情况还算比较多的，简单来说就是领导们想支持你，但不想让你折腾得太“猛”。这种情况下，安全团队要紧贴业务，千万不能沉迷于自己的技术优势。公司管理层的职责是让公司生存下去，而不是让你展现你的技术实力。我们要让自己的技术成为业务发展的助力，而不是绊脚石。这话说起来简单，具体执行起来还是很难的。笔者的一位好友曾经在某大型互联网公司的做法就很值得借鉴：

首先，给业务划定一个安全范围，在这个范围内，用各种办法保障业务安全，给业务野蛮生长的空间。其次，同样用各种手段巡查是否有“出圈”的情况。第三，调整这个“圈”，使它不断适应业务的发展。

大家是不是想起了《西游记》？是的，孙悟空的那个圈就是安全范围（见图1-1），唐僧出圈后遇到危险，悟空当然要去解救，但没人会觉得这是悟空的问题。责任问题在《西游记》里不是重点，但在企业中把责任分清楚的重要性不言而喻。如果悟空具备互联网企业产品经理的思维模式，这个圈就应该能自动伸缩，用户体验会更好。

第三种情况是企业确实面临着严重的安全问题，比如：被“薅羊毛”、数据丢失等。这种情况往往是前期比较好做，毕竟有具体的问题需要解决，要求安全团队有比较强的解决实际问题的能力，无论是产品选型还是自主研发，需要的是快速、经济、准确地解决问题。只要不出大问题，这个阶段会是安全团队和管理层的“蜜月期”。但后期如何深入体系化建设是个问题，在这个阶段建议安全团队的管理者要思考这些具体问题解决后，安全团队的定位。

第四种情况是管理层能很好地认清形势，给安全团队比较大的支持。这种情况确实有利于安全团队开展工作，很多事推动起来也比较顺利。但是与对行业形势和安全态势都比较了解的管理层沟通，安全团队更要展示出自己的技术能力和大局意识，同时要更多地和高层沟通，明确方向。这无疑给安全团队负责人提出了很高的要求，团队成员也需要调整自己在团队中的定位，从而给团队负责人提供更多的支持。

以上是笔者总结的几种情况，不一定覆盖所有可能性，因为每个企业都有自己的行业特点和团队面貌。所以，每个人都要根据自己的实际情况选择适合的对策。但无论处于何种情况，要得到高层的支持，需要频繁沟通，同时，对于日常工作或项目进度要有市场的成果展现。成果的展现主要分两个维度，一个是时间维度，另一个是成果维度。

所谓时间维度，就是在一个较长线的工作中，要适当地展现阶段性成果。笔者比较反对“憋大招”的做法，这会让公司高层对你的工作很没底。一定要有阶段性的产出物，并及时展现或汇报。除非有些工作就是要制造惊喜效果，但这类工作想必不会很多。

所谓成果维度，就是对于那些工作很难量化成数据或者没有具体展现的工作成果，要适当寻找展现机会。这就对安全团队的管理者提出了较高的要求，团队管理者要具备足够的产品思维，能把安全团队的成果转换成可量化、甚至可见的产品级输出。对内产品级的输出并不需要像安全厂商一样有非常成熟的产品成熟度，但也不要将系统设计得太过技术，一个友好的人机交互界面是非常有必要的。安全团队负责人应该考虑从多个维度展现工作成果，甚至把这种思想深入骨髓，研发产品的时候、工作汇报的时候、日常闲聊的时候都应该找机会把安全团队的工作价值体现出来。关于汇报工作的具体方法，本书第14章将详细论述。

最后，因为近年来国家对网络安全越来越重视，所以从合规的角度来说服领导也是非常重要的，合规方面的内容将在第2章介绍。