網際網路企業安全進階指南2.1 創業型企業一定需要CSO嗎

<b>第2章　安全的組織</b>

很多人忽略組織，但實際上組織是比技術和流程更重要的東西，“人”是所有問題的決定性因素。本章就講一下安全組織中的人。

<b>2.1　創業型企業一定需要cso嗎</b>

<b></b>

<b>1. 招聘方的訴求</b>

當下不少創業型公司都在找cso，也有找到我的，就順帶分享一下我對這個問題的思考。首先這個問題即便是對同一個人而言可能答案也會因時而變，其次cso隻是一個代表性的稱呼，大家不要過于糾結一定要做什麼事才算cso，cso和ciso又有什麼差別之類的，在這個語境下用來指代招聘方想找擁有全局安全管理經驗的人，甚至最好是資深的從業者，他能帶一支哪怕是幾個人的安全團隊，并能把安全相關的事全部攬過去。

<b>2. 不同階段的需求</b>

對于尚在天使融資階段，找個cso大多就是去忽悠投資人的，通俗一點了解就是湊一支履曆光鮮的隊伍去“騙錢”。能不能做事情這個很難說，也不能說人家一定做不了事情，這種隻能事後諸葛亮的蓋棺定論，随便說人不靠譜也是不負責任的，不過我想對于大多數有不錯崗位的人而言應該是不會去的。

對于拿到a輪、b輪投資的階段，業務方向已被證明，業務量不大但進入快速成長期，問題層出不窮。ceo和cto覺得頭疼并且想把這部分壓力轉嫁出去，理論上是應該找一個懂安全的人的，但是現在這個時間點（也就是2016年）真的不是一個好時間，在當下很多公司用數百萬也經常找不到合适的cso，創業型公司要在這個時間點上争奪安全人才真的是很累的一件事。建議找2～3個靠譜的安全工程師，然後cto（技術總監）、運維leader、開發的架構師這幾個角色快速補一點安全的知識和方法論，哪怕是充當救火隊長趕鴨子上架，大家配合一下，應該也能把安全撐起來，不一定非要找一個大牛級的cso，因為有時候業務量沒那麼大規模，不一定需要很進階别的人，且創業型公司為了保持自己的鮮活也不需要套用大公司的流程和方法，做好基礎的運維安全，代碼安全，加強一些安全意識，不出問題的時候騰出時間來研究一下下一步怎麼做，跟時間和業務增長速度賽跑，跑着跑着，應該就會越來越輕松了。當然，作為創業者，如果你有一個安全領域的朋友願意幫你出謀劃策，偶爾回答一下安全建設如何做這類問題，其實那cso的需求也就解決了，代價隻是請吃幾頓飯。

對于拿到c輪、d輪、e輪投資的階段，業務初具規模，開始朝更高的目标沖刺，同時能給人畫更多的“餅”，如果之前已經招到靠譜的安全工程師，那這個時候應該已經成長起來，承擔起leader的角色，通常也不需要從外部招cso了。這個時候想從外部招cso的都是之前主觀的或被迫的不太重視安全，出了問題才想要頭痛醫頭腳痛醫腳。這個時候的業務形态跟大公司比應該是“麻雀雖小五髒俱全”，安全管理上應該是有很多相似的地方了，對于初具規模的業務而言安全管理的經驗很重要，可以直接從大公司挖人。當然了級别較高的人估計還是挖不動的，能挖動的主要就是骨幹那一層的人吧。通常你需要容忍他們業務上有深度但不一定面面俱到，很可能情商和管理能力也差強人意，不過能解決你的問題就行，面面俱到的人才畢竟還是太貴了。對于那些估值超過100億美元的創業型公司，還是建議找高端人才。

對于準備沖ipo的階段，這個時候想必不會囊中羞澀，如果你是這類公司的cxo，還為找不到人感慨萬千，我想也許是心态還不夠開放，亦或許是給人的“誠意”還不夠，對此我也給不了太多建議了，畢竟市場上進階人才隻有那麼一小撮人，來不來，去不去取決于那一小撮人的意願，被打動了自然來，沒被打動的自然不去。

<b>3. 創業型企業的挑戰</b>

對選擇轉會的cso去創業公司是否有挑戰？有，也沒有。首先做的事情往往還是從頭建團隊，把過去建設安全體系的過程從零開始再做一遍，從這個角度講重複過去做的事情盡管業務有所不同但過程和結果上未必有挑戰。有“挑戰”的反而是如何在創業公司的條件下招募成員，維系團隊，在很多流程及界限不分明的情況下推動事情落地，僅此而已。對cso本人而言得到的實踐機會未必有大公司多而廣，因為安全是一個随企業規模而複雜化的工作。但是，如果你是cso的跟班小弟，那你可能是成長最快得到鍛煉最多的人，因為你經曆了安全建設從無到有飛速發展，從簡單到自動化的過程，這個過程不是人人都能經曆的，如果你進入bat在一個很細的分支上耕耘幾年未必能積累到這種“全局視野”，相反在這種環境下才能快速積累。是以除非公司ipo，cso都不是團隊裡收益最大的人，但跟班小弟卻是最大的赢家。