網際網路企業安全進階指南3.14 TCO和ROI 50

<b>3.14　tco和roi</b>

企業安全建設本質上不是一個可以通過完全量化的名額來衡量建設得好與壞以及能力成熟度的事情。安全是一個永無止境的投入，永遠都沒有辦法提出一個清單，說這裡面的條目你都做到了，安全就很好了。也是為什麼等級保護、iso27001、pci-dss這類企業認證可以用來裝點“門面”，在廣告、營銷、融資、上市公司内控等環節告訴公衆自己是有那麼一點安全能力的，但是永遠都不可能說我是無懈可擊。某些老闆在台上走秀時吹牛的情節請自動忽略。安全建設的好壞不隻是依賴于安全團隊的強弱，還跟安全建設本身所消耗的金錢和資源有關，大多數企業都不是土豪級的公司，拿業界最佳實踐來衡量都缺少前提條件，業界最佳實踐可以是安全團隊自己的追求，但不是安全團隊工作成果的評價标準，因為現實中不可能消耗那麼多錢用于安全建設，而一定是根據企業所處的階段投入到應景的程度适可而止，如果這個時候某些磚家一定要拿什麼能力成熟度模型來評估，說結果不好看，你可以很理直氣壯的告訴對方從現實的角度出發無可厚非，什麼階段就是應該做什麼事，拿個網際網路行業千億美金市值的公司來“套”大多數公司純屬無腦行為。

可用于評價安全建設做的好與壞的唯一标準就是roi，用什麼樣資源（tco）産出什麼樣的安全效果。能力平庸的cso可能建了很大的安全團隊也還是頻出安全事件，團隊中不乏張口就是“七分管理，三分技術”的那類人，而面向實操幹活的人卻是少數且沒有地位的工程師，即便有學習能力不錯的工程師也沒法系統化的組織他們的工作，任其自生自滅。還有的公司不缺幹将，但是招了牛人卻隻做救火之用，到頭來的産出和一支沒有牛人的團隊相差無幾。思路清晰的cso即便自己不充當工程師的角色，也能以一支精銳小團隊覆寫企業中絕大多數安全環節。

在網際網路公司，安全負責人最可能影響roi的幾個因素如下：

缺少系統化藍圖，對安全建設的全局以及分解後的輕重沒有感性認知，這是最可能導緻頭痛醫頭腳痛醫腳的原因。

對管理體系和工具鍊建設沒有整體認知，選擇在錯誤的時間點做正确的事。

把安全工作當成checklist而不是風險管理工作，凡事要求絕對安全而不能接受相對風險，對下屬求全責備，大概隻有外星人能滿足這種需求。

弱于判斷安全建設在實踐環節的好與壞，搞不清楚某個安全機制在業界屬于落後水準，平均水準，還是領先水準，以及某種安全機制對于削減某類風險的作用強弱，容易被執行者忽悠。帶來的結果就是貌似很苦很努力，但收效甚微。

個人的職場步調與公司發展的階段不一緻，公司處于快速擴張時期，而安全負責人本人則采取保守謹慎的政策。

隻務内勤，不管外聯，不重視生态關系建設。最後導緻小問題，大影響。

作為一個風險管理型的角色，而不是直接産生利潤的職能，其管理向上溝通可能會有一定的難度，在風險取舍方面跟上下左右達成一緻也需要提前溝通好。