旗下微信矩阵:

企业呼唤安全官,年薪达300万

这个还不算破圈的职业,已经逐步成为这个时代最不可或缺的高管职位。
2022-07-22 11:29 · 36氪  真梓   
   

       企业被处高额罚款事件频发。

一方面,企业整体面临更强约束;另一面,企业本身的网络信息等安全建设仍有较大缺口。

随着《网络安全法》《数据安全法》《个人信息保护法》等法律法规不断扩大企业安全的范畴,如何保证自身的合规性、物理和信息资产的安全成了许多企业最关心的问题。

安全人才需求爆发的时点已至。

本文深入展现了企业安全官在当前大背景下面临的机遇与挑战。今后,职场Bonus将持续关注这一逐渐成为“刚需”的新兴岗位。

年薪300万,这是一家游戏公司去年给首席安全官(CSO )岗位开出的offer。

数字看似夸张,但这并非孤例。“如果技术真的过关,又有不错的管理经验,就算是年薪500万的首席安全官(CSO)也有人找。”关注IT招聘近10年的猎头刘洁近期向36氪透露。

上百万高薪背后是安全行业人才供需失衡——如今,国内网络安全专业人才累计缺口超140万人,CSO更是整个安全行业中的极度稀缺人才。刘洁发现,“今年不管是从业者还是专家都很难招,一年能谈十几个就算不错了。至于CSO,更是高端稀缺资源。” 在具体数量上,有从业者表示,“如果严格定义,当前在行业中叫得上名号的CSO,或许两个手都数得出来。”

成为优秀的CSO显然不易。如果是自下而上的路径,只有在合适的行业、合适的公司、合适的时点,不断协调资源做出业绩,再将安全与公司的主营业务相结合,且经过多年的验证与经验沉淀,才有机会从安全工程师成长为真正的CSO。这种复杂的成长之路,注定了这一职位的稀缺性。

1995年,当全球*位CSO 史蒂夫•卡茨被聘用上任。此后的25年,在经历了互联网泡沫后,全球最终进入了超高速发展的移动互联网时代。安全,尤其是数据安全的重要性,早已成为全球议题。

在国内,早前《网络安全法》、等级保护测评制度已经推行。而在2021年,《数据安全法》和《个人信息保护法》等法律法规接踵而至,不少公司在市面上高薪寻求CSO等资深安全人才也因此渐成趋势。

CSO,这个还不算破圈的职业,已经逐步成为这个时代最不可或缺的高管职位。

01、一个呼唤CSO的时点到来了

“又失败了。”

当令人失望的结果再次出现在眼前,创业者陈森一时难以接受。

此时,距离他的APP被下架已过去数天,但迹象并未有一丝好转——自接到通知起,公司已经按照相关要求调整多遍,却迟迟无法通过考核。

创业公司,与产品相关的事务多由CTO负责,再加上业内不少整改都牵扯技术问题,陈森凭直觉将CTO任命为此事的*负责人。但当失败的结果循环往复出现,他隐约意识到,这次的整改可能不仅牵扯到技术调整。

于是,一个由CEO亲自牵头,技术、法务、政府关系等多部门参与的小组成立了。虽然大家都没有如此操作的经验和信心,但在老板的指挥下,各成员还是进行了分工,先由法务和GR部门解读要求,再交予技术负责人解决实操问题。

这一次,看似费力的方法凑了效,APP终于如愿整改通过。

然而即便有惊无险,一个疑惑依然在陈森心中徘徊:“像这样的问题,组织内到底该由谁负责?”

“CSO。”一位长期身处安全行业的顾问告诉他。

“这个人需要站在全局的立场上,协调开发、运维、法务、政府关系等部门,还要对外沟通,一步步解决问题。这是CSO的职责。”

CSO(Chief of Security Officer),即首席安全官。从狭义角度,这一职位的基础职责是满足企业所面临的合规性要求,同时也保证企业所有物理、信息资产的安全。

坦率而言,如今CSO的认知度并不算高——当谈及这一缩写,不少人的*反应是"首席战略官",更多人则和陈森一样,一头雾水。

数据成为了证明。一份发表在2018年的《中国首席安全官(CSO)调研报告》显示,在彼时的129份问卷调查中,仅有30.2%的政企机构设立了CSO或相应级别岗位。而近一半的机构,在当时从未考虑过设置这一岗位。

但时至2021年,情况发生了显著变化。

今年10月,猎头刘洁对36氪表示,当前不少甲方企业出于自建、更新团队的目的,纷纷急求CSO、安全负责人、安全专家等职位,“有需求的企业至少会放出两个专家类型岗位,如果涉及到安全业务的更迭需求,CSO也不可或缺。”

直白的薪水范围似乎更具冲击力。眼下,“年薪百万”在安全管理层群体中已不具诱惑力。“如果技术真的过关,又有不错的管理经验,就算是年薪500万的CSO也有人找。”她透露。

虽然,目前这类人才难求的情况多出现在大型跨国集团、互联网以及金融等长期具备安全敏感性的行业,但更多的从业者告诉36氪,他们认为其余不少行业也将逐步出现需求增长的现象。

这是依托经验和趋势的预判。

最明显地,继等级保护测评制度、《网络安全法》之后,《数据安全法》、《关键信息基础设施安全保护条例》以及《个人信息保护法》等法律法规在今年接连出台,扩大了安全的范畴。在更细致的事件层面,有媒体报道,仅在2021年8月,就有67款APP被通知下架,原因多与违规收集个人信息有关。另外,今年夏天监管对准IPO公司的约束,更让数据安全成为各行各业关注的焦点。

当上层制度日益清晰,相应监管愈发完善,种种迹象表明,一个呼唤CSO的时点或许到来了。

02、稀缺:300万难找CSO

不过,即便需求爆发的时点已至,与此对应的一个戏剧化现象却是,此时业内大规模招聘成功的消息并不多见。

“我们暂时没有设立这个职位。”不久前,当36氪问及几家上市公司时,对方如此回复。

其中的一种原因颇值得玩味——一些企业受限于既有人员的能力,CSO的招聘暂时还在推进中,且不知何时能招到心仪人选。

这不是个例,“听说有游戏公司去年就开价300万招CSO,但其实并不好招。”一位行业人士透露。

供给端的不足是导致人才难寻的主要原因。

36氪近期了解到,当前在行业中,负责人级别的人才有数百,但真正被认为称得上C title的,或许“两只手数得出来”

这个细节说明,即便外行眼里,负责人和CSO之间的差别难以衡量,但在从业者和需求方心中,真正的CSO和安全负责人之间却存在着相当的差异

对一般负责人而言,入门级的要求包括技术能力、对内外上下的沟通能力、对政策和市场的理解,以及一定程度的管理能力。

而CSO不仅需具备以上能力,还要了解行业趋势、熟知公司业务、在安全工作开展和公司实际业务的需求中进退有度,同时也要在一定情况下,将安全工作的价值和公司的主营目标相结合。

对外行而言,最浅层的一个判断维度是,“你看有多少负责人能进入决策层,直接向老板汇报?”有资深业内人士告知36氪。

很明显,这不是同一级别的权责。尤其,做到将安全价值和公司业务目标相结合,个体的努力只是一方面,很多时候更是一个综合命题。

这带来了接下来的疑问——到底怎样的土壤,才能孕育出真正的CSO?

世界上*位CSO出现在金融业。

1995年,花旗银行(现为花旗集团)聘请了史蒂夫•卡茨(Steve Katz),由其负责相关的安全事务。此前,这家银行曾遭到黑客攻击。黑客闯入该银行的现金管理系统,从系统中抽走一千万美元到自己的账户上。之后,花旗银行雇用了卡茨。

而在国内,早年将安全业务囊括旗下的大多是各类政企机构的IT或运维负责人。

换言之,早前甲方的安全业务常归于信息化部门下的运维部,属于三级部门。当时的IT或运维负责人多进行采购防火墙、防毒墙、反垃圾邮件等产品,选择范围也较倚重国外品牌。

“在这样的情况下,安全的地位不突出,基本没有出现CSO的可能。”元起资本联合创始合伙人万熠认为。

相较来说,金融、运营商以及互联网公司表现得更为激进。比如互联网属性较重的公司,较早便会自建安全团队。而出于监管的强要求,金融类机构也会对安全投入不少。“如今真正的CSO,大多出现在特定行业。”有负责企业安全的高管向36氪表示,"比如互联网和金融。”

一个有趣的现象是,当前不少急寻CSO的金融企业,其挖人方向多指向互联网公司的安全团队。而在访谈中,我们发现如今被业内人士谈及较多、认为称得上CSO名号的人士,也多出自或具备互联网公司背景。

中国的*批互联网公司在2000年左右成立,多从内容、电商等领域起家。

这类业务中的安全风险向来不低。在内容领域,图文信息可能存在黄暴、虚假、政治敏感等问题;游戏产品的代码、数据、账号等资产均具备变现可能,一直是黑产攻击的重点。而从电商角度,用户从下单到拿到商品,中间的各环节都存在个人信息泄露的风险,甚至由此导致诈骗事件。

当业务和安全相伴相生,招聘人才、自建团队成了不得不做的选择。

比如腾讯,早前其内部遭遇计算机病毒的冲击,再加上QQ盗号病毒的传播,于2004年组建了自身的安全运维组。网易的安全团队也在2006年之前组建,“06年我毕业加入网易,当时就主做安全工作。”网易智慧企业事业部副总裁周森告知36氪。

如果要下一个定义,“大约在05年左右,不少大型互联网公司开始了自我建设。”有资深行业人士回溯。

一个常识是,安全作为前台业务的支持部门,往往被看作消耗成本的角色。也只有那些主营业务必须在安全保障下才能顺利进行的企业,才会花大价钱自建团队、单设部门。

而中国的安全行业自上世纪90年代起步,到00年左右已经出现一批厂商。这意味着,如果企业只是一般重视,那可能也犯不着自建,采购是更具投入产出比的选择。这从侧面说明大型互联网公司对安全的重视程度,同时也间接导致如今我们见到的CSO们,不少出自互联网属性较重的行业。

从更高维的层面,这指向一个结论——选择合适的行业,是如今CSO成长的首要前置条件。

“我想最适合CSO的成长方式一定是先做筛选。”腾讯副总裁丁珂对36氪表示。

其是国内著名安全专家,于2003年加入腾讯,数年间主导腾讯安全从自建到对外提供服务的全过程。

“每个人的精力和时间都有限,一定要挑对的。”

03、选择和努力,一个也不能少

如果是自下而上的路径,一个安全从业者成长为CSO需要经历四个时期:技术探索阶段(工程师)——思维转换阶段(主管)——综合提升阶段(负责人)——企业经营阶段(CSO)。

当然,这些经历的完善可能需要从业者历经多家企业,也可能需要他们辗转甲、乙双方。但不变的一点是,在成为CSO的路途中,选择和努力,一个都不能少。

对曾任艾默生网络能源亚太区安全总监和顺丰信息安全负责人,如今已经自主创业的刘新凯而言,其早年择业时有一条重要原则,即“看企业多重视安全”

在学生时代,刘新凯即确认了自己对安全的热爱。2005年,他来到艾默生正式开始了安全事业,并在此完成了从安全工程师到部门负责人的身份转换。

当年刘新凯手握IBM和艾默生两个offer。而彼时艾默生还没有完善的安全团队,但出于公司具备华为背景,安全基因明显,再加上国际化安全视野的考虑,他选择了艾默生。在这一前提之下,他得以和公司一起搭建安全体系,从技术、运营和管理等角度和公司一起成长。

2015年,这种挑选“东家”的观念也渗透到刘新凯入职顺丰的选择中。

首先在汇报关系上,顺丰的安全业务不像艾默生存在亚太区和全球的分区,流程较为简单;另外在业务特点上,由于顺丰的业务较综合,可以满足其渴望接触不同行业的期待;尤为重要的是在高层认知上,由于快递行业常存在个人隐私泄露的风险,所以公司高层对安全的在乎程度非比寻常。

“绝大多数公司都赶不上顺丰对安全的认知。在顺丰做安全是一种幸福的烦恼。”刘新凯感叹。当不少企业安全负责人在困扰人力和预算时,顺丰的高层给足支持。而烦恼在于,虽然安全的特点是"永远不存在*的安全",但顺丰的目标是“做到*”。

选择的重要性,同样得到其他从业者的亲证。

曾在移动飞信、京东商城、摩拜单车担任安全工作,后成为特斯联信息安全官的李学庆认为,自己“算是当年的幸运儿,撞到了京东这样的大平台,得以和京东一起成长”。和一部分从业者一样,李学庆早前有过一些计算机知识积累但对安全不甚了解。在一份硬件测试工作之后,他在移动飞信确立了安全的主攻方向。2011年,李学庆加入到京东商城。

经过10年再回顾,李学庆认为:“可能安全负责人能走多远首先和自身的认知有关。第二和他所处的环境相关,因为这决定了他见过多少,能有多少机会。”

努力同样必不可少。

当年,在外在压力和内在动力的驱使下,刘新凯和团队推进完成了客户隐私数据脱敏的「丰密」面单;也做出了保证快递员和客服人员看不到用户号码的手持设备隐私改造,虚拟号码系统和客服系统流程安全再造;另外为了保证企业内部和业务安全,他和团队还在当年做了4A系统「百源」,以保证公司员工账号权限在各个流转过程中的科学管理。

拿「百源」举例,当时公司要求所有核心系统不许再有独立的权限管理模块,而是由安全团队专门开发的平台管理所有权限,每晚由它计算并下发新的权限给所有系统。

也就是说,这是一台每天更新的权限管控大脑,一旦它出现问题,几乎所有系统都会“罢工”。“你能不能想象,当系统凌晨3点还没上线成功时我的心情。一旦出问题,意味着可能第二天一早公司开始营业的时候,所有人都没法办公。"刘新凯回忆,"这是生死局。”

而李学庆在京东商城的安全“新手建设期”,也同样付出不少心力。

电商领域的安全问题向来不可小觑。

2011年,刚刚入职月余,李学庆就被紧急安排解决一起相关安全事件。但或许出于之前在飞信的安全积累,这次的突发事件并没有给他造成困难,真正的挑战在解决问题之后才出现——给全公司做安全培训,提升员工安全意识。

安全涉及到对人的管控,让尽量多的员工对此产生认知是必经之路。李学庆觉得,“安全人员讲不清楚安全工作的意义,是一件很不好的事。你需要让别人理解到安全的意义,这才能让安全工作更加顺畅。”

刚开始,他摸索制作了一版PPT尝试向同事讲解。但当同一部门的同事听完李学庆的演讲后,都表示“一头雾水,听不明白”。于是,他求助了京东大学,在京东大学老师的帮助下,逐字句地重写PPT,再一个个部门去尝试演讲。

在培训中,李学庆会向业务同学介绍工作中需要注意的“十大酷招”,包括将简单的办公密码复杂化、将聊天过程中需要传输的文件进行加密、对钓鱼网站的基本识别以及对U盘和系统进行及时的病毒查杀、补丁更新等。这些看似繁琐的安全细节,需要通过培训和规定才能融入员工的工作日常。

而对李学庆本人而言,当三个月过去,连续做完六十场培训的他最终从演讲小白做到了脱稿培训,阶段性跨过了安全从业者难以表达安全价值的门槛。

之后,李学庆还在京东内部的公众号上做了一系列安全宣传工作,包括现在京东安全响应中心一直延用的“安全小课堂”专栏。一直到他离开时,京东已经有了上百人的安全团队,在行业内规模不小。

2017年,他从京东离职去到当时如日中天的摩拜单车,任高级安全总监,负责全球业务安全风险管理。2019年,他就任特斯联信息安全官,负责集团风险管理、工程效能、质量控制以及智慧城市的安全商业化。

04、生存法则:不能站在老板角度理解安全价值的CSO是不称职的

其实,安全人员还有着另一个略显尴尬的代名词——“背锅侠”。

这是说,一些公司招聘负责人的目的是希望在安全事件发生时,企业内部有人可以为此“担责”,在人力权责范畴内达到"防患于未然"的效果。

在访谈中,不少人告诉36氪,如果从业者单纯把“背锅侠”当成甩不掉的头衔,以负面情绪工作,得到的结果很可能是辗转多家企业,却无法实现能力跃迁和职业晋升。

正确的思路是,尽可能地摸出一套适用安全部门的“生存法则”——站在老板立场理解安全业务,并用合适的方式协调其他部门的支持,是这套法则的关键。

“安全1号位需要用治理的思路做安全,而不能单纯停留在解决单个问题上。”有负责安全的总经理如此总结自己的经验。

举个例子,如果负责人仅仅从攻防思路出发,一直告诉公司高层和公司其他团队自己挖了几个漏洞,这种单点解决问题的思路是难以让人理解安全价值的。负责人要站在全局的视角,尤其是告诉高层,做这件事到底给公司解决了什么问题。

李学庆总结,如今许多还在成长中的管理者缺乏一些核心思维,这可能是阻碍不少人职业晋升的首要难题。对此,他的方式是给老板从风险角度“算账”,维度包括高管的法律风险、财务的营收风险、业务的下架风险、出海的数据风险等等。

“CSO要具备四个思维:企业经营思维、安全价值思维、风险体系思维、组织战略思维。”李学庆觉得,将安全站在老板高度上思考,融入企业和组织经营的各方面是CSO需要做到的事。

换句话讲,如果不能站在老板角度让他理解安全的价值,说明这个CSO是不称职的。

当然,这只是*步。在安全业务上,最终目标还是合作共赢。

在实际工作中,不少安全问题会在业务的生产过程中发生,所以若想尽量保证安全,还需要业务团队和安全团队配合。

但难点在于,不少人还是觉得安全问题就该全盘归属安全人员,不认为大家需要彼此配合。面对这种情况,一些安全负责人会首先整理权责矩阵,即和相关高层核对业务该负责的范围,如果认可,那么之后的配合就落到了规章制度中。

这或许是效率最快的方式,却不能令大家都舒服。

一家垂直行业头部公司的负责人李文告诉36氪,当有些业务方实在难以理解安全需要合作的逻辑,并且拒绝权责划分时,自己的团队会通过攻防手段直接获取老板的个人信息,期望以此证明问题的严重性。如果还不行,那么就用第三方公司直接测试公司业务的安全问题,并向老板汇报。

最终,这种“半强制”的方式获得了业务方的重视与配合。

“安全负责人不能太‘软’。这个位置要去协调资源,要去跟别人掰扯,哪有那么好做?专业能力要有,经验要有,向上汇报能力要有,最后该吵的时候一定要能吵,不吵怎么可能做好?”他补充。

但“半强制”带来的影响是显性的。因为,至少在就近一段时间内,业务部门会对安全工作持续存疑,就算配合也不打心底信任。“隔阂还是要找机会化解。”李文坦言。

要化解矛盾,安全负责人首先需要在工作中持续体现自身的专业性,另外号召团队日常主动帮其他部门"修掉"安全问题也是常见的方式之一。这需要日日经营,更妥帖的方式还是不带心理包袱的合作共赢。

尤其,当安全改变业务流程,这大概率会是件遇到内部阻碍的事。这时更考验安全负责人(CSO)的“合作共赢”能力。

比如,当刘新凯的团队在自建虚拟号码系统时,其实在业务端升级了近40万把手持设备,客服人员原有的拨号习惯也发生了调整。从时间流程上,这件事的前期技术准备花费了三个月,真正在各个大区的落地推广只花费了两个月。

在这个时间范围内落地项目,刘新凯觉得在公司的文化,老板的支持外,还因为安全团队做到了和业务团队共赢。

“我们把客服的整个费用降了下来,流程也进行了优化。”刘新凯觉得这是客服团队愿意和安全团队高效配合的关键之一。

站在客服团队的角度思考,在流程上,这个项目的落地免去各区域自己和运营商沟通的复杂流程;在实操中,客服人员只需要点击按钮就能拨出号码,工作效率更快;在成本维度,IP电话和传统电话相比价格更为低廉。

“怎么站在老板和各个业务部门负责人的视角思考问题,是安全负责人、CSO的必备技能。主要靠两点,首先通过沟通达成战略上的认同,另外更重要的是安全负责人要有专业能力,给合作方提供更多帮助。”这是刘新凯认为,在企业内部顺利开展安全工作的核心。

05、好的CSO,从高效花钱到高速赚钱 ?

从安全负责人进阶成为真正的CSO,到底还需跨越几步?

在元起资本联合创始合伙人万熠看来,最关键的在于安全要和企业核心业务进行结合。因为只有这样,公司才更可能赋予安全背景的管理者真正的C title,让其进入核心决策层。

什么才算真正的核心?在保证企业资产的安全稳定外,给公司业绩添砖加瓦,就是最能体现价值的事。

在安全行业,如果企业具备自建能力,且在某些方向上有些许独到的技术、产品优势,那么安全负责人也有机会带领团队走上商业化之路。

网易易盾就是一个例子。

易盾孵化自网易集团的安全部,主要包括内容安全、业务安全和移动安全三大业务线。

“网易主要从内容起家,像音乐、新闻和游戏等业务,不少会涉及到内容审核、抗DDOS等问题。所以我们在内容安全和游戏安全上有经验积累。”现任网易智慧企业事业部副总裁的周森告诉36氪。

周森于2006年加入网易参与安全工作。2011年网易安全部正式单设,他担任总经理一职。

早期,网易多对安全产品进行采购。而后期,随着公司整体业务的扩展,安全部决定自研内容、游戏安全等产品,并在2016年进行商业化。这是易盾的由来。

谈及2016年的决定,周森觉得商业化节点的来临既有市场因素,也有内在原因。

首先在当年,云计算市场已经兴起,带动企业级服务商业化的动力。另外,当时网易内部不少事业部也在思考将自身能力外放,安全作为公共支撑部门,也希望提供自己的价值。并且,当时的网易安全部已经成立5年,各项业务已经处于平稳期,部门内也需要新的挑战。“你看集团的做完了,该接的业务都接了,其实大家担心没有成长空间了。”周森回忆。

当更大的战场铺开,挑战也如约而至。

首先是产品。作为一个对内服务的部门,安全部当时的产品和网易各部门的使用习惯紧密贴合,而且产品方案也单纯围绕内部需求。但到了真正服务外部客户的时候,周森和团队发现这种对内“重耦合”的模式无法对外提供好服务。

于是,为了满足不同客户的需求,易盾的做法是将产品基本重写一遍。“现在我们对外提供的方案会有大、中、小型客户的分类,更适合对外提供服务。”周森介绍。

另一重挑战是销售。周森本人是技术背景出身,此前对销售并无太多感知,但当商业化之路开始,如何评价销售、管理渠道、线上线下联动都是作为负责人需要了解的内容。在那段时间里,周森买来不少书籍进行学习,同时也在和客户的交流中提升经验。慢慢地,他也能为销售部分做出些许贡献。

“比如有一个深圳的客户,刚开始是售前在沟通,但服务需要持续,所以我从内容安全整个行业的角度,就对方高层所忧虑的一些事情谈起。这些内容让对方更认可易盾的专业性。”周森举例。

在他眼里,整个2016年都属于易盾的摸索期,到2017年,整个业务走上了相对顺畅的成长期。直到今年,易盾已经服务了数千家付费客户,周森本人也在今年升任网易智慧企业事业部副总裁。

即使给集团业绩添砖加瓦的目标依然在进程中,但对脱胎于集团网络安全部的周森和团队来说,易盾如今数千家付费客户的成果,也阶段性证明了安全业务商业化的潜力。

但直到现在,挑战仍一直存在。如今,国内内容安全市场也有不少参与者,这带来的竞争一直在持续。“这是真金白银的竞争。为了争夺客户,厂商之间的价格战也时有发生,这也给行业带来了压力。”周森说。

一旦走出去,遇到新挑战是一种必然,但这种内部孵化团队,对外输出能力的案例仍然让不少安全负责人触动。

“安全本来就是个成本部门。做好了,很难讲清它的价值,做不好出事了,不管你之前做的有多好,最终都是你做的不好。”有安全负责人私下表示。“在这种现实情况下,如果能有机会去做商业化,是最直接证明团队和个体价值的方式。”

当前在行业中,这种对外提供服务的案例多出现在有财力、人力和安全能力的大型企业身上。除却网易,业内还有腾讯、阿里、华为等一些带有甲方色彩的安全品牌。

以腾讯安全为例,其在2006年左右从C端的电脑管家、手机管家入手,一直到2018年"930"变革后,形成To B和To C业务的两条线。

算上To C业务,腾讯安全对外提供服务的历程不算短。但对于要用商业回报来验证安全投入价值的思路,负责腾讯安全业务的副总裁丁珂却认为,这更多是一种无奈。作为“过来人”,在腾讯和他的眼中,安全首先是责任,而不是商业价值,商业价值是建立在和客户、生态共赢的基础上自然长出的。

当然,这也回到CSO成长的关键——要和老板、团队基于安全的长期投入达成价值观的共识。

“腾讯在这个行业是特别'奇葩'的特例。因为我们的成长在一个温和的过程中,大家有高度的共识。这个过程看上去很自然,但有些价值观的东西是内生的。”丁珂坦诚。

站在更宏观的视角,他觉得行业内用商业回报去要求安全投入的阶段很快就会过去。

原因很简单,当前安全行业已经处于破圈的节点。尤其是今年,《数据安全法》、《关键信息基础设施安全保护条例》和《个人信息保护法》等接踵而至,再加上之前的《网络安全法》、网络安全等级保护制度,关于安全的法律法规正在以超乎寻常的速度完善。

在这个风向已然变化的关键时期,如果企业还不重视安全,还需要负责人以各种方式艰难地突出价值,那么在丁珂眼中,或许这就是一家管理思路存在很大短板的公司。

“包括CIO、CSO等在内的角色,首先自己要‘懂法’。第二,CSO要在有前途的行业里面,前瞻性地跟客户长期共赢。”丁珂说。

这类观点也得到不少同业认可。尤其在今年这波安全政策密集出台后,不少安全负责人也感到了行业的潜在助推力。

“法律法规越来越完善,以后越来越多的负责人可以拿着法条告诉老板,安全是一件需要全公司一起参与建设的事情,也是一件需要负责人和老板风险共担的事。”周森认为。

总结而言,在过往,安全从业者需要选择合适的行业企业,再加上持续有策略地体现安全价值,才能成长为真正的CSO。但一个长期现实是,合适的行业和企业本就没那么多,也是这僧多粥少的局面,让大家的成长之路更加艰难。

如今好的方面是,时代风向的加持,给了不少安全负责人更多选择。

首先在政策和需求的利好下,重视安全的企业一定会愈发常见。另外,在整个行业的正向鼓舞下,不少安全负责人也正逐步选择自己下场成就独立事业。比如,刘新凯在去年离开顺丰,成立了自己的安全公司「红途科技」,主攻数据安全方向。36氪此前也曾报道原「*世界」资深安全总监何艺创业,成立零信任安全公司「持安科技」的消息。

这些现象都说明,过往安全负责人艰难成长的路径,或许已经到了被打破的时点。时代会从呼唤更多的CSO开始,绵延出更多适合这一群体成长的路途。

(文中陈森、刘洁和李文为化名)

【本文由投资界合作伙伴36氪授权发布,本平台仅提供信息存储服务。】如有任何疑问,请联系(editor@zero2ipo.com.cn)投资界处理。