為什么安全從業人員應當了解業務？

就在不久之前，網絡安全還被認為是獨立于公司其他部門的部分（可以想象一下身穿連帽衫的幾個人單獨在一個小房間里埋頭敲鍵盤的場景）。但在過去十年間，網絡安全終于獲得了長期以來應有的認可和關注。越來越多的公司紛紛聘請首席信息安全官（CISO）來幫助制定整體業務戰略，將安全提升到了公司董事會要務的高度。最終，CISO開始了解安全并將之描述為業務推動力而非阻礙。

事物總是不斷發展變化的，盡管似乎仍然存在很大差距，但見證這些變化終歸令人欣喜。

圍繞安全業務地位變化的討論大多集中在CISO的角色和不斷擴大的責任上：招募并培養高效能的團隊，與其他部門的主管搞好關系，橫向和縱向溝通與管理，推動實現業務目標等等。這些討論大部分都未涉及安全從業人員，也沒有提到安全從業人員應當了解安全的業務面。

僅有CISO會考慮業務是沒有辦法獲得良好安全態勢的，主要原因有二：1）缺乏對業務的了解，安全從業人員就難以做好安全防護工作；2）不了解網絡安全的業務面，技術安全專業人員就很難有效構筑行業的未來。下面我們來具體分析一下這兩個主要因素。

不了解就談不上保護

每家企業的環境各不相同。員工使用的工具和應用不一樣，大家協作的方式不一樣，公司收集的數據類型不一樣，最重要的是，需要保護的關鍵資產不一樣。這些不同之處大多是公司所從事業務的直接結果。冰箱制造商所面對的風險類型和能訪問其數據的各方類型，就與市場營銷機構或生物科技實驗室的不同。

安全從業人員的日常決策會影響其公司的安全態勢，不能僅有CISO才具備業務相關重要知識。了解公司如何營收，知道銷售人員怎么與同事和潛在客戶共享信息，知曉財務團隊遠程工作時如何訪問信息，清楚供應商怎么收款，是恰當保護公司環境的關鍵。從統計數據來看，公司遭遇數據泄露更有可能是因為某些部門的業務流程沒設對，而不是Apple剛發現的零日漏洞（盡管聽聞后者可能更令人興奮）。

不了解就談不上創新

不是所有安全從業人員都應該成為創業者，但有些確實難免會成為創業者。未來的網絡安全創始人通常在從業多年之后才會發現值得解決的痛點，然后下定決心創業。也就是說，到他們創立公司的時候，安全創業者已經對行業的技術面有了深刻理解。但很遺憾，他們對網絡安全的業務面就未必如此了解了。

保持好奇，提出問題，聯系公司其他部門的人員，可以在以下幾個方面對未來的創始人和安全主管有所幫助：

? 了解公司采購流程，知道涉及哪些人員、決策是如何做出的。

? 摸清現有安全解決方案忽略了業務的哪些方面，還有哪些問題沒有解決。

? 拓寬視野，全面了解公司運營涉及哪些事務，不同職能可對整體成功做出何種貢獻。

? 廣泛了解不同類型的公司、各種營收模式和組織結構，以及這些因素對業務成果的影響。

了解需要保護的公司業務是構筑正確防御措施的基礎，而知道網絡安全的業務面則有助于確保創始人不會過于熱衷技術而忽略了公司成長需要可持續的商業模式。

著眼未來

軟件開發曾經也像現在的安全一樣，工程師不用考慮業務面的問題。產品經理會給出需求，開發人員將需求變成可以用的軟件就行，不用問任何問題。如今，產品開發是大家集體解決問題的過程，開發人員、設計人員和產品經理齊心協力達成業務目標。為此，產品人員需要了解技術基礎知識，工程師需要扎實把握公司的業務。

安全從業人員越早主動了解自家公司的業務面和行業整體情況，就越能做好自己的工作，也更有可能做出創新，引領行業向好發展。盡管沒人期待他們獲得MBA學位，但若能了解市場營銷、銷售、客戶服務、財務、運營等領域，每個安全從業人員都能從中獲益。畢竟，業務流程是很多漏洞的源頭。