为什么安全从业人员应当了解业务？

就在不久之前，网络安全还被认为是独立于公司其他部门的部分（可以想象一下身穿连帽衫的几个人单独在一个小房间里埋头敲键盘的场景）。但在过去十年间，网络安全终于获得了长期以来应有的认可和关注。越来越多的公司纷纷聘请首席信息安全官（CISO）来帮助制定整体业务战略，将安全提升到了公司董事会要务的高度。最终，CISO开始了解安全并将之描述为业务推动力而非阻碍。

事物总是不断发展变化的，尽管似乎仍然存在很大差距，但见证这些变化终归令人欣喜。

围绕安全业务地位变化的讨论大多集中在CISO的角色和不断扩大的责任上：招募并培养高效能的团队，与其他部门的主管搞好关系，横向和纵向沟通与管理，推动实现业务目标等等。这些讨论大部分都未涉及安全从业人员，也没有提到安全从业人员应当了解安全的业务面。

仅有CISO会考虑业务是没有办法获得良好安全态势的，主要原因有二：1）缺乏对业务的了解，安全从业人员就难以做好安全防护工作；2）不了解网络安全的业务面，技术安全专业人员就很难有效构筑行业的未来。下面我们来具体分析一下这两个主要因素。

不了解就谈不上保护

每家企业的环境各不相同。员工使用的工具和应用不一样，大家协作的方式不一样，公司收集的数据类型不一样，最重要的是，需要保护的关键资产不一样。这些不同之处大多是公司所从事业务的直接结果。冰箱制造商所面对的风险类型和能访问其数据的各方类型，就与市场营销机构或生物科技实验室的不同。

安全从业人员的日常决策会影响其公司的安全态势，不能仅有CISO才具备业务相关重要知识。了解公司如何营收，知道销售人员怎么与同事和潜在客户共享信息，知晓财务团队远程工作时如何访问信息，清楚供应商怎么收款，是恰当保护公司环境的关键。从统计数据来看，公司遭遇数据泄露更有可能是因为某些部门的业务流程没设对，而不是Apple刚发现的零日漏洞（尽管听闻后者可能更令人兴奋）。

不了解就谈不上创新

不是所有安全从业人员都应该成为创业者，但有些确实难免会成为创业者。未来的网络安全创始人通常在从业多年之后才会发现值得解决的痛点，然后下定决心创业。也就是说，到他们创立公司的时候，安全创业者已经对行业的技术面有了深刻理解。但很遗憾，他们对网络安全的业务面就未必如此了解了。

保持好奇，提出问题，联系公司其他部门的人员，可以在以下几个方面对未来的创始人和安全主管有所帮助：

• 了解公司采购流程，知道涉及哪些人员、决策是如何做出的。

• 摸清现有安全解决方案忽略了业务的哪些方面，还有哪些问题没有解决。

• 拓宽视野，全面了解公司运营涉及哪些事务，不同职能可对整体成功做出何种贡献。

• 广泛了解不同类型的公司、各种营收模式和组织结构，以及这些因素对业务成果的影响。

了解需要保护的公司业务是构筑正确防御措施的基础，而知道网络安全的业务面则有助于确保创始人不会过于热衷技术而忽略了公司成长需要可持续的商业模式。

着眼未来

软件开发曾经也像现在的安全一样，工程师不用考虑业务面的问题。产品经理会给出需求，开发人员将需求变成可以用的软件就行，不用问任何问题。如今，产品开发是大家集体解决问题的过程，开发人员、设计人员和产品经理齐心协力达成业务目标。为此，产品人员需要了解技术基础知识，工程师需要扎实把握公司的业务。

安全从业人员越早主动了解自家公司的业务面和行业整体情况，就越能做好自己的工作，也更有可能做出创新，引领行业向好发展。尽管没人期待他们获得MBA学位，但若能了解市场营销、销售、客户服务、财务、运营等领域，每个安全从业人员都能从中获益。毕竟，业务流程是很多漏洞的源头。