第2章 安全的组织
很多人忽略组织,但实际上组织是比技术和流程更重要的东西,“人”是所有问题的决定性因素。本章就讲一下安全组织中的人。
2.1 创业型企业一定需要CSO吗
1. 招聘方的诉求
当下不少创业型公司都在找CSO,也有找到我的,就顺带分享一下我对这个问题的思考。首先这个问题即便是对同一个人而言可能答案也会因时而变,其次CSO只是一个代表性的称呼,大家不要过于纠结一定要做什么事才算CSO,CSO和CISO又有什么区别之类的,在这个语境下用来指代招聘方想找拥有全局安全管理经验的人,甚至最好是资深的从业者,他能带一支哪怕是几个人的安全团队,并能把安全相关的事全部揽过去。
2. 不同阶段的需求
对于尚在天使融资阶段,找个CSO大多就是去忽悠投资人的,通俗一点理解就是凑一支履历光鲜的队伍去“骗钱”。能不能做事情这个很难说,也不能说人家一定做不了事情,这种只能事后诸葛亮的盖棺定论,随便说人不靠谱也是不负责任的,不过我想对于大多数有不错岗位的人而言应该是不会去的。
对于拿到A轮、B轮投资的阶段,业务方向已被证明,业务量不大但进入快速成长期,问题层出不穷。CEO和CTO觉得头疼并且想把这部分压力转嫁出去,理论上是应该找一个懂安全的人的,但是现在这个时间点(也就是2016年)真的不是一个好时间,在当下很多公司用数百万也经常找不到合适的CSO,创业型公司要在这个时间点上争夺安全人才真的是很累的一件事。建议找2~3个靠谱的安全工程师,然后CTO(技术总监)、运维Leader、开发的架构师这几个角色快速补一点安全的知识和方法论,哪怕是充当救火队长赶鸭子上架,大家配合一下,应该也能把安全撑起来,不一定非要找一个大牛级的CSO,因为有时候业务量没那么大规模,不一定需要很高级别的人,且创业型公司为了保持自己的鲜活也不需要套用大公司的流程和方法,做好基础的运维安全,代码安全,加强一些安全意识,不出问题的时候腾出时间来研究一下下一步怎么做,跟时间和业务增长速度赛跑,跑着跑着,应该就会越来越轻松了。当然,作为创业者,如果你有一个安全领域的朋友愿意帮你出谋划策,偶尔回答一下安全建设如何做这类问题,其实那CSO的需求也就解决了,代价只是请吃几顿饭。
对于拿到C轮、D轮、E轮投资的阶段,业务初具规模,开始朝更高的目标冲刺,同时能给人画更多的“饼”,如果之前已经招到靠谱的安全工程师,那这个时候应该已经成长起来,承担起Leader的角色,通常也不需要从外部招CSO了。这个时候想从外部招CSO的都是之前主观的或被迫的不太重视安全,出了问题才想要头痛医头脚痛医脚。这个时候的业务形态跟大公司比应该是“麻雀虽小五脏俱全”,安全管理上应该是有很多相似的地方了,对于初具规模的业务而言安全管理的经验很重要,可以直接从大公司挖人。当然了级别较高的人估计还是挖不动的,能挖动的主要就是骨干那一层的人吧。通常你需要容忍他们业务上有深度但不一定面面俱到,很可能情商和管理能力也差强人意,不过能解决你的问题就行,面面俱到的人才毕竟还是太贵了。对于那些估值超过100亿美元的创业型公司,还是建议找高端人才。
对于准备冲IPO的阶段,这个时候想必不会囊中羞涩,如果你是这类公司的CXO,还为找不到人感慨万千,我想也许是心态还不够开放,亦或许是给人的“诚意”还不够,对此我也给不了太多建议了,毕竟市场上高级人才只有那么一小撮人,来不来,去不去取决于那一小撮人的意愿,被打动了自然来,没被打动的自然不去。
3. 创业型企业的挑战
对选择转会的CSO去创业公司是否有挑战?有,也没有。首先做的事情往往还是从头建团队,把过去建设安全体系的过程从零开始再做一遍,从这个角度讲重复过去做的事情尽管业务有所不同但过程和结果上未必有挑战。有“挑战”的反而是如何在创业公司的条件下招募成员,维系团队,在很多流程及界限不分明的情况下推动事情落地,仅此而已。对CSO本人而言得到的实践机会未必有大公司多而广,因为安全是一个随企业规模而复杂化的工作。但是,如果你是CSO的跟班小弟,那你可能是成长最快得到锻炼最多的人,因为你经历了安全建设从无到有飞速发展,从简单到自动化的过程,这个过程不是人人都能经历的,如果你进入BAT在一个很细的分支上耕耘几年未必能积累到这种“全局视野”,相反在这种环境下才能快速积累。所以除非公司IPO,CSO都不是团队里收益最大的人,但跟班小弟却是最大的赢家。
