Question

这个互联网上曾经红极一时的漫画（如图 5-1 所示），非常生动形象地反映了信息安全团队的痛点，其核心词就是“背锅”。虽然网络漫画有失偏颇和略显夸张，但真实反映了信息安全团队成员价值感缺乏、压力巨大的现实情况。

对于金融企业来说，信息安全工作非常重要，这是任何一个金融行业的董事会和高管层都不容忽视的领域。尽管所有金融企业都会将信息安全作为重要工作对待，基于信息安全工作与生俱来的特点，金融企业信息安全团队仍然摆脱不了整个行业的“宿命”。概括来说，金融企业信息安全团队主要存在以下几方面的痛点。

1.价值感和存在感缺乏

首先，对于金融企业来说，信息科技是“后台部门”，而信息安全工作是“后台中的后台”。信息科技工作是为前中台部门服务的，在业务发展良好的时候，信息科技工作往往并不会有很大的存在感，最多在“功劳簿”中算上一笔（辅助作用）。而一旦因为信息科技风险事件影响到业务正常开展，甚或仅仅是某些系统的客户体验不好、用户操作不方便、功能不完善等造成业务使用的困难，信息科技就很容易成为“众矢之的”。而信息安全工作，更是可谓“后台中的后台”，在信息科技工作的“主流程”中很难排上位置，通常与综合管理、商务管理等一起被归入信息科技的辅助支撑性职能中。

图 5-1　信息安全痛点的形象描述

对于信息安全团队来说，如何体现对科技工作的价值，进而体现对业务的价值，是一个亟待破解的难题。另一方面，对于信息科技部门的其他团队来说，信息安全团队就是不停地提要求、做检查、当监工、找漏洞，却往往不是最后的执行人。所以信息安全团队总有点“吃力不讨好”，经常面临误解、抵触甚至冲突，承受着巨大的压力。

其次，信息安全工作，核心职能是“踩刹车”而不是“踩油门”。信息安全工作，是考虑正常流程之外的风险控制措施，就是充分考虑可能出现的漏洞、异常，并且采取加强型措施来规避。但信息安全天生与客户体验是“背道而驰”的。例如，金融企业最常见的身份认证措施，如果要安全，就至少需要双因素认证，而且至少需要两类的双因素，通常一笔转账，就需要账户密码、短信两个因素。这必然需要客户更多的操作步骤。而如果只做一个因素的认证，客户操作方便了许多，但是却容易出现密码被盗取、撞库攻击或者短信被木马拦截从而泄露的情况。所以，为了快速响应业务需求，在信息系统开发的生命周期中，优先考虑的是系统功能如何最快速实现、客户体验如何最大程度优化，而在安全措施方面需要做一些牺牲或让步。这个时候，信息安全团队需要“冒天下之大不韪”地挺身而出，做“唱白脸”的人，在需求阶段就提出安全要求，在设计和开发阶段落实安全要求，在测试阶段验证安全要求落地情况，在投产后还要孜孜不倦地检查确保安全要求达到，在碰到安全事件时再次复盘，排查此前考虑的缺漏，从而实现螺旋上升。这些措施，对于业务来说，除了增加各类限制这种“阻碍业务发展”的措施外，几乎看不到安全团队的价值。业务跟信息安全团队的接触，除了就是否“踩刹车”而 PK 之外，几乎没有其他可以遇上的机会。而一旦没有坚持安全的底线，在漏洞真正被利用的时候，安全团队除了“背锅”，似乎别无选择。

再次，信息安全工作往往实施周期长，动辄需要几个月、半年，甚至一年的实施周期，所以效果需要很长时间的积累才能显现出来。例如，信息安全风险监测，指标设立后需要非常长时间的数据积累才能分析出结果；安全工具的实施，只是万里长征走完了第一步，后续的策略维护和日常运营，才是真正见功夫和水平的，需要很长一段时间的细心监测、数据分析和策略调优，才能发挥效果。信息安全团队，必须秉承工匠精神，一步一步、耐心细致地做好每一个日常的规定动作，才能确保不出问题。但这些幕后的工作，确实很难走上前台，被领导、业务部门甚至本部门的人员所看到、理解和接受，因此安全团队强烈缺乏存在感。

金融企业的信息安全人员，普遍存在难以找到个人价值感和成就感，甚至默默无闻没有存在感的情况，很容易丧失目标，找不到方向，从而难以实现自我价值和突破，需要有人帮助信息安全团队形成自己的价值体系，实现“专业自信”，方可打开向上的进步空间。

2.投入少，绩效衡量难

对于金融企业的信息科技工作来说，信息系统建设是最能实现投入产出比的工作，所以大量的科技投入都放在系统开发部门。衡量开发工作的指标比较容易设置，例如，投产计划达成率、应用系统故障率等，甚至部分业务系统可以用新增客户数、新增用户数、存贷款量以及利润值等指标来衡量。

生产运行所必备的基础设施建设和稳定运行所必备的监控、审计等相关支撑类系统建设及维保服务，也让运维工作的投入可以占到一定的比例。通常可以用事件或故障数量、运维工单数量等来衡量运行工作的绩效。

但是信息安全工作相对来说就比较难得到大手笔的投入，通常能在信息科技投入中占比 5%就相当不错了。因为在高层领导看来，信息安全工作就像个无底洞，投入很多却难以见效，安全工作的价值难以量化和表现。例如，金融企业信息安全工作的目标是防控风险，防止漏洞被利用而产生实际的经济或非经济损失。但是，如果信息安全工作做到极致，没有发生任何的风险或者没有出现任何的信息安全事件，往往被认为“运气好”或者“没被坏人盯上”。而万一一个风险事件成为现实，可能一切归零，之前的所有安全工作都被否定。因此，信息科技风险的产生和安全攻击事件经常是“碰运气”的结果而非安全工作可以完全避免的，导致信息安全工作的绩效难以得到相对公正的衡量。

此外，安全工作通常会被认为比较“虚”，难以直接看到效果，往往只能具体到每个月或者每周做了什么，如做风险防控、做策略优化、做安全检查、做整改督办，但是领导只看到你在做检查、做整改督办、做安全工具维护，而具体化解了多少个风险，堵住了多少次攻击，是运气好没被盯上还是自己篱笆扎得紧，却是难以评估和量化的。所以，安全团队的绩效，领导通常很难看到，也很难用一些量化的指标去向领导展现和报告。

3.风险压力大

信息安全团队的天职就是化解风险，可以说每天面对的就是各种各样的风险，所以信息安全人员很容易形成“职业病”，例如，有“工作洁癖”，看谁都像坏人，或者习惯性地对任何东西都形成备份等。

但是所谓“道高一尺，魔高一丈”，信息安全人员再高明，日常工作再认真细致，还是会滞后于黑产的发展，滞后于风险的暴露。所以尽管信息安全工作一再强调“风险前移”，但事实上绝大多数的风险，都是在事后才被发现。真正能做到事前、事中控制和化解的，毕竟是少数。因此，信息安全人员很多时间都是在扮演“救火队员”，都处于一种紧张、焦虑的状态。特别是金融企业信息安全人员，一着不慎，有可能面临的就是客户信息泄露、资金损失这样严重的事件，所以金融企业信息安全人员面临的风险压力是非常之大的。

4.综合性人才、专业人才稀缺

我国普通高校的信息安全专业设立才不过区区数年时间，以前都是由计算机这个大学科背景的人员从事信息安全工作，密码学原理、攻防基础等课程，并没有成为信息安全人员的“标配”。很多的信息安全人员都是从具备一点点计算机知识开始，逐步通过自学知识、掌握工具、泡论坛学习交流以及血淋淋的案例教训等方式，慢慢成长起来的。

金融企业的信息安全人员，处理的信息安全问题大到信息科技治理、信息科技战略规划，小到具体的安全指标监测、安全事件处置、安全防控策略调优等，工作覆盖面广，接触信息量大，因此，除了具备安全专业知识外，还必须掌握金融领域的业务知识，同时必须了解安全企业的开发、运行等工作特点，才能从各个角度全方位地做好安全防控，应对针对网络、系统、应用、终端等各方面漏洞的攻击风险。

所以，要既具备信息安全基础知识，又了解金融领域业务知识，还能对开发、运行的工作有所精通，这样的人才是稀缺的，往往是从某一个领域入手，逐步培养和转化而来。

5.职业规划前景不明，职业发展的“天花板”较低

职业规划对个人的重要性不言自明，有职业规划意味着有目标，有目标意味着有动力，有动力才能不断前进。因此，职业规划对于一个人的事业成败，起着决定性的影响。

对于金融企业的信息安全人员来说，要做好职业规划绝非易事。因为做任何一个职业规划，最重要的因素就是“天花板”在哪里，这个“天花板”决定了团队成员努力的最高目标。金融企业的信息安全虽然相对于其他行业来说很重要，也得到了更多的重视，但是通常都没有专门设置 CSO（首席安全官），因此信息安全人员的“天花板”基本上就是信息安全团队的主管（如银行业的信息安全处室负责人，证券行业的安全总监等）。信息安全团队的规模，在大型金融企业中可以达到十余人至数十人之众，但中小型金融企业其规模往往不会超过十人，信息安全团队主管的权限范围较难扩大。且由于信息安全并非信息科技工作的“主营业务”，信息安全团队主管对业务、信息系统和生产运维工作的了解掌握往往难以深入，因此继续升迁至部门负责人、CIO 的机会微乎其微。

在这种情况下，金融企业信息安全团队成员的职业规划空间就较为狭窄。通常是一部分人走安全管理路线，一部分人走安全技术路线，其中的脱颖而出者就走至安全团队负责人。因此，团队中拥有更大抱负的佼佼者，往往会想办法离开安全团队，走向更贴近业务、更贴近市场的开发、运行条线，以谋求更大的发展空间。

要解决信息安全团队的普遍“痛点”，需要从信息安全团队面临的企业宏观环境着手分析，从信息安全文化建设、信息安全团队意识建设、信息安全团队能力建设、信息安全绩效指标体系建设等几方面多管齐下，从而打造一个责任心强、有组织有纪律、富有战斗力的团队。