13

安全从业者该去甲方还是乙方

 4 years ago
source link: https://www.freebuf.com/articles/es/228621.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

 “To be, or not to be, that is a question。”——《哈姆雷特》 

最近有很多安全从业者咨询我,去甲方做安全好还是去乙方做安全好,尤其是应届生或工作1-3年的安全从业者。其实这是一个不太好回答的问题,因为牵扯的因素太多,每个人的状况也不尽相同。但是之所以有这么多人问,更多的是折射出大家对甲方安全工作和乙方安全工作的未知,不知道哪个更适合自己,更深层次的意识可能是对自身职业发展的不确定。

fIJjua2.jpg!web

我大学毕业后直接进入绿盟工作,3年后入职甲方一直工作到现在。我可以跟大家聊聊甲方做安全和乙方做安全的区别,正如安全是动态的一样,甲乙方的工作和发展也是动态变化的,仅限于个人视角,供参考。其实甲方和乙方的主要区别是你的职场角色不同。在乙方你是盈利人员(可为公司产生直接收益),在甲方你是后台职能人员(不对企业产生直接收益,但是保障企业的安全或合规建设、规避风险、确保业务安全运行)。角色的不同意味着你的工作氛围、强度、薪资、成长和晋升空间的巨大差异。

JJV7Rr7.jpg!web

一、工作氛围

作为安全厂商或服务商,大家聚在一起都是围绕公司业务开展的,无论销售、售前、售后还是服务都会有一个团队支撑,各个团队有相同的目标、接受相应的培训、学习支持工作的技能,一起沟通问题、寻求解决方案。但是很多甲方企业,安全没有独立的部门,挂靠在运维部或合规部,对岗位的需求也可能是为了上市的合规需求或某些认证的岗位需求。所以会看到网上有人写《一个人的安全部门》,也有很多网络工程师兼职做安全工作。这种环境的氛围就要求你跟运维同事或合规同事打成一片。评绩效的时候也会比较尴尬,因为别人不理解你的工作内容,你也不了解别人的工作内容,结果可能差强人意。还有安全项目的推进会很困难,如某家公司的企业文化是便利性优先,员工的体验优先。那么你在进行终端安全管控,如封禁U口、终端审计、数据加密的时候,就很难执行,因为违背了公司的企业文化。

当然对于金融、运营商这种对安全重视度很高的企业,以及阿里、腾讯和华为这种已经可以把安全作为盈利部分的企业,另当别论。

综上,乙方的工作氛围会更浓厚,大家评价绩效的标准也相对一致。甲方的工作氛围会比较孤寂,明知道有风险,但是安全措施推不下去,提心吊胆,有时候评绩效也是一个问题。

MZvMFbv.jpg!web

二、薪资构成

乙方的薪资构成大部分是工资+提成(或绩效奖金),跟你的工作强度和产出有关。你干的多、产出多,你的薪资就相对高。甲方的薪资构成是工资+绩效+福利构成,福利包括餐厅、健身房、下午茶、幼儿园、过节费、服装费、住房补贴、集体婚礼等等。所以甲方工作单看薪资可能不高,但是加上福利费或按照年薪算可能比较高。而且甲方的工作强度相对比乙方轻松一些,因为只需要服务一家公司,乙方需要服务多家公司。

bAfEjm2.jpg!web

三、成长速度

这个跟工作氛围有很大的关系,回这么多年的工作可以说在绿盟的成长是最快的。没办法,你在乙方就注定要不停的面对客户的问题,各种各样的问题、事件,很多你都没见过可能也找不到人问,你能做的就是边学习边解决。所以在乙方无论是工作氛围、工作要求都能让你快速成长。在甲方,一些安全服务会外包给乙方,比如扫描、渗透、基线核查、等保测评等,甲方负责做好项目管理和资源协调来即可。当遇到新的问题或发展需求时,也会优先找同行业或乙方交流,调研是否有合适的解决方案,评估后选择合适的方案解决。在甲方待久了,你会发现你安全方面的能力可能退化了,但是你的资源协调能力、沟通表达能力、团队协作能力、项目管理能力、思辨能力得到显著提升。

YbQFZz3.jpg!web

四、晋升空间

安全岗在甲方晋升是比较难的,难在企业不需要一个安全总监或一个CISO。解释一下,岗位的晋升是跟公司的发展挂钩的,企业不重视安全或安全不能给企业带来可观的价值,那么只需要有一名安全工程师就足够了。乙方的晋升相对快一些,因为售前需要TeamLeader、售后需要、服务团队需要、销售团队也需要,说白了就是有安全管理岗的需求。顺便引申一个点,招聘的时候,候选人的职责规划大多是往管理方向发展,比较少的人会往技术路线发展。其实走技术路线并不比管理路线差,你可以成为一个企业某个领域的顾问或专家,那你的影响力、关注度也是别的岗位比不了的。

很多人会有疑问,为什么那么多甲方都有安全高管。所以跟大家聊下,成为安全高管的突破点:

1. 让安全引领产品或业务。也就是说安全不是保障业务安全,而是走在前面,变成产品的属性和主打卖点。公司某款产品的竞争门槛就是安全,竞争对手的产品安全性就是比不过你们的,那你就可以成功晋升安全总监或CISO。这需要很强的综合力能,需要熟悉公司的业务、产品特性、调动资源的能力、真的能把产品打造的安全,别人找不到漏洞或竞争对手在安全上杠不过。否则一旦爆出一个漏洞,新闻头条就是“某公司以安全著称的产品爆出匿名登录漏洞”,你的总监和CISO也就拜拜了。
2. 让安全成为盈利部门。说白了就是安全部门可以自己赚钱,比如对外部客服提供扫描、渗透、评估、咨询服务。可以给供应商、友商、服务商提供类似服务,如果每年安全的产出是10万或20万甚至百万,那你们的地位就不一样了。安全就成了公司业务发展方向,公司就需要安全高管,你就可以上了。
3. 合规要求。合规要求必须有安全负责人,有安全团队,那么就需要对应的安全管理层。
4. 安全绩效的体现。如能要体现安全的价值,或让安全价值可视化,一定要制定可测量的安全目标,比如每年的安全事件不超过2起,攻击事件不超过10起,数据泄露不超过1起,勒索病毒0起等。这样到年终总结的时候,进行量化的汇报,高层和公司才能意识到原来安全做了这么多事情,阻拦了多少风险,为公司提供了多少服务。安全绩效高,被需要感就高,就有可能晋升。

NFRZ7na.jpg!web

额外补充一点心理差异。很多在乙方工作的人会羡慕在甲方工作的人,觉得在甲方工作有优越感,因为可以找乙方做服务。但是换个角度看,本质就是一个有需求一个有方案,一个出钱一个出力,心态放平衡就好。

不知道上述内容对大家是否有帮助,安全是动态的,选择也是动态的,每个人在不同的阶段会有不同的看法或选择,该去甲方或乙方,会一直是个问题,希望你们都能有最适合自己的选择。

PS:名词解释。

 1. 甲方:一般是出资方或投资方,也就是经营的主体。在合同拟订过程中主要是提出实现目标,是合同的主导方。本文中指非经营安全业务的公司,并将自身的安全需求外包出去的公司。
 2. 乙方:一般是劳务方,也就是负责实现目标的主体。本文中经营主体为安全的公司,承接甲方的业务需求。

*本文原创作者:softgirl,本文属于FreeBuf原创奖励计划,未经许可禁止转载


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK