最近有很多安全从业者咨询我,去甲方做安全好还是去乙方做安全好,尤其是应届生或工作1-3年的安全从业者。其实这是一个不太好回答的问题,因为牵扯的因素太多,每个人的状况也不尽相同。但是之所以有这么多人问,更多的是折射出大家对甲方安全工作和乙方安全工作的未知,不知道哪个更适合自己,更深层次的意识可能是对自身职业发展的不确定。
我大学毕业后直接进入绿盟工作,3年后入职甲方一直工作到现在。我可以跟大家聊聊甲方做安全和乙方做安全的区别,正如安全是动态的一样,甲乙方的工作和发展也是动态变化的,仅限于个人视角,供参考。其实甲方和乙方的主要区别是你的职场角色不同。在乙方你是盈利人员(可为公司产生直接收益),在甲方你是后台职能人员(不对企业产生直接收益,但是保障企业的安全或合规建设、规避风险、确保业务安全运行)。角色的不同意味着你的工作氛围、强度、薪资、成长和晋升空间的巨大差异。
作为安全厂商或服务商,大家聚在一起都是围绕公司业务开展的,无论销售、售前、售后还是服务都会有一个团队支撑,各个团队有相同的目标、接受相应的培训、学习支持工作的技能,一起沟通问题、寻求解决方案。但是很多甲方企业,安全没有独立的部门,挂靠在运维部或合规部,对岗位的需求也可能是为了上市的合规需求或某些认证的岗位需求。所以会看到网上有人写《一个人的安全部门》,也有很多网络工程师兼职做安全工作。这种环境的氛围就要求你跟运维同事或合规同事打成一片。评绩效的时候也会比较尴尬,因为别人不理解你的工作内容,你也不了解别人的工作内容,结果可能差强人意。还有安全项目的推进会很困难,如某家公司的企业文化是便利性优先,员工的体验优先。那么你在进行终端安全管控,如封禁U口、终端审计、数据加密的时候,就很难执行,因为违背了公司的企业文化。
当然对于金融、运营商这种对安全重视度很高的企业,以及阿里、腾讯和华为这种已经可以把安全作为盈利部分的企业,另当别论。
综上,乙方的工作氛围会更浓厚,大家评价绩效的标准也相对一致。甲方的工作氛围会比较孤寂,明知道有风险,但是安全措施推不下去,提心吊胆,有时候评绩效也是一个问题。
乙方的薪资构成大部分是工资+提成(或绩效奖金),跟你的工作强度和产出有关。你干的多、产出多,你的薪资就相对高。甲方的薪资构成是工资+绩效+福利构成,福利包括餐厅、健身房、下午茶、幼儿园、过节费、服装费、住房补贴、集体婚礼等等。所以甲方工作单看薪资可能不高,但是加上福利费或按照年薪算可能比较高。而且甲方的工作强度相对比乙方轻松一些,因为只需要服务一家公司,乙方需要服务多家公司。
这个跟工作氛围有很大的关系,回这么多年的工作可以说在绿盟的成长是最快的。没办法,你在乙方就注定要不停的面对客户的问题,各种各样的问题、事件,很多你都没见过可能也找不到人问,你能做的就是边学习边解决。所以在乙方无论是工作氛围、工作要求都能让你快速成长。在甲方,一些安全服务会外包给乙方,比如扫描、渗透、基线核查、等保测评等,甲方负责做好项目管理和资源协调来即可。当遇到新的问题或发展需求时,也会优先找同行业或乙方交流,调研是否有合适的解决方案,评估后选择合适的方案解决。在甲方待久了,你会发现你安全方面的能力可能退化了,但是你的资源协调能力、沟通表达能力、团队协作能力、项目管理能力、思辨能力得到显著提升。
安全岗在甲方晋升是比较难的,难在企业不需要一个安全总监或一个CISO。解释一下,岗位的晋升是跟公司的发展挂钩的,企业不重视安全或安全不能给企业带来可观的价值,那么只需要有一名安全工程师就足够了。乙方的晋升相对快一些,因为售前需要TeamLeader、售后需要、服务团队需要、销售团队也需要,说白了就是有安全管理岗的需求。顺便引申一个点,招聘的时候,候选人的职责规划大多是往管理方向发展,比较少的人会往技术路线发展。其实走技术路线并不比管理路线差,你可以成为一个企业某个领域的顾问或专家,那你的影响力、关注度也是别的岗位比不了的。
很多人会有疑问,为什么那么多甲方都有安全高管。所以跟大家聊下,成为安全高管的突破点:
1. 让安全引领产品或业务。也就是说安全不是保障业务安全,而是走在前面,变成产品的属性和主打卖点。公司某款产品的竞争门槛就是安全,竞争对手的产品安全性就是比不过你们的,那你就可以成功晋升安全总监或CISO。这需要很强的综合力能,需要熟悉公司的业务、产品特性、调动资源的能力、真的能把产品打造的安全,别人找不到漏洞或竞争对手在安全上杠不过。否则一旦爆出一个漏洞,新闻头条就是“某公司以安全著称的产品爆出匿名登录漏洞”,你的总监和CISO也就拜拜了。
2. 让安全成为盈利部门。说白了就是安全部门可以自己赚钱,比如对外部客服提供扫描、渗透、评估、咨询服务。可以给供应商、友商、服务商提供类似服务,如果每年安全的产出是10万或20万甚至百万,那你们的地位就不一样了。安全就成了公司业务发展方向,公司就需要安全高管,你就可以上了。
3. 合规要求。合规要求必须有安全负责人,有安全团队,那么就需要对应的安全管理层。
4. 安全绩效的体现。如能要体现安全的价值,或让安全价值可视化,一定要制定可测量的安全目标,比如每年的安全事件不超过2起,攻击事件不超过10起,数据泄露不超过1起,勒索病毒0起等。这样到年终总结的时候,进行量化的汇报,高层和公司才能意识到原来安全做了这么多事情,阻拦了多少风险,为公司提供了多少服务。安全绩效高,被需要感就高,就有可能晋升。
额外补充一点心理差异。很多在乙方工作的人会羡慕在甲方工作的人,觉得在甲方工作有优越感,因为可以找乙方做服务。但是换个角度看,本质就是一个有需求一个有方案,一个出钱一个出力,心态放平衡就好。
不知道上述内容对大家是否有帮助,安全是动态的,选择也是动态的,每个人在不同的阶段会有不同的看法或选择,该去甲方或乙方,会一直是个问题,希望你们都能有最适合自己的选择。
PS:名词解释。
1. 甲方:一般是出资方或投资方,也就是经营的主体。在合同拟订过程中主要是提出实现目标,是合同的主导方。本文中指非经营安全业务的公司,并将自身的安全需求外包出去的公司。
2. 乙方:一般是劳务方,也就是负责实现目标的主体。本文中经营主体为安全的公司,承接甲方的业务需求。
*本文原创作者:softgirl,本文属于FreeBuf原创奖励计划,未经许可禁止转载