现在企业的信息安全部门,不论是独立的,还是挂靠在IT部门下面的,虽然在名义上是负责整个企业的信息安全,但是实际上这群草台班子是没有能力去掌控全局的,基本上只能龟缩在信息技术领域,或者龟缩在IT部门,而无法总掌企业信息安全的全局,无法监督和统筹企业各个业务部门的信息安全工作的。
这群草台班子,以他们的认知,知识和技能,就只能龟缩在信息技术领域,或者龟缩在IT部门,要么去搞搞安全产品,搞搞安全服务,要么就是去搞漏洞挖掘和攻防演练,而无法对企业其他业务部门的信息安全进行监督和统筹。
我曾经待过数家企业,在我在的那段时间,我还能去企业的各个业务部门沟通和推动他们各自的信息安全工作,但在我去之前,和我离开之后,这些所谓的信息安全部门就基本只能龟缩在信息技术领域,或者龟缩在IT部门了,这样的信息安全部门,最终也是必定沦为各个业务部门的打杂部门和背锅部门,例如很多企业的业务部门都会直接跳过所谓的信息安全部门,自己去招聘人员,准备资源,然后自己去规划和实施自己部门的信息安全,当然要是业务部门自己搞砸了,或者业务部门的能力没法应对了,这些锅立马会甩给所谓的信息安全部门,毕竟这些所谓的草台班子的信息安全部门在名义上仍然是企业信息安全的负责部门。
