说到今天企业的信息安全,其实大家心里都明白,基本上都搞成一地鸡毛了,也几乎都是在忽悠的,都是快搞不下去了,然而几乎所有的企业信息安全负责人面对这样的失败,都把责任归咎到了企业的老板,说老板不重视,不舍得给资源等。在我看来,这完全是胡说八道,真正的罪魁祸首不是企业老板而是企业信息安全负责人。
如果企业老板不重视,不肯给资源的话,怎么会单独成立一个信息安全部门,怎么会给那么多信息安全专职岗位的编制,每年又怎么会给预算,而且这些预算只会比类似性质的职能部门多不少。但是这些企业信息安全负责人,要了人员,要了预算,却没有干出任何的成绩,还要倒打一耙,最后把所有的责任推给企业的老板,这是不是很好笑。
当然作为企业的老板,责任肯定也是有的。很多的企业老板也是对信息安全一知半解,被人忽悠了,以为信息安全就是信息技术,所以找了一个不懂企业管理,不懂企业业务,更加不懂信息安全管理的人负责企业的信息安全。所以,作为企业的老板,最大的责任就是所托非人。
那群搞黑客攻防的技术专家,IT运维负责人,或者IT负责人,他们是没有能力承担信息安全负责人的工作的,前面我也说了信息安全不等于是信息技术,如此一来,相当于是找了一个外行来做负责人,最终的结果肯定是要一地鸡毛的。其实我们仔细想想就知道这样的现象是多么的荒谬,多么的奇葩,我们可以想象,要是一家企业把采购负责人放到财务负责人的位置上,又会产生什么样的严重后果呢。
要是企业信息安全负责人是个门外汉的话,必然会去胡搞乱搞,以掩盖其无能,最终终日只能不务正业,把IT运维的一部分工作抢来充当门面,而真正企业本该需要的信息安全工作却丝毫未做。
