也許你獲得了一個管理安全團隊的機會，你擔心老闆的提供的支援到底有多少；或者，你已經負責一個公司的安全有一定的時間，但你總是無法獲得老闆的有效支援。雖然，每次老闆在公開場合都會表達自己對安全工作的重視和支援，但是每次到審批預算和評審方案的時候，你的覺得有點上當的感覺。

8年前，我畢業加入一家電商公司的安全團隊，工作第一天，就被指定負責幾個產品線的安全（現在叫SDLC），4年前我又加入到了一家物聯網公司，被指定負責從產品線，安全運維，安全合規，以及業務安全等等相關的安全責任。我從一個對CSRF漏洞的概念都模糊的菜鳥，慢慢成長為負責一個協助公司高層領導做風險決策的安全負責人。回顧之前和老闆的合作，越發相信獲得老闆的有效支援是安全工作基礎，最近一年的工作經驗也證實了這一點。

本文的目的就在於將我的經驗總結為三個關鍵的問題，

“1，老闆是否不懂安全”；

     工作之初我也認為老闆是不懂安全的，事實上我當時定義安全概念老闆就是不懂的，比如說CSRF的原理，SQL注入的技術手段，高階的緩衝區溢位的方法等等這些專業知識老闆的確不懂，也可以說安全工程師概念中的“安全”老闆的確是不懂的，但是安全負責人需要關注的“安全”是否也不了呢？能否回答這個問題是安全負責人和老闆正常溝通的基礎。態度問題是一方面，還有就是概念的統一。

“2，老闆關心的什麼？”；

     你是否覺得老闆的需求和關注點總在變化，有時候關注專案的進度，有時候有來過問價值，是不是還來問問團隊的情況下，如果沒有一幅老闆關注專案的全圖，你我很容易被老闆的這種多方位的需求給逼瘋了，疲於應付。之前我也一樣，甚至想換個公司或者老闆，目前我通過一副圖解決了整個問題，推薦大家一本《個人盈利模式》的資料。

“3，老闆有效支援前的決策過程是咋樣的”？

      回答之前的兩個問題之後我們已經和老闆建立了正常合作的基礎，接下來我們還是需要有和老闆達成一套系統性的決策方法才能獲得支援。

解決上述三個問題，不一定可以獲得你預想的結果，但是可以和老闆確立系統性的溝通渠道和方式，最大限度的發揮安全負責人的價值。