自2014年Target、HomeDepot相继遭遇大规模数据泄露事件后,大型工业企业的高层开始接触一个全新的职称:CISO(首席信息安全官)。Target数据泄露导致该公司当年的利润暴跌46%。CIO和CEO就地辞职。随后Target董事会聘请了一位更懂安全的前国土安全部顾问担任CIO,同时也是公司历史上首次设立CISO职位。HomeDepot也做了同样的事情,邀请安全大师JamilFarshchi担任CISO。当时,HomeDepot为CISO职位提供了数十万美元的年薪,这是一个不痛不痒的价格。2018年,信用报告公司Equifax因泄露1.4亿人的敏感信息而被联邦政府罚款7亿美元。CEORichSmith迅速辞职。这一次,Equifax决定从HomeDepot挖走JamilFarshchi,并开出389万美元的天价年薪。同样,在2012年,MattComyns的安全总监年薪为65万美元。2019年,同一职位的价格跃升至250万美元。短短四年时间,美国CISO的身价从几十万美元飙升至数百万美元。原因很简单,就是全球范围内高级安全人才短缺,而且数据泄露的成本高得令人望而却步,根据IBM和PonemonInstitute的一项研究,美国数据泄露的平均成本约为800万美元。不断提高的薪酬待遇和不断扩大的职责,对于一群曾经留在IT部门,从未引起高层重视的信息安全“工头”来说,是一个巨大的转变。他们仿佛一夜之间化身钢铁侠,扛着“首席保镖”的大旗走上董事会席位。然而,在这条黄金职业道路上,也隐藏着种种危机。如果“预防性驾驶”无法实现,那么美轮美奂的“钢铁侠”随时可能成为“美国队长”。).根据OstermanResearch对全球408名CISO的调查,55%的受访者任期不到三年,30%的任期不到两年(美国劳工部数据为平均4.2年)。在这些离职的CISO中,有相当一部分“翻车”的原因,并不是他们成为了重大数据泄露事故的罪魁祸首,而是日常管理上的“软肋”。下面,我们总结了企业信息安全负责人和CISO半途而废的十大常见原因:1.不能用管理层听得懂的方式说话。网络安全现在是董事会级别的议程项目。就组织安全状况的优势、劣势和改进计划提出建议,以及所有这些如何与组织的总体战略相适应。ParkviewHealth信息安全副总裁兼CISO、卡内基梅隆大学亨氏信息系统与公共政策学院副教授DarrellKeeling表示,许多CISO是通过一系列技术角色晋升的,还没有准备好提供战略-董事会期望的水平演讲。他们没有接受过与组织高层对话的指导或培训。因此,一些CISO很难以董事会期望的战略性、以业务为中心的术语来询问与安全相关的问题,从而给董事会留下了对安全主管的坏印象。一些CISO干脆选择由CIO、CTO或其他高管代表作为代表,进一步加剧了董事会与CISO之间的疏离感。当事故发生时,人们常常抱怨CISO对董事会不透明。2.报告好事而不报告坏事CISO与公司管理层和董事会沟通时的一个常见问题是,CISO倾向于掩饰问题,只向董事会提出积极的指标。一些CISO这样做是因为他们不想表现出一种无能为力的感觉,或者一种错误的信念,即挑战超出了董事会的讨论(理解)范围。无论出于何种原因,CISO都沉迷于“我不能告诉董事会,至少不能告诉他们……但董事会很少被愚弄”。虽然他们可能不是安全专家,但董事会成员知道企业信息安全比一堆绿色小指标要复杂得多。而且,他们可能会对在提交报告时未能做到公开透明的CISO失去信心。董事会不希望被告知一切都很好。CISO必须能够告诉他们企业的实际情况,必须对他们进行诚实的评估,让他们有信心拿出切实可行的推进计划。3.给老板“惊喜”CEO或任何其他直接或间接监督安全职能的高管不喜欢“惊喜”。老板们不希望CISO告诉他们在攻击或事件发生后存在威胁并且修复它需要花费一大笔钱。网络安全培训机构SANSInstitute新兴安全趋势主管JohnPescatore表示,CEO们非常不愿意以这种方式了解其组织的安全需求。如果发生这种情况,CISO将变得很酷。4、不爱惜羽毛。对于一个CISO来说,作为行走江湖的“总经理”,没有什么比职业道德和声誉更重要的了。如果CISO提出了一个重要的安全问题、合规性问题或道德问题,但公司中没有人关心,那么CISO就应该小心了。CISO可能会与不同意安全措施的其他业务领导者发生冲突。如果选择风雨同舟、和睦相处,那么CISO将面临职业声誉受损。因此,CISO们千万不要忘记在上任前或面试过程中对公司和高管的关键价值观进行测试,以确保公司的道德立场在可接受的范围内。5、错误的安全价值观要想坐稳CISO的位置,最重要的是不要让安全成为业务增长的障碍。安全不能“延缓”企业的数字化转型和敏捷性。如果CISO或安全团队只是说,“抱歉,‘我们无法确保新业务计划(产品或应用程序)的安全,我们有一些难以形容的工作要做。”那么CISO将被企业业务视为绊脚石和路障,先生的“不”不能持续太久。6、抓小放大OstermanResearch2019年CISO调查显示,只有6.8%的CISO在重大信息安全事件后成为“后备”,被解雇。大多数CISO在发生违规行为时不会被解雇,但如果这些事件是在职责范围内的疏忽,忽视或错过重大威胁的警告信号,并有失去工作的风险。示例包括忽略被收购公司的安全漏洞,或严重低估企业面临的已知安全威胁的风险。即使事后解决了由此产生的问题,CEO和董事会也会对CISO失去信心7.落后于竞争对手谁的CISO不穿泳裤。例如,业务恢复速度落后于同行的CISO经常被追究责任,造成“突出”损失的公司CISO经常被管理层弹劾。8、签订销售合同CISO入职前要看清组织结构图和预算。如果CISO的职位在公司的组织结构图上被降了好几级(比如向CEO、CIO以外的下级管理层汇报),而且薪水也明显落后于其他高管,这样的公司往往在寻找一个“靠山”upman”在关键时刻挺身而出。组织结构图和预算比例可以直观地反映企业对安全的重视程度和定位。一些公司将安全视为其业务的驱动力,而另一些公司则将安全视为成本中心。和Fortinet2019年对209名CISO的调查发现,36%的CISO表示预算限制对其网络安全计划产生了重大影响,其中18%的CISO认为预算限制是最大的限制因素。9.根据(ISC)22019年网络安全劳动力研究报告:网络安全女性仅占网络安全劳动力的四分之一,在其他一些报告中甚至更低,例如Frost&Sullivan的调查数据,只有10全球信息安全从业人员中有%为女性,这一比例全年保持稳定。不仅男女比例严重失衡,很多公司的办公文化也很糟糕,同事之间冰冷且充满敌意和戒备。如果当今的CISO无法营造良好的办公文化,CEO和董事会就会寻找替代者。10.不注重团队建设没有CISO可以包办一切,试图扮演超级赛亚人往往会损害公司安全并扭曲自己的职业生涯。《网络安全领导力:为现代组织提供动力》作者Hasib:CISO如果不能与有才华的人“兼容”,就注定要失败。许多CISO过分强调基于技术的安全解决方案,而不是平衡技术、人员和流程的网络安全三个要素。在安全形势异常严峻的今天,CISO们必须把打造一支优秀的团队作为重中之重,这也是进一步吸引更多安全人才的前提。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信?id:gooann-sectv)获得授权】点此查看作者更多好文
