这个职业现在仅在自我定位中。
因数据泄露事件造成的恶劣影响,首席信息安全官(CISO)角色被人们重新认识。公众注意的中心再次跟随一系列引人注目的大公司数据泄露事件,也带动了对受害者信息安全项目内部运作的仔细审视。
许多商业企业仍未能更新他们的安全项目并认命集中管理岗位。还记得2011年RSA SecureID双因子认证数据泄露事件以及2012年LinkedIn用户密码被盗事件吗?当时没有一家组织有专职CISO。事件之后这两家公司都已补充了该职位。
回顾刚过去的这一年,几个家喻户晓的企业--财富500强的Target和摩根大通,同样遭受了令人瞩目的数据泄露事件。它们没有CISO,甚而也没有专职负责安全风险项目管理的领导层。客户对此不满,而无论监管者、银行、信用卡放款人或是供应链也都对此不满。
伴随较高薪资与复杂挑战的诱惑,CISO这一职位为那些抗高压的个人提供了机会。他们要能制定安全与风险管理项目,弥合管理层与工程师间的鸿沟,并能在只有模糊细节的技术控制措施与合规框架中找到正确做事方法。升职至CISO的职业生涯往往始于计算机科学、军队与情报或执法工作。CISO这一职业仍在不断发展中,然而该领域的许多人看来,它的作用仍有很大程度未被明确。
2013年节日期间因数据泄露事件遭受到数亿损失的Target,近日聘用了它的第一位CISO,Brad Maiorino。这位前通用汽车CISO及首席风险官在今年七月告诉《纽约时报》:“正是现在,我们有机会明确CISO的定位以及我们的汇报对象,身处这一职位是一个激动人心的时刻。”
平衡举措
早期CISO或多或少扮演着高级管理员角色,他们工作于后勤部门并负责防火墙基本配置。Cubic Corp.首席网络安全战略官Bruce Brody直言:“在那个位置没有真正C级别或者高管级别的角色。”Bruce Brody分别在退伍军人事务部、能源部以及国防部承包商DRS技术历练了其15年的CISO职业生涯。
当然这正在发生变化。随着安全风险与隐私泄露事件的急剧上升,现在CISO这一角色贯穿IT、合规、业务连续性、人员及设施,这使得商业企业很难决策如何在组织架构中合理设置这一职位。Brody认为:“涉足组织的不同领域已使得CISO可以就座于领导层议席。”
CISO基本年薪
为了应对不断变化的威胁格局,一些公司已经更新了他们的网络安全关注重点,逐渐投入更多资源给CISO这一职位。Alta Associate是一家位于Flemington, N. J.的高端猎头公司。其资深猎头Cindy Miseli认为,“为了更充分地做好准备,我们的客户正在提升CISO职位到真正高管层,而不是需要向C级别汇报的总监级别职位,并逐渐增加预算,预期增加人员名额并加大技术投资。”
CISO职位通常在具备1000人或以上规模的企业才会设立,但市场研究机构Gartner建议150人规模的组织也应考虑聘用专职的CISO。
Alta Associate有着25年历史,长期从事IT风险管理及安全领域的高管人才招聘。Miseli认为, CISO现在将开始聘用更多专业的直接下属,他们在IT取证、事件响应、安全运营和控制以及IT风险管理等领域具备较深入的技术能力。同时,安全官正被给予机会参与传统信息安全项目之外的企业计划,如兼并与收购以及产品战略。
“我们正见证客户在寻找候选人上的转变,不仅需要有成就的技术专才,还有那些有战略眼光的业务驱动型领导者,后者有能力吸引、挖掘并获得有能力保护公司品牌与资产的顶尖人才”,Miseli还说:“这正是驱使薪酬包因组织的规模与范围存在30万美元到50万美元差异的关键因素。”
CISO基本年薪
N=133位CISO,《2013薪水基准报告》,Ponemon Institute。
仅是名义上的
CISO职位通常在1000人或以上规模的企业才会设立,但是市场研究机构Gartner建议150人规模的组织就应该考虑聘用专职的CISO。Gartner分析师Paul E. Proctor在《CISO商业案例》2012年报告中写到,未设立专职CISO职位的实体,范围从采用“无知是福安全模型”的公司,到那些有着出色的安全控制措施、也因此看不到集中安全领导岗位需求的公司。Proctor还认为,其他公司即使名义上设置了CISO职能,却将安全工作分配给法务或IT部门,而这些部门没有时间做专职投入。
Brody认同这一现象在政府及商业企业均存在。“大多数组织已经遭受到了恶意软件或持续威胁的重击或攻击—恶意攻击发生在他们的基础设施上,”Brody认为,“但只能说他们具备CISO检查框,用于告知董事会和投资方,‘是的,我们有首席信息安全官。’至少,他们采取措施并放了专人在岗,而且从薪酬方面他们也算为CISO投入了资源。不幸的是,这并不能解决任何问题。”
尽管日益增加的责任与更高的要求,许多公司的CISO职位仍然是技术驱动与执行层面的,他们仅有极为有限的时间花在战略和策略制定上。Ponemon Institute分析了133位CISO的数据,作为2013年重要薪资调查的一部分。当CISO们被问及他们时间花费时,以100分计,其中监控与审计得分最高(24分),接下来是完善策略(16分),事件管理(12分),业务连续性管理(11分),风险评估(10分),依次往下。计划(5分)和采购(4分)分值都相对低。策略制定(2分)、战略设置(1分)以及公司内部沟通(1分)在被调查者中,排名最低。#p#
关于战术真相
该研究机构的创始人及董事会主席Larry Ponemon,在他展示这些初始发现时指出,这一发现就CISO在战略设置与策略制定中所起的作用直接达成共识。他说:“这再次说明CISO实际更偏战术一些—这并不是荒诞的说法;这也不让人意外。”
犯罪阻止部门——安全官工作完美的一天
· 发现了系统漏洞 19%
· 阻止了犯罪行为 32%
· 处理了犯罪行为 33%
· 获得了认可 2%
· 说服了管理层 3%
· 培训了管理层/董事会 3%
· 保障资金安全 3%
· 保护了同事/个人 5%
N=任职于1000人或以上规模公司的133位CISO,《2013薪水基准报告》,Ponemon Institute。
Ponemon研究还发现,在1000人以上规模的公司,CISO的虚线关系分别涉及IT运维(78%)、数据中心管理(55%)、公司合规(39%)、业务连续性管理(36%)、隐私官(28%)以及企业风险管理(16%),而人力资源与公司财务位列最后。
参与此次调查的CISO们资历也有所不同:34%的安全官有MIS和计算机背景,20%有法律背景,16%有军队背景,而14%有情报经验。
Brody认为:“你可以录用任何聪明的人,通过正确的培训将他们培养成信息安全从业人员。要升迁至CISO职位,此人还需要具备极强的耐受力、使混乱变为有序的组织能力、跨越高管与工程技术间的鸿沟进行高效沟通的能力……而且无论董事会上的西装领带还是后勤部门和IT部门中的夏威夷衬衫和牛仔裤着装,他都能同等自若。”
“没人会教给你这些技能,”Brody接着说,他本人职业生涯始于情报界,随后换到命令控制的世界,接着进入信息安全领域(跨域的多级安全),经历几个管理职能后到CISO职位。“你必须去学习它们。你还必须去找到问题、解决问题,接着进入下一个问题,然后相应地书写你的简历。”
Gartner分析师Proctor推荐大型组织首先应创建角色定义,然后“找到首要理解业务其次理解安全技术的适合人选。”
“如果你认为问题可以通过技术解决,那么你也许并不理解问题实质,”Brody认为,“真正要做的事情是整体考虑。行政固然很重要,但你不能对技术一无所知。你的部分工作是制定技术控制措施以及那些合规框架的相关控制......,而除此之外你也还必须考虑其他方面。”
随着源源不断新的安全控制技术,挑选最适合企业架构的技术将是一项艰巨的任务,也是这份工作最困难的一面。“有太多好主意”,Brody认为,而针对所有这些技术控制的深入评估在信息安全空间完全缺失。
每一位信息安全官都在进行决策,而不幸的是,一些最好的法子是单点解决方案。“当有整体架构可确保所有不同领域的安全时,首席信息安全官不可能关注于单点方案上。”他接着说。“单点方案不能解决1%的问题,因此你总是在寻找可以采用的企业级方案以改进风险概况。”
未知的职业通道
尽管这些工作的重要性,信息安全职业通道一直定位不清,同时还需要更多的劳动力。美国国土安全部于2013年7月发布的《美国国家网络空间劳动力框架》,旨在就角色定位、技能要求及职业通道进行员工教育。该框架由美国国家标准和技术研究院(NIST)、美国国家网络空间安全教育计划(NICE)与政府和私营实体联合开发。根据这个框架,CISO的定位不同于信息系统安全官、IT总监以及风险执行官,其主要负责安全项目管理:
管理组织内的信息安全隐患、特定项目或承担其他领域的责任,包括战略、人员、基础设施、政策执行、应急规划、安全意识和其他资源。
就网络空间安全而言,根据这个框架定义,首席信息官负责战略规划与策略制定。Clinger- Cowen法案(前身是1996年的信息技术管理变革法案)定义了政府部门的CIO职能。2002年的联邦信息安全管理法案(FISMA)定义了高级机构信息安全官,它已逐渐成为首席信息安全官。这两个角色都在持续发展中。
Brody认为,当CIO与CISO在企业中协同工作时,CIO的工作本质是“电源、ping以及管道”。CISO职位是保护、防御、回应、响应及恢复,而且这一连续的信息安全可能会干涉CIO的预算优先级以及保持所有系统运行的意愿。Ponemon研究表明,如果CISO绕过CIO、直接向董事会以及其他高管汇报,通常这种汇报方式会为CISO带来更高的薪酬。
Ponemon研究表明,如果CISO绕过CIO、直接向董事会以及其他高管汇报,通常这种汇报方式会为CISO带来更高的薪酬。
CISO向董事会汇报的方式(针对1000人或以上规模公司的研究)
N=133位CISO,《2013薪水基准报告》,Ponemon Institute。
Brody认为:“这两个角色都在演进中。让我们思考IT技术的未来。如果每一个企业都将采用“自带设备”(BYOD)办公方式,减少基础设施投入,把所有应用都放到云里面去,那么CIO与安全官的职能很快将进行对调。”
业界需要为信息安全从业人员定义一条职业通道,并指引他们获得更好的职业发展。Brody认为,CISO职业现在仅仅在做自我定位。他说:“它是一片这样的职场,成功未获得通常意义的承认,而失败被不成比例地过度强调,有时还会登上《华盛顿邮报》头版。但它是非常有意义的精神享受,也即完成某件事的当天结束时获得的那种成就感。信息安全这类职业没有常规可循。”