自从 2014 年 Target、Home Depot 先后遭遇大规模数据泄露事件,大型行业企业的高级管理层开始接触到一个全新的职位名称:CISO(首席信息安全官)。Target 数据泄露事故导致公司当年利润暴跌 46%,CIO 和 CEO 原地引咎辞职,随后 Target 董事会请来了更懂安全的前国土安全部顾问担当 CIO,同时还在公司历史上首次设立了 CISO 岗位。Home Depot 也如法炮制,请来安全大咖 Jamil Farshchi 担任 CISO,当时 Home Depot 给 CISO 这个岗位开出的价码是年薪数十万美元,一个不痛不痒的价位。
2018 年,信用报告公司 Equifax 因泄露 1.4 亿人的敏感信息被联邦政府罚款7亿美元,CEO Rich Smith 火速辞职,这一次 Equifax 决定从 Home Depot 把 Jamil Farshchi 挖过来,并开出了 389 万美元的天价年薪。类似的,2012 年 Matt Comyns 的安全主管身价是 65 万年薪,2019 年,相同岗位的价码蹿升到 250 万美元。
仅仅四年时间,美国 CISO 的身价从数十万美元,飙涨到了数百万美元。原因很简单,一方面是高级安全人才的全球性短缺,另一方面是因为违规成本高得吓人,根据 IBM 公司和 Ponemon Institute 的一项研究,美国公司违规的平均成本约为 800 万美元。
不断加码的薪酬方案和不断扩大的职责,对于曾经混迹IT部门,从未引起高级管理层注意的一群信息安全 “工头” 来说是一个巨大的转变。他们似乎一夜之间变成了钢铁侠,扛着 “总镖头” 的旗号来到了董事会的桌前。但是在这条金光灿灿的职业道路上,也暗藏着各种危机,如果不能做到 “预防性驾驶”,那么无限风光的 “钢铁侠”,随时有可能变成 “美国队长”(背锅侠)。
根据 Osterman Research 对全球 408 位 CISO 的调查,55% 的受访者任期不到三年,30% 不到 2 年(美国劳工部的数据是平均 4.2 年)。这些离职的 CISO 中,相当一部分 “翻车” 的原因并非是成了重大数据泄露事故的背锅侠,而是因为日常管理方面存在 “软伤“。
以下,我们总结了企业信息安全主管和CISO半路翻车的十大常见原因:
1. 不能用管理层能理解的方式说话
网络安全现在是董事会级别的议程项目,董事会成员和整个公司高层都希望 CISO 对企业安全态势的强项、弱点、改进计划以及所有这些措施如何匹配企业的总体战略发表建议。Parkview Health 信息安全副总裁兼 CISO,卡内基梅隆大学亨氏信息系统与公共政策学院副教授 Darrell Keeling 说,许多 CISO 通过一系列技术职位升任该职位,还没有准备好发表董事会期望的战略级演讲。
他们没有得到指导或训练,无法与组织的高层对话。
结果,一些 CISO 很难以董事会期望的,以战略业务为重点的术语来提出与安全相关的问题,从而使董事会对安全主管的印象不佳。一些 CISO 干脆选择让 CIO,CTO 或其他高管代表代为出席,这进一步增加了董事会和 CISO 之间的疏远感。而事故发生时,人们常常会抱怨 CISO 对董事会而言并不透明。
2. 报喜不报忧
在 CISO 与公司管理层和董事会沟通时,一个常见的问题就是 CISO 倾向掩饰问题,仅向董事会展示积极指标。一些 CISO 之所以这样做,是因为他们不希望流露出无力感,或者错误地认为挑战已超出了董事会的讨论(理解)范围。
无论出于何种原因,CISO 都会执迷于 '我不能告诉董事会,至少不能让他们知道…
但是董事会很少会被糊弄过去。
虽然可能并不是安全专家,但董事会成员知道企业信息安全问题比一堆绿色小指标看上去更加复杂。而且,他们很可能会对在交付报告时无法做到开诚布公和透明的 CISO 失去信心。董事会不想被告知一切都很棒。CISO必须能够告诉他们企业的实际情况,必须对他们进行诚实的评估,并给他们信心,拿出一个切实的推进计划。
3. 给老板“惊喜”
CEO 或者任何其他直接或间接监管安全职能的高管都不喜欢 “惊喜”。
老板们可不希望在攻击或者事故发生后,才被 CISO 告知这些威胁确实存在,而且需要花一大笔钱亡羊补牢。网络安全培训组织 SANS 研究所新兴安全趋势总监John Pescatore表示,CEO 非常不希望以这种方式了解企业的安全需求。如果发生这种事,CISO 离 “凉凉” 就不远了。
4. 不爱惜羽毛
对于 CISO 来说,作为行走江湖的 “总瓢把子”,没有什么比职业操守和声誉更重要的了。如果 CISO 提出重要的安全问题、合规问题或道德问题,但公司上下没有人关心,那么这位 CISO 就该小心了。CISO 可能会与其他不认同安全措施的企业领导者发生冲突。如果选择同流合污、一团和气,那么 CISO 就会面临自身的职业荣誉受到损害。
因此,CISO 在上岗之前或面试过程中务必不要忘记试探企业和高管关键价值观,确定企业的道德立场在可以接受的范围内。
5. 错误的安全价值观
想坐稳 CISO 的位子,最重要的一点是不能让安全成为业务增长的障碍。安全不能给企业数字化转型和敏捷化 “拖后腿”。如果一个 CISO 或者安全团队只会说:“对不起,'我们不能确保新业务计划(产品或者app)是安全的,我们还需要做一些不可描述的工作。” 那么 CISO 就会被企业业务部门视为绊脚石和拦路虎,一个 “no” 先生是长不了的。
6. 抓小放大
Osterman Research 的 2019 CISO 调查显示,只有6.8% 的 CISO 在重大信息安全事故后成为 “背锅侠” 被劝退,大多数 CISO 都不会在发生违规事件时被解雇,但如果这些事故是职责范围内的疏忽,忽略或错过了重大威胁预警信号,就可能丢掉饭碗。例如失察被收购公司中的安全漏洞,或者严重低估企业在已知安全威胁中面临的风险。即使事后解决了由此产生的问题,首席执行官和董事会也会对 CISO 失去信心
7. 落后于竞争对手
当类似的安全威胁席卷同行业多家企业的时候,企业高管和董事会就有机会观察谁家的 CISO 没有穿泳裤,例如业务恢复速度落后于同行的 CISO 往往也会被追究责任,造成损失 “鹤立鸡群” 的企业的 CISO,往往也会被管理层弹劾。
8. 签卖身契
CISO 入职前要看清楚组织结构图和预算。如果 CISO 职位在该企业的组织结构图上被下调了几个级别(例如向 CEO、CIO 以外的较低管理层汇报),而且薪酬也大大落后于其他高管,这样的企业往往是在找一个关键时候顶上去的 “背锅侠“。
组织结构图和预算比例能够直观地反映企业对安全的重视程度以及定位,有些企业将安全看作是业务的推动力,而有些企业认为安全是成本中心。
《福布斯》和 Fortinet 在 2019 年对 209 个 CISO 进行的调查发现,有 36% 的 CISO 表示预算不足对他们的网络安全计划有重大影响,18% 的人认为预算限制是最大的限制。
9. 糟糕的办公室气氛
根据 (ISC)² 2019 年网络安全劳动力研究报告:网络安全行业中的女性仅占网络安全劳动力的四分之一,在其他一些报告中这个比例更低,例如 Frost&Sullivan 的一个调查数据显示,全球信息安全从业人员只有 10% 是女性,而且这个比例常年稳定。不仅仅是性别比例严重失衡,很多企业的办公室文化非常糟糕,冰冷而且同事间充满敌意和戒备。如果今天的 CISO 不能打造良好的办公室文化,那么 CEO 和董事会就会谋求换将。
10. 不注重团队建设
没有 CISO 可以无所不能,试图扮演超级赛亚人通常会危及企业安全并扭曲自己的职业生涯。《网络安全领导力:为现代组织提供动力》一书的作者 Hasib 说:如果 CISO 不能 “兼容” 有才华的人,那么他们注定不会成功。
不少 CISO 过于强调基于技术的安全解决方案,而不是平衡技术、人员与流程的网络安全三要素。在安全形势异常严峻的今天,CISO 必须将打造一支优秀团队作为头等大事,这也是进一步吸引更多安全人才的先决条件。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】