企业首席信息安全官(CISO)每天都会考虑很多问题——从网络犯罪到补丁管理,从董事会报告到数据丢失预防,这些问题似乎是无穷无尽的。但大多数首席信息安全官(CISO)处理的最紧迫的问题之一是人员配置策略和继任计划。
造成这种压力和担忧的是网络安全工作市场面临的两个主要趋势。首先是缺乏熟练的安全专业人员,无法填补全球各地的职位需求,根据ISC2公司的统计,在全球范围内,空缺的职位超过400万个,北美地区超过40万个。首席信息安全官(CISO)面临的更大问题是,他们现有团队中真正有技能的专业人员数量较少,并且总是担心他们会离职。首席信息安全官(CISO)的目标是避免失去这些关键员工,从而导致他们难以填补更多空缺职位。
首席信息安全官(CISO)面临的第二个问题是其自身队伍的人员流失问题。从某些方面来看,首席信息安全官(CISO)的平均任期在18到36个月,许多人任职的时间甚至更短。无论是为了获得更高的薪酬,对组织预算的不满或风险偏好,在高级的信息安全职位上都有大量的人员流失。高层人员的流失通常会导致业务不稳定和市场机会下降。一家公司提供的入职机会将会成为另一家公司的人员离职问题。人才流失是一个非常令人担忧的问题。
面对这些不利因素,首席信息安全官(CISO)必须不断关注自己的信息安全团队的去向,并为保留专业人才而努力,并建立一个结构,以确保不断受到网络安全问题困扰的团队的长期成功。以下是一些保留专业人才并帮助他们茁壮成长的建议:
1.培训他们。首席信息安全官(CISO)要做的第一件事就是培训团队成员以利于其职业生涯发展,并为他们提供学习新技能和新技术的机会。虽然提供培训的成本昂贵,但是为团队成员的培训支付费用是值得的。
2.吸引他们。首席信息安全官(CISO)需要花费时间陪伴团队成员。不要只是给团队成员发邮件,还要和他们面对面交流。虽然这很难,但没有什么投资比对团队成员的投资更重要。
3.挑战他们。大多数优秀安全专业人员的主要特征是好奇心,即需要解开谜底。可以通过使人们摆脱孤岛并进行交叉训练来培养这种好奇心。这有很多好处,其中包括扩展单个团队成员的技能,以加深其在任何给定领域的工作经验。
4.领导他们。很多领导者关注团队中的人才。信息安全技术很复杂,以至于首席信息安全官(CISO)并不能解决所有问题。因为团队还有很多问题。正如Stanley McChrystal在《团队的团队》(Team of Teams)一书中所指出的那样,信息安全是领导者难以预测、监控和控制能力的领域之一。因此可以分散责任(但要保持责任心),其他团队成员将会尊重领导者。
5.指导他们。要真正制定可靠的继任计划并保留关键人才,首席信息安全官(CISO)必须在助手上投入更多的时间。采用关键和必要的指导。当首席信息安全官(CISO)与其团队成员在一起的时候,需要为那些有能力接管其工作的人员投入更多的时间。
6.感谢他们。首席信息安全官(CISO)非常清楚地了解到,人才需要一些时间成长和成熟,需要感谢领导者提供的帮助,感谢他们所做的工作。
需要记住,首席信息安全官(CISO)只能控制导致员工离职的变量。有些人可能会离职,他们在其他公司也获得了首席信息安全官(CISO)的职位。其他人可能由于其配偶在另一地点工作而离职。还有一些人可能会对企业新的政策感到不满。首席信息安全官(CISO)可以控制自己所控制的事物,需要花时间把这些事情做好。