CISO是一份艰苦的工作,必须不断地在业务、技术和法规需求与员工和对手行为等诸多方面进行平衡。也许你能够建立世界级的网络安全计划,并遵循最佳实践,为企业提供特殊的保护。但即便有这些优势,单个员工无意或有意点击恶意网页链接,共享密码,或错误配置资产,都能让网络攻击得逞,一旦发生这种事,最终承担责任的都是你。
确实,CISO责任重大,那么他们是如何应对这种沉重负担的?根据ESG和信息系统安全协会(ISSA)的研究显示,情况并不理想。数据显示,57%的网络安全专业人士认为他们企业的CISO只是有点作用,不是很有用,或者根本没有作用。
CISO的表现视情况而定
从研究的字里行间可以看出,CISO表现平平往往是由具体情境决定的,随着CISO从一份工作换到另一份工作,这造成了大量的流失。利用ESG/ISSA的研究,我们可以同时深入挖掘CISO表现不佳和跳槽的原因。当被问及“为什么CISO倾向于每两到四年换一次工作”时,受访安全专业人士的回答如下:
33%的人认为,CISO在另一个企业获得更高的薪酬后会换工作,这可能与工作表现或满意度无关。数据显示很多CISO会被提供高达40%加薪。面对这种高薪诱惑,CISO通常很难拒绝,所以首席执行官、董事会和人力资源高管有责任记住:强大的CISO永远是最抢手,总有人愿意高薪挖掘。所以高管们必须监控招聘形势,不断评估如何才能让一位成功的首席信息官满意。
31%的人认为,当他们当前的企业文化不重视网络安全时,CISO就会换工作。显然,CISO的工作表现与网络安全文化高度相关。如果没有安全保护,员工就会胡作非为,安全团队就会一直处于紧急状态——这并不是一个健康的工作环境。CISO可以影响文化,但CEO(和HR)必须推动文化变革。如果没能做到这一点,CISO就无法完成他们的工作,并转身离开。
29%的人认为,当网络安全预算与企业规模不相称时,CISO就会换工作。金钱买不到爱情,但如果明智地使用,它可以帮助加强网络安全防护。不要误会我的意思,CISO可以也应该管理和最大化费用,但他们所能做的是有限的。长期资金不足的安全计划表明存在沟通问题(例如,CISO不能充分解释他们需要什么以及为什么需要它),或者更有可能是意识上的问题(例如,首席执行官和董事会不相信其企业会成为攻击目标)。无论如何,CISO“难为无米之炊”,而是倾向于离职寻找更好的企业。
27%的人认为,当无法积极参与执行管理层和董事会会议时,CISO就会换工作。这里有一个模式,当CISO不与高管和董事会接触时,业务决策就会避开网络风险管理或威胁建模等事情。CISO被认为是习惯说“不”的专家,不能充分保护业务,而网络安全团队则处于持续的灭火状态。CISO倾向于从这种“赢不了”的场景中离职。
25%的人认为,当他们的企业将网络安全视为监管合规时,CISO会更换工作。如今,大多数企业已经开始理解强大的网络安全复选框和合规性复选框之间的区别。但可惜,有些人还没有。这是一个潜在的职业杀手,所以聪明的CISO会迅速离开以合规为中心的公司。
CISO求职的危险信号
显而易见的是,CISO的成功和任期与所在企业的执行管理决策高度相关。虽然我确信CISO在面试过程中从猎头、人力资源经理和高管那里得到了一个美好的承诺,但精明的安全高管可能知道他们在前几周是否有成功的机会。在这个时候,质疑过后,往往是更新简历和职业发展计划。
在找工作的过程中,CISO也应该注意危险信号。如果一个企业在过去五年中更换了多位CISO,那么前任CISO可能在其他地方获得了更多的薪资,或者,可能是文化、预算和管理障碍使企业成为CISO的“无人区”,入职需谨慎。
