是什么原因造成了CISO的不满?研究人员、顾问和 CISO 们本身列举了一系列当前不满的原因,从缺乏高层支持到由最近实施的安全法规(如美国证券交易委员会(SEC)最近实施的法规)带来的责任增加。
在几起近期事件中,CISOs 被法律个人追究处理和报告安全漏洞的责任,这一点也无济于事,特别是前 Uber CISO Joe Sullivan 的高调案例,他因未报告 2016 年的一次数据泄露而被判处三年缓刑,罪名是重罪妨碍司法公正和未履行职责。
拥有 25 年网络安全、IT、数据隐私和风险管理经验的高管 Nick Shevelyov 表示:“今天这个角色的设定注定失败。”他现在提供网络安全咨询和顾问服务。
但Shevelyov 和其他人表示,情况并非非得如此。高管、董事和 CISO 们本身可以推动角色范围的改进,使这一职位为成功做好准备,这反过来将意味着更高的工作满意度,而且或许更重要的是,更安全的组织。
“这是一个充满挑战的时期,也是一个充满机会的时期,”招聘公司 Artico Search 的合伙人 Steven Martano 说。
CISO 的不满、职业倦怠及其后果
来自 IANS Research 和 Artico Search 的《2023-2024年 CISO 状况报告》发现,CISO 的工作满意度为64%,较2022年的74%和2021年的69%有所下降。愿意换工作的 CISO 比例为75%。安全软件公司 Proofpoint 的《2023年 CISO 之声报告》也揭示了一些令人不安的数据,显示73%的美国 CISO 在过去一年经历了职业倦怠。
同时,代表安全软件制造商 Devo Technology 的 Wakefield Research 进行的《网络安全职业倦怠调查:快速阅读报告》发现,83%的受访安全专业人员表示,他们或他们部门中的某人因职业倦怠在其角色中犯了错误,导致了安全漏洞。约77%的人表示,工作中的压力水平直接影响了保护私人客户数据的安全。还有85%的人承认,由于职业倦怠,他们将不得不在未来一年内更换工作角色、离开公司或同时离开公司并更换职业。
专家们表示,所有这些因素都在导致人员流动。根据《2023年CISO人力和人数报告》显示,CISO的平均任期只有18到26个月(远低于一般C级高管的4.9年任期),该报告由Cybersecurity Ventures发布。
此外,研究公司Gartner估计,到2025年将近一半的网络安全领导者将更换角色,其中25%因工作相关压力转向不同职位。
是什么驱动了CISO的不满?
仅将这些数字归咎于安全工作的压力性质似乎很容易,尤其是随着威胁的数量和速度增加,需要保护的基础设施和数据量也在扩大。
但这种说法过于简化了问题,Gartner的副总裁兼分析师Chris Mixter表示。毕竟,典型的CISO在安全行业工作多年后才晋升为最高安全职位,他们已经习惯了压力、长时间工作和全员出动的时刻。他们是以使命为驱动的,并且非常清楚其中的高风险。
相反,CISO们最常指出的是组织问题是他们不满的原因,Mixter和其他消息来源说。
其中一个问题与CISO在其组织中的位置有关。许多人继续争取在执行层或董事会中占有一席之地,他们表示在战略决策中尚未得到平等的包含,也没有与最高级别的执行官和董事会进行他们认为必需的可见性和沟通。
因此,许多CISO表示,他们没有得到高层对安全措施、风险缓解努力和提供所需资金的支持和认可。这导致CISO被拉向太多方向,而且在适当优先安排他们的时间和资源方面能力有限。
缺乏C级支持可能令人沮丧
ISSQUARED的CISO Nikolay Chernavsky说:“不满的原因是缺乏执行管理层的支持。” ISSQUARED提供管理的IT和安全服务以及软件产品。他表示,当CISO们的关于所需安全措施和可接受风险的观点被忽视时,他们会表达挫败感;当董事会和CEO没有明确他们对这些问题的立场时;或者当这些领导人不承认CISO在降低风险方面的工作时——尤其是当CISO面临更多问责和责任时。
可以理解的是,CISO们避免接受采访公开分享他们对这些问题的挫败感。然而,IANS Research的报告提到了这些问题,例如,只有36%的CISO表示他们从董事会那里获得了明确的风险容忍度指导。
如今,增加了CISO所面临的责任,这是因为美国证券交易委员会(SEC)新的网络披露规则以及其他监管和法律要求。这种增加的责任与许多CISO不被其组织的董事及高管(D&O)责任保险所覆盖的事实相结合。(尽管他们的头衔中有“高管”部分,但许多公司并不将CISO视为公司高管。)
这些动态加剧了安全决策的责任与CISO实际执行这些决策的权力之间的差距,Shevelyov说,他是《网络战争与和平:以历史为我们的向导,今天构建数字信任》一书的作者。
长期的安全领导者表示,这些动态以及责任与权力之间的差距,正驱动着市场上的不满、职业倦怠和人员流动。“核心问题是CISO感受到缺乏支持,特别是缺乏有意义的支持,”IANS Research的高级研究总监Nick Kakolowski说。“CISO们感觉自己像是在一个孤岛上操作,而当出现问题时,他们成了替罪羊。”
组织需要变革以保持CISO的满意度
安全领导者表示,首席执行官、董事和其他C级高管需要听到这一信息,然后进行调整,如果他们想保留他们的CISO并确保其安全姿态符合应有的标准。
Shevelyov表示,这些调整必须缩小CISO目前拥有的高度责任与他们在许多组织中持有的较低权力水平之间的差距。缩小这一差距将有助于CISO在执行层获得一个完整的席位,同时让其他“各种利益相关者在[安全]游戏中有所投入”。
他补充说,这也有助于确保CISO的信息能够准确地呈现给CEO和董事会,Shevelyov和其他人表示,多个消息来源强调这是改善CISO如何看待其职位和其在角色中的效果的首要任务。
“有效的CISO需要与董事会直接对话,”Mixter说,他解释称这种直接的联系使CISO和董事会能够发展并对齐他们对风险、安全需求以及满足这些共同目标所需资源的理解。
Kakolowski同意这一点,他说:“我们看到,当CISO定期与董事会接触时,董事会开始更加意识到安全问题,并对CISO提供更多支持。”
CISO应从其组织寻求什么
CISO可以——也应该——为特定的做法辩护,包括他们被纳入D&O保险政策,美国国家网络安全中心网络委员会主席及NCC 2023年报告《伟大的CISO辞职》的共同作者Rick Crandall说。
Crandall表示,他和NCC还认为,CISO应该与董事会有直接的联系,包括与董事会(或其某个委员会)至少每年举行一次的执行会议。(他们指出,其他高管,特别是首席财务官,有这样的执行会议,其中只有该高管与董事会一起,以鼓励开放和坦率的讨论。)
Crandall补充说:“应该有机会让CISO被提问并直接回答,无需任何策划,这应该得到[所有其他高管的]认可。”Crandall同时也是Aspen Ventures的管理合伙人,同时担任多个董事会成员。
分离安全和IT预算,继任计划可以提供帮助
此外,Crandall表示,CISO应要求拥有独立的安全预算,而不是从IT等其他部门的预算中划拨资金,这有助于使责任与权力对齐。
Mixter还建议CISO“对自己的时间无情”,意味着他们需要优先考虑对他们关注的需求和他们与组织中其他人的关系。正如Mixter所指出的,“现在每个人都希望CISO出现在他们的桌子旁,但CISO不能面面俱到,也不是所有的关系都同等重要。”
他进一步建议CISO创建继任计划。他解释说,这使CISO能够培养所需的后备力量,从而更有信心地委派更关键的工作。这一举措有助于CISO工作更高效、更有效,通常也会使他们在职位上更加满意。
“CISO需要一个世界级的团队才能有效工作,”Mixter说,并补充说研究证实“有继任计划的团队表现更好、更强”。但研究显示,只有大约一半的CISO实施了这些计划。
有希望——一些组织正在关注和解决CISO面临的问题
CISO、高级执行官和董事会正在不同程度上解决这些问题。PwC专业服务公司网络风险和监管实践的负责人Joe Nocera表示,他看到越来越多的CISO在培养人际关系和商业敏感性,这使他们在执行桌上获得了平等的席位。他还看到越来越多的CISO寻求D&O保险覆盖和与董事会的执行会议。
一些董事也在采取行动。国家公司董事协会(NACD)数字和网络内容发展高级经理Katie Swafford在一份准备好的声明中表示,NACD 2023年的董事会实践和监督调查发现,CISO是最频繁向公共和私营公司董事会报告网络安全情况的高管之一。
Swafford指出,“在需要技术监督的公司中,CISO将发现董事会愿意帮助他们增长其业务、战略和财务知识。”
然而,许多CISO继续表示他们争取所需的支持和资源感到困难。
Nocera说:“我们接触的CISO提到了职位的压力、责任以及他们的个人责任如何发生了显著变化。”他补充说,“与五年或十年前相比,今天这个角色承担的责任要多得多。虽然我看到越来越多的CISO在桌子旁边有了一席之地,但其他人[只是]在房间里,坐在后排。”
Mixter表示,CISO不必接受这种状况,他解释说,那些对董事会和执行团队对安全给予的关注和支持水平不满意的人可以选择离开。正如他所指出的,“供需关系今天对CISO有利。”
