导致企业安全主管“翻车“的十个“软伤”

不断加码的薪酬方案和不断扩大的职责,对于曾经混迹IT部门,从未引起高级管理层注意的一群信息安全“工头”来说是一个巨大的转变。他们似乎一夜之间变成了钢铁侠,扛着“总镖头”的旗号来到了董事会的桌前。

网络安全人才应当感到幸福,当其他领域IT人才34岁就被逼上狼牙山的时候,我们的职业生涯在这个年龄段才刚刚进入上升期。但是我们也要正视自己的不足,尤其是在网络安全上升到战略层面的今天,走在队伍最前面的,技术过硬的CISO们要注意避免一些“软伤“。

导致企业安全主管“翻车“的十个“软伤”

自从2014年Target、Home Depot先后遭遇大规模数据泄露事件,大型行业企业的高级管理层开始接触到一个全新的职位名称:CISO(首席信息安全官)。Target数据泄露事故导致公司当年利润暴跌46%,CIO和CEO原地引咎辞职,随后Target董事会请来了更懂安全的前国土安全部顾问担当CIO,同时还在公司历史上首次设立了CISO岗位。Home Depot也如法炮制,请来安全大咖Jamil Farshchi担任CISO,当时Home Depot给CISO这个岗位开出的价码是年薪数十万美元,一个不痛不痒的价位。

2018年,信用报告公司Equifax因泄露1.4亿人的敏感信息被联邦政府罚款7亿美元,CEO Rich Smith火速辞职,这一次Equifax决定从Home Depot把Jamil Farshchi挖过来,并开出了389万美元的天价年薪。类似的,2012年Matt Comyns的安全主管身价是65万年薪,2019年,相同岗位的价码蹿升到250万美元。

仅仅四年时间,美国CISO的身价从数十万美元,飙涨到了数百万美元。原因很简单,一方面是高级安全人才的全球性短缺,另一方面是因为违规成本高得吓人,根据IBM公司和Ponemon Institute的一项研究,美国公司违规的平均成本约为800万美元。

不断加码的薪酬方案和不断扩大的职责,对于曾经混迹IT部门,从未引起高级管理层注意的一群信息安全“工头”来说是一个巨大的转变。他们似乎一夜之间变成了钢铁侠,扛着“总镖头”的旗号来到了董事会的桌前。但是在这条金光灿灿的职业道路上,也暗藏着各种危机,如果不能做到“预防性驾驶”,那么无限风光的“钢铁侠”,随时有可能变成“美国队长”(背锅侠)。

根据Osterman Research对全球408位CISO的调查,55%的受访者任期不到三年,30%不到2年(美国劳工部的数据是平均4.2年)。这些离职的CISO中,相当一部分“翻车”的原因并非是成了重大数据泄露事故的背锅侠,而是因为日常管理方面存在“软伤“。

以下,我们总结了企业信息安全主管和CISO半路翻车的十大常见原因:

1、不能用管理层能理解的方式说话

网络安全现在是董事会级别的议程项目,董事会成员和整个公司高层都希望CISO对企业安全态势的强项、弱点、改进计划以及所有这些措施如何匹配企业的总体战略发表建议。Parkview Health信息安全副总裁兼CISO,卡内基梅隆大学亨氏信息系统与公共政策学院副教授Darrell Keeling说,许多CISO通过一系列技术职位升任该职位,还没有准备好发表董事会期望的战略级演讲。

他们没有得到指导或训练,无法与组织的高层对话。

结果,一些CISO很难以董事会期望的,以战略业务为重点的术语来提出与安全相关的问题,从而使董事会对安全主管的印象不佳。一些CISO干脆选择让CIO,CTO或其他高管代表代为出席,这进一步增加了董事会和CISO之间的疏远感。而事故发生时,人们常常会抱怨CISO对董事会而言并不透明。

2、报喜不报忧

在CISO与公司管理层和董事会沟通时,一个常见的问题就是CISO倾向掩饰问题,仅向董事会展示积极指标。一些CISO之所以这样做,是因为他们不希望流露出无力感,或者错误地认为挑战已超出了董事会的讨论(理解)范围。

无论出于何种原因,CISO都会执迷于‘我不能告诉董事会,至少不能让他们知道…

但是董事会很少会被糊弄过去。

虽然可能并不是安全专家,但董事会成员知道企业信息安全问题比一堆绿色小指标看上去更加复杂。而且,他们很可能会对在交付报告时无法做到开诚布公和透明的CISO失去信心。董事会不想被告知一切都很棒。CISO必须能够告诉他们企业的实际情况,必须对他们进行诚实的评估,并给他们信心,拿出一个切实的推进计划。

3、给老板“惊喜”

CEO或者任何其他直接或间接监管安全职能的高管都不喜欢“惊喜”。

老板们可不希望在攻击或者事故发生后,才被CISO告知这些威胁确实存在,而且需要花一大笔钱亡羊补牢。网络安全培训组织SANS研究所新兴安全趋势总监John Pescatore表示,CEO非常不希望以这种方式了解企业的安全需求。如果发生这种事,CISO离“凉凉”就不远了。

4、不爱惜羽毛

对于CISO来说,作为行走江湖的“总瓢把子”,没有什么比职业操守和声誉更重要的了。如果CISO提出重要的安全问题、合规问题或道德问题,但公司上下没有人关心,那么这位CISO就该小心了。CISO可能会与其他不认同安全措施的企业领导者发生冲突。如果选择同流合污、一团和气,那么CISO就会面临自身的职业荣誉受到损害。

因此,CISO在上岗之前或面试过程中务必不要忘记试探企业和高管关键价值观,确定企业的道德立场在可以接受的范围内。

5、错误的安全价值观

想坐稳CISO的位子,最重要的一点是不能让安全成为业务增长的障碍。安全不能给企业数字化转型和敏捷化“拖后腿”。如果一个CISO或者安全团队只会说:“对不起,’我们不能确保新业务计划(产品或者app)是安全的,我们还需要做一些不可描述的工作。”那么CISO就会被企业业务部门视为绊脚石和拦路虎,一个“no”先生是长不了的。

6、抓小放大

Osterman Research的2019 CISO调查显示,只有6.8%的CISO在重大信息安全事故后成为“背锅侠”被劝退,大多数CISO都不会在发生违规事件时被解雇,但如果这些事故是职责范围内的疏忽,忽略或错过了重大威胁预警信号,就可能丢掉饭碗。例如失察被收购公司中的安全漏洞,或者严重低估企业在已知安全威胁中面临的风险。即使事后解决了由此产生的问题,首席执行官和董事会也会对CISO失去信心

7、落后于竞争对手

当类似的安全威胁席卷同行业多家企业的时候,企业高管和董事会就有机会观察谁家的CISO没有穿泳裤,例如业务恢复速度落后于同行的CISO往往也会被追究责任,造成损失“鹤立鸡群”的企业的CISO,往往也会被管理层弹劾。

8、签卖身契

CISO入职前要看清楚组织结构图和预算。如果CISO职位在该企业的组织结构图上被下调了几个级别(例如向CEO、CIO以外的较低管理层汇报),而且薪酬也大大落后于其他高管,这样的企业往往是在找一个关键时候顶上去的“背锅侠“。

组织结构图和预算比例能够直观地反映企业对安全的重视程度以及定位,有些企业将安全看作是业务的推动力,而有些企业认为安全是成本中心。

《福布斯》和Fortinet在2019年对209个CISO进行的调查发现,有36%的CISO表示预算不足对他们的网络安全计划有重大影响,18%的人认为预算限制是最大的限制。

9、糟糕的办公室气氛

根据(ISC)²2019年网络安全劳动力研究报告:网络安全行业中的女性仅占网络安全劳动力的四分之一,在其他一些报告中这个比例更低,例如Frost&Sullivan的一个调查数据显示,全球信息安全从业人员只有10%是女性,而且这个比例常年稳定。不仅仅是性别比例严重失衡,很多企业的办公室文化非常糟糕,冰冷而且同事间充满敌意和戒备。如果今天的CISO不能打造良好的办公室文化,那么CEO和董事会就会谋求换将。

10、不注重团队建设

没有CISO可以无所不能,试图扮演超级赛亚人通常会危及企业安全并扭曲自己的职业生涯。《网络安全领导力:为现代组织提供动力》一书的作者Hasib说:如果CISO不能“兼容”有才华的人,那么他们注定不会成功。

不少CISO过于强调基于技术的安全解决方案,而不是平衡技术、人员与流程的网络安全三要素。在安全形势异常严峻的今天,CISO必须将打造一支优秀团队作为头等大事,这也是进一步吸引更多安全人才的先决条件。

本文来自信息化观察者网,转载请注明出处。