導致企業安全主管“翻車“的十個“軟傷”
自從 2014 年 Target、Home Depot 先后遭遇大規模數據泄露事件,大型行業企業的高級管理層開始接觸到一個全新的職位名稱:CISO(首席信息安全官)。Target 數據泄露事故導致公司當年利潤暴跌 46%,CIO 和 CEO 原地引咎辭職,隨后 Target 董事會請來了更懂安全的前國土安全部顧問擔當 CIO,同時還在公司歷史上首次設立了 CISO 崗位。Home Depot 也如法炮制,請來安全大咖 Jamil Farshchi 擔任 CISO,當時 Home Depot 給 CISO 這個崗位開出的價碼是年薪數十萬美元,一個不痛不癢的價位。
2018 年,信用報告公司 Equifax 因泄露 1.4 億人的敏感信息被聯邦政府罰款7億美元,CEO Rich Smith 火速辭職,這一次 Equifax 決定從 Home Depot 把 Jamil Farshchi 挖過來,并開出了 389 萬美元的天價年薪。類似的,2012 年 Matt Comyns 的安全主管身價是 65 萬年薪,2019 年,相同崗位的價碼躥升到 250 萬美元。
僅僅四年時間,美國 CISO 的身價從數十萬美元,飆漲到了數百萬美元。原因很簡單,一方面是高級安全人才的全球性短缺,另一方面是因為違規成本高得嚇人,根據 IBM 公司和 Ponemon Institute 的一項研究,美國公司違規的平均成本約為 800 萬美元。
不斷加碼的薪酬方案和不斷擴大的職責,對于曾經混跡IT部門,從未引起高級管理層注意的一群信息安全 “工頭” 來說是一個巨大的轉變。他們似乎一夜之間變成了鋼鐵俠,扛著 “總鏢頭” 的旗號來到了董事會的桌前。但是在這條金光燦燦的職業道路上,也暗藏著各種危機,如果不能做到 “預防性駕駛”,那么無限風光的 “鋼鐵俠”,隨時有可能變成 “美國隊長”(背鍋俠)。
根據 Osterman Research 對全球 408 位 CISO 的調查,55% 的受訪者任期不到三年,30% 不到 2 年(美國勞工部的數據是平均 4.2 年)。這些離職的 CISO 中,相當一部分 “翻車” 的原因并非是成了重大數據泄露事故的背鍋俠,而是因為日常管理方面存在 “軟傷“。
以下,我們總結了企業信息安全主管和CISO半路翻車的十大常見原因:
1. 不能用管理層能理解的方式說話
網絡安全現在是董事會級別的議程項目,董事會成員和整個公司高層都希望 CISO 對企業安全態勢的強項、弱點、改進計劃以及所有這些措施如何匹配企業的總體戰略發表建議。Parkview Health 信息安全副總裁兼 CISO,卡內基梅隆大學亨氏信息系統與公共政策學院副教授 Darrell Keeling 說,許多 CISO 通過一系列技術職位升任該職位,還沒有準備好發表董事會期望的戰略級演講。
他們沒有得到指導或訓練,無法與組織的高層對話。
結果,一些 CISO 很難以董事會期望的,以戰略業務為重點的術語來提出與安全相關的問題,從而使董事會對安全主管的印象不佳。一些 CISO 干脆選擇讓 CIO,CTO 或其他高管代表代為出席,這進一步增加了董事會和 CISO 之間的疏遠感。而事故發生時,人們常常會抱怨 CISO 對董事會而言并不透明。
2. 報喜不報憂
在 CISO 與公司管理層和董事會溝通時,一個常見的問題就是 CISO 傾向掩飾問題,僅向董事會展示積極指標。一些 CISO 之所以這樣做,是因為他們不希望流露出無力感,或者錯誤地認為挑戰已超出了董事會的討論(理解)范圍。
無論出于何種原因,CISO 都會執迷于 '我不能告訴董事會,至少不能讓他們知道…
但是董事會很少會被糊弄過去。
雖然可能并不是安全專家,但董事會成員知道企業信息安全問題比一堆綠色小指標看上去更加復雜。而且,他們很可能會對在交付報告時無法做到開誠布公和透明的 CISO 失去信心。董事會不想被告知一切都很棒。CISO必須能夠告訴他們企業的實際情況,必須對他們進行誠實的評估,并給他們信心,拿出一個切實的推進計劃。
3. 給老板“驚喜”
CEO 或者任何其他直接或間接監管安全職能的高管都不喜歡 “驚喜”。
老板們可不希望在攻擊或者事故發生后,才被 CISO 告知這些威脅確實存在,而且需要花一大筆錢亡羊補牢。網絡安全培訓組織 SANS 研究所新興安全趨勢總監John Pescatore表示,CEO 非常不希望以這種方式了解企業的安全需求。如果發生這種事,CISO 離 “涼涼” 就不遠了。
4. 不愛惜羽毛
對于 CISO 來說,作為行走江湖的 “總瓢把子”,沒有什么比職業操守和聲譽更重要的了。如果 CISO 提出重要的安全問題、合規問題或道德問題,但公司上下沒有人關心,那么這位 CISO 就該小心了。CISO 可能會與其他不認同安全措施的企業領導者發生沖突。如果選擇同流合污、一團和氣,那么 CISO 就會面臨自身的職業榮譽受到損害。
因此,CISO 在上崗之前或面試過程中務必不要忘記試探企業和高管關鍵價值觀,確定企業的道德立場在可以接受的范圍內。
5. 錯誤的安全價值觀
想坐穩 CISO 的位子,最重要的一點是不能讓安全成為業務增長的障礙。安全不能給企業數字化轉型和敏捷化 “拖后腿”。如果一個 CISO 或者安全團隊只會說:“對不起,'我們不能確保新業務計劃(產品或者app)是安全的,我們還需要做一些不可描述的工作。” 那么 CISO 就會被企業業務部門視為絆腳石和攔路虎,一個 “no” 先生是長不了的。
6. 抓小放大
Osterman Research 的 2019 CISO 調查顯示,只有6.8% 的 CISO 在重大信息安全事故后成為 “背鍋俠” 被勸退,大多數 CISO 都不會在發生違規事件時被解雇,但如果這些事故是職責范圍內的疏忽,忽略或錯過了重大威脅預警信號,就可能丟掉飯碗。例如失察被收購公司中的安全漏洞,或者嚴重低估企業在已知安全威脅中面臨的風險。即使事后解決了由此產生的問題,首席執行官和董事會也會對 CISO 失去信心
7. 落后于競爭對手
當類似的安全威脅席卷同行業多家企業的時候,企業高管和董事會就有機會觀察誰家的 CISO 沒有穿泳褲,例如業務恢復速度落后于同行的 CISO 往往也會被追究責任,造成損失 “鶴立雞群” 的企業的 CISO,往往也會被管理層彈劾。
8. 簽賣身契
CISO 入職前要看清楚組織結構圖和預算。如果 CISO 職位在該企業的組織結構圖上被下調了幾個級別(例如向 CEO、CIO 以外的較低管理層匯報),而且薪酬也大大落后于其他高管,這樣的企業往往是在找一個關鍵時候頂上去的 “背鍋俠“。
組織結構圖和預算比例能夠直觀地反映企業對安全的重視程度以及定位,有些企業將安全看作是業務的推動力,而有些企業認為安全是成本中心。
《福布斯》和 Fortinet 在 2019 年對 209 個 CISO 進行的調查發現,有 36% 的 CISO 表示預算不足對他們的網絡安全計劃有重大影響,18% 的人認為預算限制是最大的限制。
9. 糟糕的辦公室氣氛
根據 (ISC)² 2019 年網絡安全勞動力研究報告:網絡安全行業中的女性僅占網絡安全勞動力的四分之一,在其他一些報告中這個比例更低,例如 Frost&Sullivan 的一個調查數據顯示,全球信息安全從業人員只有 10% 是女性,而且這個比例常年穩定。不僅僅是性別比例嚴重失衡,很多企業的辦公室文化非常糟糕,冰冷而且同事間充滿敵意和戒備。如果今天的 CISO 不能打造良好的辦公室文化,那么 CEO 和董事會就會謀求換將。
10. 不注重團隊建設
沒有 CISO 可以無所不能,試圖扮演超級賽亞人通常會危及企業安全并扭曲自己的職業生涯。《網絡安全領導力:為現代組織提供動力》一書的作者 Hasib 說:如果 CISO 不能 “兼容” 有才華的人,那么他們注定不會成功。
不少 CISO 過于強調基于技術的安全解決方案,而不是平衡技術、人員與流程的網絡安全三要素。在安全形勢異常嚴峻的今天,CISO 必須將打造一支優秀團隊作為頭等大事,這也是進一步吸引更多安全人才的先決條件。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
