信息化觀察網(wǎng)

網(wǎng)絡(luò)安全人才應(yīng)當(dāng)感到幸福，當(dāng)其他領(lǐng)域IT人才34歲就被逼上狼牙山的時(shí)候，我們的職業(yè)生涯在這個(gè)年齡段才剛剛進(jìn)入上升期。但是我們也要正視自己的不足，尤其是在網(wǎng)絡(luò)安全上升到戰(zhàn)略層面的今天，走在隊(duì)伍最前面的，技術(shù)過(guò)硬的CISO們要注意避免一些“軟傷“。

自從2014年Target、Home Depot先后遭遇大規(guī)模數(shù)據(jù)泄露事件，大型行業(yè)企業(yè)的高級(jí)管理層開(kāi)始接觸到一個(gè)全新的職位名稱(chēng)：CISO（首席信息安全官）。Target數(shù)據(jù)泄露事故導(dǎo)致公司當(dāng)年利潤(rùn)暴跌46%，CIO和CEO原地引咎辭職，隨后Target董事會(huì)請(qǐng)來(lái)了更懂安全的前國(guó)土安全部顧問(wèn)擔(dān)當(dāng)CIO，同時(shí)還在公司歷史上首次設(shè)立了CISO崗位。Home Depot也如法炮制，請(qǐng)來(lái)安全大咖Jamil Farshchi擔(dān)任CISO，當(dāng)時(shí)Home Depot給CISO這個(gè)崗位開(kāi)出的價(jià)碼是年薪數(shù)十萬(wàn)美元，一個(gè)不痛不癢的價(jià)位。

2018年，信用報(bào)告公司Equifax因泄露1.4億人的敏感信息被聯(lián)邦政府罰款7億美元，CEO Rich Smith火速辭職，這一次Equifax決定從Home Depot把Jamil Farshchi挖過(guò)來(lái)，并開(kāi)出了389萬(wàn)美元的天價(jià)年薪。類(lèi)似的，2012年Matt Comyns的安全主管身價(jià)是65萬(wàn)年薪，2019年，相同崗位的價(jià)碼躥升到250萬(wàn)美元。

僅僅四年時(shí)間，美國(guó)CISO的身價(jià)從數(shù)十萬(wàn)美元，飆漲到了數(shù)百萬(wàn)美元。原因很簡(jiǎn)單，一方面是高級(jí)安全人才的全球性短缺，另一方面是因?yàn)檫`規(guī)成本高得嚇人，根據(jù)IBM公司和Ponemon Institute的一項(xiàng)研究，美國(guó)公司違規(guī)的平均成本約為800萬(wàn)美元。

不斷加碼的薪酬方案和不斷擴(kuò)大的職責(zé)，對(duì)于曾經(jīng)混跡IT部門(mén)，從未引起高級(jí)管理層注意的一群信息安全“工頭”來(lái)說(shuō)是一個(gè)巨大的轉(zhuǎn)變。他們似乎一夜之間變成了鋼鐵俠，扛著“總鏢頭”的旗號(hào)來(lái)到了董事會(huì)的桌前。但是在這條金光燦燦的職業(yè)道路上，也暗藏著各種危機(jī)，如果不能做到“預(yù)防性駕駛”，那么無(wú)限風(fēng)光的“鋼鐵俠”，隨時(shí)有可能變成“美國(guó)隊(duì)長(zhǎng)”（背鍋俠）。

根據(jù)Osterman Research對(duì)全球408位CISO的調(diào)查，55%的受訪者任期不到三年，30%不到2年（美國(guó)勞工部的數(shù)據(jù)是平均4.2年）。這些離職的CISO中，相當(dāng)一部分“翻車(chē)”的原因并非是成了重大數(shù)據(jù)泄露事故的背鍋俠，而是因?yàn)槿粘９芾矸矫娲嬖?ldquo;軟傷“。

以下，我們總結(jié)了企業(yè)信息安全主管和CISO半路翻車(chē)的十大常見(jiàn)原因：

1、不能用管理層能理解的方式說(shuō)話(huà)

網(wǎng)絡(luò)安全現(xiàn)在是董事會(huì)級(jí)別的議程項(xiàng)目，董事會(huì)成員和整個(gè)公司高層都希望CISO對(duì)企業(yè)安全態(tài)勢(shì)的強(qiáng)項(xiàng)、弱點(diǎn)、改進(jìn)計(jì)劃以及所有這些措施如何匹配企業(yè)的總體戰(zhàn)略發(fā)表建議。Parkview Health信息安全副總裁兼CISO，卡內(nèi)基梅隆大學(xué)亨氏信息系統(tǒng)與公共政策學(xué)院副教授Darrell Keeling說(shuō)，許多CISO通過(guò)一系列技術(shù)職位升任該職位，還沒(méi)有準(zhǔn)備好發(fā)表董事會(huì)期望的戰(zhàn)略級(jí)演講。

他們沒(méi)有得到指導(dǎo)或訓(xùn)練，無(wú)法與組織的高層對(duì)話(huà)。

結(jié)果，一些CISO很難以董事會(huì)期望的，以戰(zhàn)略業(yè)務(wù)為重點(diǎn)的術(shù)語(yǔ)來(lái)提出與安全相關(guān)的問(wèn)題，從而使董事會(huì)對(duì)安全主管的印象不佳。一些CISO干脆選擇讓CIO，CTO或其他高管代表代為出席，這進(jìn)一步增加了董事會(huì)和CISO之間的疏遠(yuǎn)感。而事故發(fā)生時(shí)，人們常常會(huì)抱怨CISO對(duì)董事會(huì)而言并不透明。

2、報(bào)喜不報(bào)憂(yōu)

在CISO與公司管理層和董事會(huì)溝通時(shí)，一個(gè)常見(jiàn)的問(wèn)題就是CISO傾向掩飾問(wèn)題，僅向董事會(huì)展示積極指標(biāo)。一些CISO之所以這樣做，是因?yàn)樗麄儾幌Ｍ髀冻鰺o(wú)力感，或者錯(cuò)誤地認(rèn)為挑戰(zhàn)已超出了董事會(huì)的討論（理解）范圍。

無(wú)論出于何種原因，CISO都會(huì)執(zhí)迷于‘我不能告訴董事會(huì)，至少不能讓他們知道…

但是董事會(huì)很少會(huì)被糊弄過(guò)去。

雖然可能并不是安全專(zhuān)家，但董事會(huì)成員知道企業(yè)信息安全問(wèn)題比一堆綠色小指標(biāo)看上去更加復(fù)雜。而且，他們很可能會(huì)對(duì)在交付報(bào)告時(shí)無(wú)法做到開(kāi)誠(chéng)布公和透明的CISO失去信心。董事會(huì)不想被告知一切都很棒。CISO必須能夠告訴他們企業(yè)的實(shí)際情況，必須對(duì)他們進(jìn)行誠(chéng)實(shí)的評(píng)估，并給他們信心，拿出一個(gè)切實(shí)的推進(jìn)計(jì)劃。

3、給老板“驚喜”

CEO或者任何其他直接或間接監(jiān)管安全職能的高管都不喜歡“驚喜”。

老板們可不希望在攻擊或者事故發(fā)生后，才被CISO告知這些威脅確實(shí)存在，而且需要花一大筆錢(qián)亡羊補(bǔ)牢。網(wǎng)絡(luò)安全培訓(xùn)組織SANS研究所新興安全趨勢(shì)總監(jiān)John Pescatore表示，CEO非常不希望以這種方式了解企業(yè)的安全需求。如果發(fā)生這種事，CISO離“涼涼”就不遠(yuǎn)了。

4、不愛(ài)惜羽毛

對(duì)于CISO來(lái)說(shuō)，作為行走江湖的“總瓢把子”，沒(méi)有什么比職業(yè)操守和聲譽(yù)更重要的了。如果CISO提出重要的安全問(wèn)題、合規(guī)問(wèn)題或道德問(wèn)題，但公司上下沒(méi)有人關(guān)心，那么這位CISO就該小心了。CISO可能會(huì)與其他不認(rèn)同安全措施的企業(yè)領(lǐng)導(dǎo)者發(fā)生沖突。如果選擇同流合污、一團(tuán)和氣，那么CISO就會(huì)面臨自身的職業(yè)榮譽(yù)受到損害。

因此，CISO在上崗之前或面試過(guò)程中務(wù)必不要忘記試探企業(yè)和高管關(guān)鍵價(jià)值觀，確定企業(yè)的道德立場(chǎng)在可以接受的范圍內(nèi)。

5、錯(cuò)誤的安全價(jià)值觀

想坐穩(wěn)CISO的位子，最重要的一點(diǎn)是不能讓安全成為業(yè)務(wù)增長(zhǎng)的障礙。安全不能給企業(yè)數(shù)字化轉(zhuǎn)型和敏捷化“拖后腿”。如果一個(gè)CISO或者安全團(tuán)隊(duì)只會(huì)說(shuō)：“對(duì)不起，’我們不能確保新業(yè)務(wù)計(jì)劃（產(chǎn)品或者app）是安全的，我們還需要做一些不可描述的工作。”那么CISO就會(huì)被企業(yè)業(yè)務(wù)部門(mén)視為絆腳石和攔路虎，一個(gè)“no”先生是長(zhǎng)不了的。

6、抓小放大

Osterman Research的2019 CISO調(diào)查顯示，只有6.8%的CISO在重大信息安全事故后成為“背鍋俠”被勸退，大多數(shù)CISO都不會(huì)在發(fā)生違規(guī)事件時(shí)被解雇，但如果這些事故是職責(zé)范圍內(nèi)的疏忽，忽略或錯(cuò)過(guò)了重大威脅預(yù)警信號(hào)，就可能丟掉飯碗。例如失察被收購(gòu)公司中的安全漏洞，或者嚴(yán)重低估企業(yè)在已知安全威脅中面臨的風(fēng)險(xiǎn)。即使事后解決了由此產(chǎn)生的問(wèn)題，首席執(zhí)行官和董事會(huì)也會(huì)對(duì)CISO失去信心

7、落后于競(jìng)爭(zhēng)對(duì)手

當(dāng)類(lèi)似的安全威脅席卷同行業(yè)多家企業(yè)的時(shí)候，企業(yè)高管和董事會(huì)就有機(jī)會(huì)觀察誰(shuí)家的CISO沒(méi)有穿泳褲，例如業(yè)務(wù)恢復(fù)速度落后于同行的CISO往往也會(huì)被追究責(zé)任，造成損失“鶴立雞群”的企業(yè)的CISO，往往也會(huì)被管理層彈劾。

8、簽賣(mài)身契

CISO入職前要看清楚組織結(jié)構(gòu)圖和預(yù)算。如果CISO職位在該企業(yè)的組織結(jié)構(gòu)圖上被下調(diào)了幾個(gè)級(jí)別（例如向CEO、CIO以外的較低管理層匯報(bào)），而且薪酬也大大落后于其他高管，這樣的企業(yè)往往是在找一個(gè)關(guān)鍵時(shí)候頂上去的“背鍋俠“。

組織結(jié)構(gòu)圖和預(yù)算比例能夠直觀地反映企業(yè)對(duì)安全的重視程度以及定位，有些企業(yè)將安全看作是業(yè)務(wù)的推動(dòng)力，而有些企業(yè)認(rèn)為安全是成本中心。

《福布斯》和Fortinet在2019年對(duì)209個(gè)CISO進(jìn)行的調(diào)查發(fā)現(xiàn)，有36％的CISO表示預(yù)算不足對(duì)他們的網(wǎng)絡(luò)安全計(jì)劃有重大影響，18％的人認(rèn)為預(yù)算限制是最大的限制。

9、糟糕的辦公室氣氛

根據(jù)(ISC)²2019年網(wǎng)絡(luò)安全勞動(dòng)力研究報(bào)告：網(wǎng)絡(luò)安全行業(yè)中的女性?xún)H占網(wǎng)絡(luò)安全勞動(dòng)力的四分之一，在其他一些報(bào)告中這個(gè)比例更低，例如Frost&Sullivan的一個(gè)調(diào)查數(shù)據(jù)顯示，全球信息安全從業(yè)人員只有10%是女性，而且這個(gè)比例常年穩(wěn)定。不僅僅是性別比例嚴(yán)重失衡，很多企業(yè)的辦公室文化非常糟糕，冰冷而且同事間充滿(mǎn)敵意和戒備。如果今天的CISO不能打造良好的辦公室文化，那么CEO和董事會(huì)就會(huì)謀求換將。

10、不注重團(tuán)隊(duì)建設(shè)

沒(méi)有CISO可以無(wú)所不能，試圖扮演超級(jí)賽亞人通常會(huì)危及企業(yè)安全并扭曲自己的職業(yè)生涯?！毒W(wǎng)絡(luò)安全領(lǐng)導(dǎo)力：為現(xiàn)代組織提供動(dòng)力》一書(shū)的作者Hasib說(shuō)：如果CISO不能“兼容”有才華的人，那么他們注定不會(huì)成功。

不少CISO過(guò)于強(qiáng)調(diào)基于技術(shù)的安全解決方案，而不是平衡技術(shù)、人員與流程的網(wǎng)絡(luò)安全三要素。在安全形勢(shì)異常嚴(yán)峻的今天，CISO必須將打造一支優(yōu)秀團(tuán)隊(duì)作為頭等大事，這也是進(jìn)一步吸引更多安全人才的先決條件。