近期,“300萬(wàn)年薪招不到勝任首席安全官”的話題成為刷屏熱點(diǎn)。隨著信息安全事件頻繁、國(guó)家監(jiān)管的加強(qiáng),“首席安全官”(CSO),這一知名度并不高的職位,逐步得到更多關(guān)注。伴隨著身價(jià)持續(xù)暴增、職責(zé)不斷擴(kuò)大,首席安全官自身也在經(jīng)歷巨大的轉(zhuǎn)變。
一、首席安全官的起源和職能
“首席安全官”一詞主要用于描述機(jī)構(gòu)中負(fù)責(zé)IT安全的主管,信息時(shí)代下有的機(jī)構(gòu)也將之稱為“首席信息安全官”(CISO),常常與首席技術(shù)官、首席安全官和首席數(shù)據(jù)官等技術(shù)領(lǐng)導(dǎo)職位并列。
但首席安全官職位在機(jī)構(gòu)中常處于邊緣地位,在管理層中的發(fā)言權(quán)與首席信息官等高管完全不可同日而語(yǔ)。甚至由于其對(duì)業(yè)務(wù)發(fā)展的“掣肘”或“負(fù)面影響”,而被視為麻煩制造者。直到今天,多數(shù)機(jī)構(gòu)一直沒有設(shè)立這一職位,在董事會(huì)為首席安全官設(shè)置席位,更是一種奢望。
當(dāng)前,重大數(shù)據(jù)泄露與勒索攻擊日益頻繁,網(wǎng)絡(luò)安全防護(hù)合規(guī)需求日益加強(qiáng),推動(dòng)更多機(jī)構(gòu)設(shè)立這一職位。同時(shí),這一職位也被賦予更多職責(zé)與期望。首席安全官正在由諳熟安全技術(shù)與工具的領(lǐng)導(dǎo),轉(zhuǎn)變?yōu)槌珜?dǎo)安全文化、具備良好的溝通與領(lǐng)導(dǎo)能力,賦能業(yè)務(wù)發(fā)展的商業(yè)領(lǐng)導(dǎo)。首席安全官的職能與角色正在被重新定義。
1995年,一名黑客闖入了花旗銀行的計(jì)算機(jī)系統(tǒng),竊取了超過(guò)1000萬(wàn)美元。隨后,信息安全專家斯蒂夫·凱茨(Steve Katz)加入花旗銀行,并被任命為首席信息安全官,被公認(rèn)為全球第一個(gè)首席信息安全官。企業(yè)和機(jī)構(gòu)從此引入了一個(gè)新職位,以應(yīng)對(duì)維護(hù)技術(shù)基礎(chǔ)設(shè)施的信息和運(yùn)營(yíng)安全的不斷增長(zhǎng)需求。在時(shí)任首席執(zhí)行官的支持下,斯蒂夫幫助花旗銀行建立起了安全團(tuán)隊(duì),全球?qū)<媛毎踩藛T超過(guò)600人。
1999年,美國(guó)通過(guò)“格雷姆-里奇-比利雷法案”(GLB Act),即金融現(xiàn)代化法案,要求金融企業(yè)的董事會(huì)任命一名首席信息安全官,并每年讓首席信息安全官向董事會(huì)報(bào)告安全狀況。這一法案再次推動(dòng)了首席信息安全官的設(shè)立與普及。
目前在上市公司中,我們會(huì)看到首席信息安全官(CISO)、首席安全官(CSO)或首席信息官(CIO)等不同的頭銜。很多人對(duì)這些技術(shù)領(lǐng)導(dǎo)職位之間的關(guān)系和職能劃分感到困惑。
實(shí)際上,首席信息安全官(CISO)、首席安全官(CSO)或首席信息官(CIO)三者存在著某種交叉關(guān)系。
作為最重要的IT負(fù)責(zé)人,首席信息官主要負(fù)責(zé)戰(zhàn)略IT投資、領(lǐng)導(dǎo)數(shù)字化轉(zhuǎn)型計(jì)劃、管理IT運(yùn)營(yíng)等。首席信息安全官則負(fù)責(zé)制定和實(shí)施機(jī)構(gòu)的網(wǎng)絡(luò)安全計(jì)劃、與安全供應(yīng)商合作、對(duì)員工進(jìn)行安全培訓(xùn)等。最初設(shè)立首席信息安全官這個(gè)職位是為了應(yīng)對(duì)針對(duì)金融機(jī)構(gòu)的網(wǎng)絡(luò)攻擊。在某些機(jī)構(gòu)中,安全主管需要監(jiān)督網(wǎng)絡(luò)安全政策,負(fù)責(zé)保護(hù)人員、產(chǎn)品和流程的安全,其職責(zé)大大超過(guò)“信息安全”的范疇,因而會(huì)被稱為首席安全官(CSO)。
根據(jù)工作和性格類型,研究機(jī)構(gòu)Forrester認(rèn)為首席安全官可以分為六種類型:
1.變革型:通常“活力四射”,積極推動(dòng)變革計(jì)劃,樂于推動(dòng)實(shí)現(xiàn)扭轉(zhuǎn)的項(xiàng)目。
2.救火隊(duì)型:負(fù)責(zé)重建安全團(tuán)隊(duì),在后臺(tái)默默努力降低損失和應(yīng)對(duì)公關(guān)危機(jī),在動(dòng)蕩中實(shí)現(xiàn)成長(zhǎng)。
3.合規(guī)專家型:通常在監(jiān)管嚴(yán)格的行業(yè),諳熟監(jiān)管機(jī)構(gòu)和合規(guī)要求。
4.戰(zhàn)術(shù)/運(yùn)營(yíng)型:可以輕松應(yīng)對(duì)技術(shù)復(fù)雜性的行動(dòng)派。
5.穩(wěn)定型:通常服務(wù)于不需要立即轉(zhuǎn)型的機(jī)構(gòu)。
6.直面客戶的布道者:愿意成為網(wǎng)絡(luò)安全代言人,可以憑借自身魅力獲得支持??萍计髽I(yè)此類首席安全官較多。
二、首席安全官認(rèn)可度有待提升
隨著信息技術(shù)的發(fā)展,越來(lái)越多的機(jī)構(gòu)設(shè)立了首席安全官。根據(jù)調(diào)查,2018年至2019年期間,擁有首席安全官的全球機(jī)構(gòu)數(shù)量增加了6%。根據(jù)Gartner的數(shù)據(jù),到2025年,40%的公司將擁有一個(gè)由董事會(huì)成員監(jiān)督的專門網(wǎng)絡(luò)安全委員會(huì)——今天這個(gè)數(shù)字是10%。
出色的信息安全主管可以提升機(jī)構(gòu)安全戰(zhàn)略,降低安全事件的負(fù)面影響。
但現(xiàn)實(shí)情況是:首席安全官并未獲得所需的資源和認(rèn)可。
10多年前,首席安全官還是職級(jí)較低的安全負(fù)責(zé)人,大部分工作內(nèi)容可能是簡(jiǎn)單的病毒查殺。今天,機(jī)構(gòu)負(fù)責(zé)人在碰到網(wǎng)絡(luò)入侵問題時(shí)都要向首席安全官求助,要求實(shí)施安全響應(yīng),降低影響和經(jīng)濟(jì)損失。
根據(jù)Forrester公司2020年的研究報(bào)告,只有13%的首席安全官被認(rèn)為是最高層管理人員,盡管這一數(shù)字已經(jīng)遠(yuǎn)遠(yuǎn)高于幾年前的5%或6%。這種狀況導(dǎo)致首席安全官很難擴(kuò)大其在機(jī)構(gòu)內(nèi)的影響力。大多數(shù)受訪者(56%)承認(rèn):在機(jī)構(gòu)管理層進(jìn)行戰(zhàn)略決策時(shí),并不會(huì)咨詢網(wǎng)絡(luò)安全團(tuán)隊(duì),或者咨詢得太晚。網(wǎng)絡(luò)安全也經(jīng)常缺席職能部門的重要評(píng)估。約六成(58%)受訪者表示,在實(shí)施新技術(shù)時(shí)并未留出足夠的時(shí)間進(jìn)行適當(dāng)?shù)木W(wǎng)絡(luò)安全評(píng)估或監(jiān)督。
首席安全官向誰(shuí)直接匯報(bào)工作,這往往被視為判斷在機(jī)構(gòu)地位的最簡(jiǎn)單方式:如果向首席執(zhí)行官(CEO)匯報(bào),則表明該職位屬于高管;如果向財(cái)務(wù)、風(fēng)險(xiǎn)或合規(guī)部門報(bào)告,則意味著其不屬于高管之列。
自首席安全官職位設(shè)立以來(lái),大多數(shù)都向首席信息官(CIO)匯報(bào)工作,目前多數(shù)機(jī)構(gòu)仍是這種情況。這種架構(gòu)有其優(yōu)點(diǎn):首席信息官是最了解網(wǎng)絡(luò)安全問題的高管,并且大部分網(wǎng)絡(luò)安全支出都與IT有關(guān)。
但這種設(shè)置也帶來(lái)多種內(nèi)在沖突:安全負(fù)責(zé)人與技術(shù)負(fù)責(zé)人并沒有處于平等地位,首席安全官無(wú)權(quán)從安全角度影響首席信息官推動(dòng)但存在安全問題的創(chuàng)新項(xiàng)目;此外,如果首席信息官不得不減少企業(yè)IT支出,重要的安全項(xiàng)目往往會(huì)首當(dāng)其沖。
首席信息官與首席安全官之間有著諸多不同:首席信息官關(guān)注確保使用正確的數(shù)字工具,最大限度提高效率,并不斷尋找和使用更好的數(shù)字技術(shù)。首席安全官則負(fù)責(zé)保護(hù)數(shù)據(jù)安全性、完整性;首席信息官往往是是經(jīng)驗(yàn)豐富的職場(chǎng)老手和領(lǐng)導(dǎo)者,而首席安全官更年輕、更專業(yè)。首席信息官主要是考慮IT相關(guān)的工作,首席安全官則需要領(lǐng)導(dǎo)團(tuán)隊(duì)?wèi)?yīng)對(duì)實(shí)時(shí)威脅和緩解攻擊,構(gòu)建安全架構(gòu)與開展基礎(chǔ)設(shè)施保護(hù),實(shí)施和管理安全策略,以及開展安全意識(shí)培訓(xùn)和建設(shè)安全文化。向首席信息官匯報(bào),可能會(huì)令首席安全官專注于技術(shù)解決方案,而犧牲了更全面的安全視角和思考。
網(wǎng)絡(luò)安全在機(jī)構(gòu)中的重要性日漸提升,成為作出任何重大決策前都需要考慮的第一因素,這也進(jìn)一步影響了首席信息官與首席安全官的關(guān)系。
為了將首席安全官的職位獨(dú)立出來(lái),美國(guó)紐約市在2017年設(shè)立了“網(wǎng)絡(luò)安全指揮部”,負(fù)責(zé)制定信息安全政策和標(biāo)準(zhǔn)、開展網(wǎng)絡(luò)防御和應(yīng)急響應(yīng),以及提供網(wǎng)絡(luò)防御和風(fēng)險(xiǎn)管理指導(dǎo)。負(fù)責(zé)領(lǐng)導(dǎo)這一部門的紐約市首席安全官,由原來(lái)的向CIO匯報(bào),改為直接向第一副市長(zhǎng)匯報(bào)。這一設(shè)置提高了紐約市各部門對(duì)網(wǎng)絡(luò)安全的認(rèn)知,同時(shí)為紐約各相關(guān)機(jī)構(gòu)打造了更加便于溝通聯(lián)系的中心點(diǎn)。
在專業(yè)的安全人士看來(lái),對(duì)于金融、醫(yī)療、公共事業(yè)等對(duì)網(wǎng)絡(luò)安全具有嚴(yán)重依賴的行業(yè),直接向諸如CEO此類的最高業(yè)務(wù)領(lǐng)導(dǎo)匯報(bào)工作可能是最有效的架構(gòu),這有助于安全主管獲取所需的影響力和支持。一旦遭受網(wǎng)絡(luò)攻擊或出現(xiàn)數(shù)據(jù)泄露,首席安全官與CEO直接溝通,可以加快決策流程,更快地解決網(wǎng)絡(luò)安全問題。
近年來(lái),已經(jīng)出現(xiàn)了將安全治理與安全運(yùn)營(yíng)分離的趨勢(shì)。將基礎(chǔ)運(yùn)營(yíng)職責(zé)轉(zhuǎn)給其他主管,首席安全官可以更多關(guān)注治理和戰(zhàn)略工作,真正承擔(dān)起安全治理的角色。
三、高危職位:流動(dòng)率高得驚人
與其他技術(shù)主管相比,首席安全官的流動(dòng)率仍然高得驚人。根據(jù)Cybersecurity Ventures對(duì)財(cái)富500強(qiáng)的統(tǒng)計(jì),大約24%的首席安全官的任職時(shí)間僅僅為1年。而根據(jù)ZDNet的統(tǒng)計(jì)數(shù)據(jù),首席安全官的平均任期僅為26個(gè)月。與此相對(duì)照的是,美國(guó)前1000家大型公司CIO的平均任期為54個(gè)月。
傳統(tǒng)觀點(diǎn)認(rèn)為,首席安全官離職的主要原因,是他們往往成為數(shù)據(jù)泄露事件的替罪羊。在IBM的調(diào)查中,近一半的受訪者認(rèn)為CISO是對(duì)任何數(shù)據(jù)泄露“最負(fù)責(zé)任”的人。因此,在一些知名的安全事件被披露后,均出現(xiàn)安全高管遭解職的現(xiàn)象,包括第一資本、Equifax、優(yōu)步、臉書、塔吉特百貨(Target)、摩根大通和舊金山州立大學(xué)等。因安全事件導(dǎo)致首席安全官被解雇的真實(shí)數(shù)量還有待統(tǒng)計(jì),因?yàn)榇蟛糠职踩录紩?huì)低調(diào)處理,更多細(xì)節(jié)不會(huì)被披露。
但有的時(shí)候,對(duì)首席安全官來(lái)說(shuō),發(fā)生安全事件可能是一件好事。事件會(huì)促使企業(yè)負(fù)責(zé)人開始重視安全工作,安全團(tuán)隊(duì)會(huì)獲得更多的資源和支持。
但首席安全官面臨的職業(yè)倦怠、工作與生活的平衡、不斷增加的壓力、持續(xù)惡化的網(wǎng)絡(luò)環(huán)境、人際關(guān)系,都讓其每天面臨巨大的挑戰(zhàn),而很容易選擇離職。
數(shù)據(jù)顯示,工作壓力對(duì)首席安全官人群造成了巨大負(fù)面影響,甚至引發(fā)了精神和身體健康問題、人際關(guān)系問題,在某些情況下導(dǎo)致職業(yè)倦怠,平均在26個(gè)月任期之后,首席安全官就選擇會(huì)選擇新工作。
安全公司Nominet對(duì)800位首席安全官、企業(yè)高管進(jìn)行了調(diào)查,得出以下數(shù)據(jù):88%的首席安全官稱面臨“中度或極大壓力”;48%的首席安全官表示,工作壓力對(duì)心理健康造成了不利影響。現(xiàn)階段的首席安全官仍然普遍遭遇安全預(yù)算低、工作時(shí)間長(zhǎng)、缺乏足夠權(quán)力等問題,面臨的壓力持續(xù)不斷。
首席安全官也會(huì)因?yàn)榉e極的因素而選擇離開,比如,離職實(shí)現(xiàn)經(jīng)濟(jì)回報(bào)和其他職業(yè)空間的提升。作為炙手可熱的人選,安全主管獲得的新工作機(jī)會(huì)遠(yuǎn)超其他高管。與網(wǎng)絡(luò)安全事件可能造成的巨大經(jīng)濟(jì)損失與合規(guī)風(fēng)險(xiǎn)相比,首席安全官個(gè)人的薪水就不算什么了。“300萬(wàn)年薪招不到勝任首席安全官”的現(xiàn)象出現(xiàn),代表著在巨大需求與人才匱乏之間的落差。
頻繁的離職率對(duì)安全團(tuán)隊(duì)帶來(lái)負(fù)面影響,就類似專業(yè)運(yùn)動(dòng)隊(duì)教練的變化,可能會(huì)影響團(tuán)隊(duì)的士氣和成績(jī)。因此,即使是“好的離職理由”也可能導(dǎo)致內(nèi)部權(quán)力爭(zhēng)奪和增加安全團(tuán)隊(duì)組織的不穩(wěn)定性。
四、不斷轉(zhuǎn)變:從風(fēng)險(xiǎn)防御到業(yè)務(wù)賦能
從1995到現(xiàn)在的20多年來(lái),首席安全官的職責(zé)與要求也在不斷發(fā)生變化。
作為全球首位首席安全官,斯蒂夫從1995年到2001年在花旗公司任職六年。與斯蒂夫當(dāng)年面臨的情況相比,今天的世界已經(jīng)大不相同,安全態(tài)勢(shì)已經(jīng)發(fā)生了根本性變化。數(shù)字技術(shù)和互聯(lián)網(wǎng)滲透到業(yè)務(wù)的方方面面,導(dǎo)致攻擊面急劇擴(kuò)大。同時(shí),攻擊者掌握著更加先進(jìn)的工具,網(wǎng)絡(luò)攻擊的技能顯著增長(zhǎng)。
20年前,首席安全官通常只需具有IT背景、掌握良好技術(shù),知道哪種技術(shù)解決方案最能阻止攻擊者,而不必非常了解要保護(hù)的對(duì)象。
過(guò)去十年見證了首席安全官的職責(zé)從保護(hù)IT系統(tǒng),到保護(hù)數(shù)據(jù)和信息的轉(zhuǎn)變。除了純粹的數(shù)字威脅,首席安全官的角色跨越到了物理安全領(lǐng)域,負(fù)責(zé)保護(hù)物聯(lián)網(wǎng)、工控和關(guān)鍵系統(tǒng),甚至保護(hù)遠(yuǎn)程操作人員。從安全運(yùn)營(yíng)、風(fēng)險(xiǎn)管理到合規(guī)要求,以及其他方面,首席安全官需要全面考慮和應(yīng)對(duì)各種各樣的問題。
隨著數(shù)字化轉(zhuǎn)型的深入,首席安全官目前正面臨一大關(guān)鍵時(shí)刻:如果能夠支撐數(shù)字化轉(zhuǎn)型,首席安全官將真正成為企業(yè)發(fā)展戰(zhàn)略的重要推動(dòng)者。根據(jù)《安永2021年首席執(zhí)行官研究報(bào)告》的數(shù)字,68%的首席執(zhí)行官正規(guī)劃未來(lái)12個(gè)月內(nèi)在數(shù)據(jù)和技術(shù)方面進(jìn)行重大投資。
對(duì)首席安全官在數(shù)字化轉(zhuǎn)型中的角色而言,安全不再僅僅是風(fēng)險(xiǎn)問題,它與業(yè)務(wù)密切相關(guān),事關(guān)企業(yè)的競(jìng)爭(zhēng)力:打造穩(wěn)定可靠的數(shù)字業(yè)務(wù),無(wú)疑是在數(shù)字化日益加深的商業(yè)環(huán)境中贏得先機(jī)的保障。
其實(shí),作為全球第一個(gè)首席安全官,斯蒂夫至少有一半的時(shí)間是承擔(dān)安全布道者角色:倡導(dǎo)網(wǎng)絡(luò)安全,將安全知識(shí)文化嵌入到業(yè)務(wù)線中。斯蒂夫這種將安全視為業(yè)務(wù)問題,而非技術(shù)問題的想法到現(xiàn)在來(lái)看都非常重要。定期與業(yè)務(wù)領(lǐng)導(dǎo)會(huì)面,建立一定程度的可信度,有助于首席安全官贏得更多的支持和合作。
這種對(duì)安全本身的認(rèn)識(shí)變化,無(wú)疑會(huì)推動(dòng)首席安全官的職責(zé)發(fā)生根本改變。首席安全官的職責(zé)范圍比以往任何時(shí)候都廣泛,必須將自己定位為業(yè)務(wù)推動(dòng)者,需要熟悉業(yè)務(wù)基本活動(dòng),使用業(yè)務(wù)語(yǔ)言進(jìn)行溝通。一個(gè)出色的首席安全官,除了具有技術(shù)背景和能力,還需要了解業(yè)務(wù)、掌握溝通能力,了解隱私保護(hù),包括法律法規(guī)。
在復(fù)雜的網(wǎng)絡(luò)安全形勢(shì)下,首席安全官被賦予了太多期望與需求。首席安全官需要學(xué)會(huì)用商業(yè)語(yǔ)言來(lái)說(shuō)明,安全團(tuán)隊(duì)是企業(yè)的價(jià)值中心,以及風(fēng)險(xiǎn)管理戰(zhàn)略的重要組成部分,而不是成本中心。對(duì)一些只熱衷于技術(shù)的首席安全官來(lái)說(shuō),這樣可能有些強(qiáng)人所難,但卻可以有助于其獲得更多的話語(yǔ)權(quán)和資源。
長(zhǎng)遠(yuǎn)來(lái)看,隨著信息技術(shù)和數(shù)字社會(huì)的深入發(fā)展,首席安全官的職責(zé)可能還會(huì)發(fā)生變化。
五、艱難探索:呼喚國(guó)內(nèi)首席安全官
自2015年開始,國(guó)內(nèi)信息安全產(chǎn)業(yè)界就持續(xù)呼吁建立首席安全官制度,但至今為止,國(guó)內(nèi)首席安全官制度尚未走向成熟。
根據(jù)2018年的《中國(guó)首席安全官(CSO)調(diào)研報(bào)告》,僅有30.2%的政企機(jī)構(gòu)設(shè)立了CSO或相應(yīng)級(jí)別崗位。近一半的機(jī)構(gòu),在當(dāng)時(shí)從未考慮過(guò)設(shè)置這一崗位。
業(yè)內(nèi)人士認(rèn)為,首席安全官這一人群規(guī)模仍然相對(duì)較小,目前多存在于外資企業(yè)和機(jī)構(gòu),以及數(shù)據(jù)安全和隱私合規(guī)要求較高的互聯(lián)網(wǎng)公司中。在大型企業(yè)中雖然已經(jīng)有專門負(fù)責(zé)信息安全的部門,但其管理者的角色尚未上升到首席安全官這個(gè)高度。
2021年,我國(guó)的《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》和《個(gè)人信息保護(hù)法》相繼落地實(shí)施,加上此前的《網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,網(wǎng)絡(luò)安全法律體系日臻完善,給企業(yè)帶來(lái)的安全合規(guī)壓力劇增,相關(guān)處罰案例屢見不鮮。“滴滴出行”受網(wǎng)絡(luò)安全審查,眾多過(guò)度收集個(gè)人信息App遭下架。網(wǎng)絡(luò)安全與隱私保護(hù)問題已經(jīng)直接影響到企業(yè)業(yè)務(wù)運(yùn)行,高薪尋求合格的信息安全負(fù)責(zé)人成為市場(chǎng)熱點(diǎn),這必將推動(dòng)更多機(jī)構(gòu)重視并設(shè)立首席安全官崗位。
作為一個(gè)新興的群體,首席安全官的培養(yǎng)與成長(zhǎng)顯然不會(huì)一蹴而就,也不能苛求候選人具備技術(shù)、溝通、管理、法律等面面俱到的專業(yè)素養(yǎng),如前所述,首席安全官本身分為多個(gè)類型,機(jī)構(gòu)選擇設(shè)置適合自己的信息安全主管才是最現(xiàn)實(shí)的選擇。
(本文刊登于《中國(guó)信息安全》雜志2021年第11期)