导致企业安全主管“翻车“的十个“软伤”
自从 2014 年 Target、Home Depot 先后遭遇大规模数据泄露事件,大型行业企业的高级管理层开始接触到一个全新的职位名称:CISO(首席信息安全官)。Target 数据泄露事故导致公司当年利润暴跌 46%,CIO 和 CEO 原地引咎辞职,随后 Target 董事会请来了更懂安全的前国土安全部顾问担当 CIO,同时还在公司历史上首次设立了 CISO 岗位。Home Depot 也如法炮制,请来安全大咖 Jamil Farshchi 担任 CISO,当时 Home Depot 给 CISO 这个岗位开出的价码是年薪数十万美元,一个不痛不痒的价位。
2018 年,信用报告公司 Equifax 因泄露 1.4 亿人的敏感信息被联邦政府罚款7亿美元,CEO Rich Smith 火速辞职,这一次 Equifax 决定从 Home Depot 把 Jamil Farshchi 挖过来,并开出了 389 万美元的天价年薪。类似的,2012 年 Matt Comyns 的安全主管身价是 65 万年薪,2019 年,相同岗位的价码蹿升到 250 万美元。
仅仅四年时间,美国 CISO 的身价从数十万美元,飙涨到了数百万美元。原因很简单,一方面是高级安全人才的全球性短缺,另一方面是因为违规成本高得吓人,根据 IBM 公司和 Ponemon Institute 的一项研究,美国公司违规的平均成本约为 800 万美元。
不断加码的薪酬方案和不断扩大的职责,对于曾经混迹IT部门,从未引起高级管理层注意的一群信息安全 “工头” 来说是一个巨大的转变。他们似乎一夜之间变成了钢铁侠,扛着 “总镖头” 的旗号来到了董事会的桌前。但是在这条金光灿灿的职业道路上,也暗藏着各种危机,如果不能做到 “预防性驾驶”,那么无限风光的 “钢铁侠”,随时有可能变成 “美国队长”(背锅侠)。
根据 Osterman Research 对全球 408 位 CISO 的调查,55% 的受访者任期不到三年,30% 不到 2 年(美国劳工部的数据是平均 4.2 年)。这些离职的 CISO 中,相当一部分 “翻车” 的原因并非是成了重大数据泄露事故的背锅侠,而是因为日常管理方面存在 “软伤“。
以下,我们总结了企业信息安全主管和CISO半路翻车的十大常见原因:
1. 不能用管理层能理解的方式说话
网络安全现在是董事会级别的议程项目,董事会成员和整个公司高层都希望 CISO 对企业安全态势的强项、弱点、改进计划以及所有这些措施如何匹配企业的总体战略发表建议。Parkview Health 信息安全副总裁兼 CISO,卡内基梅隆大学亨氏信息系统与公共政策学院副教授 Darrell Keeling 说,许多 CISO 通过一系列技术职位升任该职位,还没有准备好发表董事会期望的战略级演讲。
他们没有得到指导或训练,无法与组织的高层对话。
结果,一些 CISO 很难以董事会期望的,以战略业务为重点的术语来提出与安全相关的问题,从而使董事会对安全主管的印象不佳。一些 CISO 干脆选择让 CIO,CTO 或其他高管代表代为出席,这进一步增加了董事会和 CISO 之间的疏远感。而事故发生时,人们常常会抱怨 CISO 对董事会而言并不透明。
2. 报喜不报忧
在 CISO 与公司管理层和董事会沟通时,一个常见的问题就是 CISO 倾向掩饰问题,仅向董事会展示积极指标。一些 CISO 之所以这样做,是因为他们不希望流露出无力感,或者错误地认为挑战已超出了董事会的讨论(理解)范围。
无论出于何种原因,CISO 都会执迷于 '我不能告诉董事会,至少不能让他们知道…
但是董事会很少会被糊弄过去。
虽然可能并不是安全专家,但董事会成员知道企业信息安全问题比一堆绿色小指标看上去更加复杂。而且,他们很可能会对在交付报告时无法做到开诚布公和透明的 CISO 失去信心。董事会不想被告知一切都很棒。CISO必须能够告诉他们企业的实际情况,必须对他们进行诚实的评估,并给他们信心,拿出一个切实的推进计划。
3. 给老板“惊喜”
CEO 或者任何其他直接或间接监管安全职能的高管都不喜欢 “惊喜”。
老板们可不希望在攻击或者事故发生后,才被 CISO 告知这些威胁确实存在,而且需要花一大笔钱亡羊补牢。网络安全培训组织 SANS 研究所新兴安全趋势总监John Pescatore表示,CEO 非常不希望以这种方式了解企业的安全需求。如果发生这种事,CISO 离 “凉凉” 就不远了。
4. 不爱惜羽毛
对于 CISO 来说,作为行走江湖的 “总瓢把子”,没有什么比职业操守和声誉更重要的了。如果 CISO 提出重要的安全问题、合规问题或道德问题,但公司上下没有人关心,那么这位 CISO 就该小心了。CISO 可能会与其他不认同安全措施的企业领导者发生冲突。如果选择同流合污、一团和气,那么 CISO 就会面临自身的职业荣誉受到损害。
因此,CISO 在上岗之前或面试过程中务必不要忘记试探企业和高管关键价值观,确定企业的道德立场在可以接受的范围内。
5. 错误的安全价值观
想坐稳 CISO 的位子,最重要的一点是不能让安全成为业务增长的障碍。安全不能给企业数字化转型和敏捷化 “拖后腿”。如果一个 CISO 或者安全团队只会说:“对不起,'我们不能确保新业务计划(产品或者app)是安全的,我们还需要做一些不可描述的工作。” 那么 CISO 就会被企业业务部门视为绊脚石和拦路虎,一个 “no” 先生是长不了的。
6. 抓小放大
Osterman Research 的 2019 CISO 调查显示,只有6.8% 的 CISO 在重大信息安全事故后成为 “背锅侠” 被劝退,大多数 CISO 都不会在发生违规事件时被解雇,但如果这些事故是职责范围内的疏忽,忽略或错过了重大威胁预警信号,就可能丢掉饭碗。例如失察被收购公司中的安全漏洞,或者严重低估企业在已知安全威胁中面临的风险。即使事后解决了由此产生的问题,首席执行官和董事会也会对 CISO 失去信心
7. 落后于竞争对手
当类似的安全威胁席卷同行业多家企业的时候,企业高管和董事会就有机会观察谁家的 CISO 没有穿泳裤,例如业务恢复速度落后于同行的 CISO 往往也会被追究责任,造成损失 “鹤立鸡群” 的企业的 CISO,往往也会被管理层弹劾。
8. 签卖身契
CISO 入职前要看清楚组织结构图和预算。如果 CISO 职位在该企业的组织结构图上被下调了几个级别(例如向 CEO、CIO 以外的较低管理层汇报),而且薪酬也大大落后于其他高管,这样的企业往往是在找一个关键时候顶上去的 “背锅侠“。
组织结构图和预算比例能够直观地反映企业对安全的重视程度以及定位,有些企业将安全看作是业务的推动力,而有些企业认为安全是成本中心。
《福布斯》和 Fortinet 在 2019 年对 209 个 CISO 进行的调查发现,有 36% 的 CISO 表示预算不足对他们的网络安全计划有重大影响,18% 的人认为预算限制是最大的限制。
9. 糟糕的办公室气氛
根据 (ISC)² 2019 年网络安全劳动力研究报告:网络安全行业中的女性仅占网络安全劳动力的四分之一,在其他一些报告中这个比例更低,例如 Frost&Sullivan 的一个调查数据显示,全球信息安全从业人员只有 10% 是女性,而且这个比例常年稳定。不仅仅是性别比例严重失衡,很多企业的办公室文化非常糟糕,冰冷而且同事间充满敌意和戒备。如果今天的 CISO 不能打造良好的办公室文化,那么 CEO 和董事会就会谋求换将。
10. 不注重团队建设
没有 CISO 可以无所不能,试图扮演超级赛亚人通常会危及企业安全并扭曲自己的职业生涯。《网络安全领导力:为现代组织提供动力》一书的作者 Hasib 说:如果 CISO 不能 “兼容” 有才华的人,那么他们注定不会成功。
不少 CISO 过于强调基于技术的安全解决方案,而不是平衡技术、人员与流程的网络安全三要素。在安全形势异常严峻的今天,CISO 必须将打造一支优秀团队作为头等大事,这也是进一步吸引更多安全人才的先决条件。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Firefox和Google浏览器最新隐私保护功能带来了新的风险
虽然互联网已默认保护数据、加密流量,但隐私漏洞仍然存在:用户访问网站的痕迹不会消除,这也给了网络上游手好闲之人探查隐私的可乘之机。 软件公司Mozilla及Google正分别针对旗下浏览器Firefox及 Chrome研究补救方案。 弥补缺陷的新技术被称为DNS-over-HTTPS(下称DoH),它可以保护用户的浏览习惯不受AT&T、Comcast和Verizon等各大互联网服务供应商(Internet Service Provider,下称ISP)监控。 这些ISPs有时会使用Supercookies(一种跟踪技术,和cookie一样允许网站和广告商进行跟踪,但不能被真正删除)及其他技术来跟踪用户。 肖恩·凯普敦(Sean Captain)在文章《如何防止Comcast、Verizon和其他ISP监视用户》中,就如何使用DoH提供了相关建议。 但安全也可能是把双刃剑。这种技术可以保护用户行为不受ISP、公共热点和其他机构的监控,但可能会带来新的隐私风险:浏览习惯的集中化。它还突出了DoH技术尚未解决且可能会加剧的隐私泄露问题。 域名里有什么?一切 除非用户使用虚拟专用网络(...
- 下一篇
2020年的数据存储的发展趋势
随着存储行业专家对2020年的展望,大多数分析师预计数据存储市场将比2019年发展更加强劲。几年来一直在塑造市场的关键存储趋势将会持续,而新技术将会推动存储产品价格进一步下降,为更多的企业带来新的机遇。 2019年对于存储市场来说是个喜忧参半的一年。今年的统计数据尚未出炉,但调研机构IDC公司的调查报告称,今年全球第一季度和第二季度的存储市场总支出略有下降,而在全球第三季度企业外部存储系统支出同比增长1.3%。总存储容量出货量每季度都在增加,企业对数据存储的需求持续增长。 世界某些地区(尤其是亚洲)企业存储业务强劲增长,而美国和欧洲的销售则停滞不前。经济和政治上的不确定性导致许多IT经理在2019年采取谨慎的购买方式。但是,许多市场研究人员认为,这种情况可能会在2020年发生改变。 存储支出预测 分析人士预计,到2020年,全球整体IT支出增长将会加快,这对存储供应商来说将是一个好消息。Gartner公司预计明年IT支出将增长3.7%,高于今年的0.4%。Gartner公司研究部副总裁John David Lovelock表示,“尽管人们担心经济衰退和企业削减可自由支配的IT支出,但预...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS关闭SELinux安全模块
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Windows10,CentOS7,CentOS8安装Nodejs环境
- Red5直播服务器,属于Java语言的直播服务器
- CentOS6,CentOS7官方镜像安装Oracle11G
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装