企业战略集团(ESG)最近的一项研究发现,CISO平均任期为2至4年。为什么很多安全专业人员的任期短暂?原因多种多样,各家公司的安全职位设置和要求不同就是原因之一。很多公司企业面对不断发展变化的安全与风险策略,获得安全职业成功的关键竞争力自然也随之变化。十几年来,CISO角色方面的成功该是什么样子一直众说纷纭,这种模糊不清的状态常常引发误解、错误期待和职业倦怠,个中原因不仅有层出不穷的安全挑战,更是因为公司上下缺乏对CISO职位的清晰定义与期待。
重大数据泄露事件曝光、合规要求公布,以及围绕数据隐私权的持续讨论,开拓了高管层和董事会的眼界,凸显出CISO角色的重要性。很多高管和董事会成员将网络安全投资视为保险费,旨在避免数据泄露,经常对见诸报端的重大漏洞或情报界数据泄露反应过度。这导致高管和董事会要求CISO确保公司免遭此类重大数据泄露事件侵扰,却忽视了这些事件仅占常见网络威胁1%的事实,对公司更有可能遭遇的常见网络攻击场景缺乏认知,更遑论重视抵御这些攻击所需的防御工作和安全投资了。
明确性的缺乏导致对CISO角色的误解和认知各异。CISO职位描述因公司规模、业务性质、是否上市等因素而异。何谓成功CISO一直是企业讳莫如深的谜团之一。某些公司里,CISO负责从企业风险、合规、服务生产到部署的所有内容,而且通常要在人手不足、预算缺乏的情况下履行自身这诸多职责,无论这些业务期望多么不同寻常。
有了CISO之后就想百分之百的网络安全是不现实的。他们的职责应是根据公司的业务目标、支持资源和运营预算,合理安排公司的安全投资。定义合理、支持良好、执行正确的安全项目,旨在最小化业务风险,而不是实现零风险。除了负责管理公司安全和合规,许多CISO发现自己还兼顾业务开发、客户获取、客户保留、员工发展和员工保留的工作。
就CISO职能而言,公司安全意识培育和职业发展是被低估的一个重要方面。与其他业务主管一样,CISO在人才保留和人才培养方面承受着巨大的压力。网络安全人才供不应求,因此安全主管应与其员工密切合作,确保人才发展,从而提高人才保留率。在已经资源紧张和预算有限的公司中,安全人才流失会加大实现既定业务目标的难度,增加CISO所承受的压力。
现代CISO是否能够平衡对自身角色的巨大需求?这诸多要求往往伴随着高管和董事会在风险方面缺乏明确协调、资源和预算不足,以及超出风险缓解任务之外的业务压力。这些都是导致CISO职业倦怠的主要因素。
安全社区和业务主管必须共同努力,积极塑造CISO角色,并确保CISO取得成功。先从投入时间了解安全需求开始,然后商定业务风险容忍度。一旦确定了风险容忍度,考虑到CISO承受的额外压力,对安全项目进行资源和资金支持至关重要。公司的安全目标不仅是降低业务风险,而且要在消除CISO职业倦怠风险的情况下做到这一点。CISO这一行政职位可是越来越难以招聘和保留了。
ESG研究报告:
https://www.esg-global.com/hubfs/issa/ESG-ISSA-Research-Report-Abstract-Life-of-Cybersecurity-Professionals-Nov-2017.pdf
来源:数世咨询