IT經(jīng)理網(wǎng)點(diǎn)評(píng):隨著企業(yè)大規(guī)模數(shù)據(jù)泄露事件的頻發(fā),信息安全已經(jīng)成了數(shù)字時(shí)代企業(yè)的生死命脈,過去CIO兼任CISO的做法已經(jīng)被證明是一個(gè)嚴(yán)重錯(cuò)誤,今天無(wú)論是大型零售商還是各國(guó)政府,都紛紛重金招募CISO人才,在對(duì)于這樣一個(gè)全新的C-level崗位,企業(yè)無(wú)論從需求、考核、薪酬標(biāo)準(zhǔn)上都沒有做好準(zhǔn)備。
首席信息安全官(CISO)超難聘到,因?yàn)樯虡I(yè)頭腦與技術(shù)背景協(xié)調(diào)融合的高管級(jí)人才真的太少太少了。另外,公司企業(yè)也不確定到底該給CISO年薪幾何。
近期的網(wǎng)絡(luò)安全報(bào)道指出,公司企業(yè)長(zhǎng)期處于網(wǎng)絡(luò)威脅之下,而且情況正隨著勒索軟件和釣鯨欺騙的興起而越來(lái)越糟。而經(jīng)驗(yàn)老道的CISO的短缺,薪資策略的不一致,以及恰當(dāng)度量標(biāo)準(zhǔn)的欠缺,意味著一些公司在網(wǎng)絡(luò)安全上其實(shí)投入過少了。
幾位高級(jí)獵頭就企業(yè)對(duì)CISO的需求,以及他們?cè)谡衅负土糇ISO時(shí)遇到的障礙發(fā)表了各自的看法。
如果你已經(jīng)注意到了CISO招聘中的搶椅子游戲狀態(tài),那你必然明白這是因?yàn)槭袌?chǎng)實(shí)在發(fā)展太快。與可用關(guān)鍵業(yè)績(jī)指標(biāo)(KPI)、成本節(jié)約和其他衡量標(biāo)準(zhǔn)來(lái)評(píng)價(jià)的首席信息官(CIO)不同,評(píng)估CISO表現(xiàn)的標(biāo)準(zhǔn)幾乎沒有。企業(yè)不會(huì)以自身是否遭遇數(shù)據(jù)泄露事件(很多情況下是泄露了還不知道)作為評(píng)價(jià)CISO的基準(zhǔn)。因此,大多數(shù)公司尚未找到CISO的合理薪酬,CISO們的薪資水準(zhǔn)在50萬(wàn)到200萬(wàn)美元之間浮動(dòng)。
海德思哲國(guó)際咨詢公司合作伙伴馬特·艾羅稱,一些為大公司承擔(dān)重大責(zé)任的CISO,掙的還不如在小公司擔(dān)負(fù)責(zé)任不大的同行多。當(dāng)然,這些CISO中終會(huì)有人因?yàn)檫€有更好的選擇而離職。
艾羅說,最好的CISO是設(shè)計(jì)策略將網(wǎng)絡(luò)安全防御嵌入到注入數(shù)字轉(zhuǎn)換之類的新舉措基礎(chǔ)之中。這意味著他們得與CIO合作以確保新舉措在合適的安全規(guī)程指引下得以推行。“最開明的安全官找尋的,不僅僅是業(yè)務(wù)友好的東西,他們是在推薦業(yè)務(wù)需求發(fā)展,幫助公司贏得市場(chǎng)。”
然而,這一切尚未發(fā)生,“我們?nèi)匀还滩阶苑?,還處于防御為主的狀態(tài)。”
大多數(shù)公司在網(wǎng)絡(luò)安全上的投入還是少了
羅盛咨詢公司全球網(wǎng)絡(luò)安全實(shí)踐負(fù)責(zé)人馬特·康敏斯說,公司總是大談特談網(wǎng)絡(luò)安全威脅處理,但鑒于受政治動(dòng)蕩和油價(jià)波動(dòng)影響的糟糕全球經(jīng)濟(jì)形勢(shì),很多公司依然對(duì)此投入過少。
“企業(yè)鎖緊預(yù)算,各出奇招節(jié)省開支。”康敏斯稱,“他們也想創(chuàng)新,想做到所有這些超棒的事,但他們?cè)噲D以小搏大,用小投資獲得大收益,這對(duì)網(wǎng)絡(luò)安全投入而言可不太好。我見過公司企業(yè)持續(xù)聳肩以對(duì),說自己已經(jīng)比以前重視多了,說董事會(huì)在討論,高管們也經(jīng)常談?wù)摯耸?,但只能小步前進(jìn),隨著時(shí)間推移一點(diǎn)點(diǎn)改善。而我的回復(fù)則是,‘我不確定這是個(gè)好主意,因?yàn)橥{環(huán)境已經(jīng)變得更糟了’”。
威脅環(huán)境變?cè)氵@一點(diǎn)是毫無(wú)疑問的。從威瑞森的《2016數(shù)據(jù)泄露調(diào)查報(bào)告》來(lái)看,今年,被打開的釣魚郵件數(shù)量已經(jīng)高達(dá)30%,比去年的23%上升了7%。而且,突破防線耗時(shí)和發(fā)現(xiàn)數(shù)據(jù)泄露耗時(shí)之間的時(shí)間差也從去年的62%上升到了84%。
但是,大多數(shù)公司還是在收緊錢袋,賭自己不會(huì)遭遇數(shù)據(jù)泄露??得羲狗Q,典型的招聘過程是這樣的:一些高管會(huì)說他們需要滿足以下10個(gè)條件的CISO。他們會(huì)詢問CISO的市場(chǎng)價(jià)值是多少,而當(dāng)他們聽到超過100萬(wàn)美元的年薪報(bào)價(jià)時(shí),他們就會(huì)說,“不用招這么強(qiáng)力的人,我們玩的是弓箭,不是火箭炮。我可不想讓將對(duì)我們的改變速度不滿的人感受到挫敗”??得羲箤?duì)此的回應(yīng)是,“我的鼓勵(lì)是,在更困難的經(jīng)濟(jì)時(shí)期,招聘過程可能會(huì)陷入停滯。”
對(duì)CISO的期盼是什么
億康先達(dá)國(guó)際咨詢公司 全球CIO實(shí)踐總監(jiān)克里斯·帕特里克說,公司企業(yè)應(yīng)該招聘能平衡好公司領(lǐng)袖和風(fēng)險(xiǎn)評(píng)估者角色的CISO。你需要的是一位既能鋪陳出全面安全架構(gòu),又能在需要的時(shí)候向董事會(huì)清楚闡明這一架構(gòu)的人。當(dāng)然,響應(yīng)網(wǎng)絡(luò)事件時(shí),能周旋于高管層、法律顧問、媒體和其他相關(guān)方之間進(jìn)行溝通,也是CISO必備能力之一。
億康先達(dá)顧問卡爾·畢天達(dá)說,CISO必須了解情況,知道哪些數(shù)據(jù)是重要而需要保護(hù)的,但他們未必就是最精通科技的那位——熟悉所有最新檢測(cè)分析方法和其他新興技術(shù)。畢天達(dá)認(rèn)為,最好是聘用那種有能力影響到公司關(guān)鍵戰(zhàn)略領(lǐng)導(dǎo)者,而身邊又圍繞有知曉該用哪種工具以及怎么應(yīng)用的技術(shù)大牛的人作為CISO。
挑選合適的CISO也是個(gè)文化契合問題。CISO原型有兩種:防火型和救火型。一些CISO喜歡從頭開始構(gòu)建一個(gè)網(wǎng)絡(luò)安全項(xiàng)目,然后在此基礎(chǔ)上穩(wěn)步前行。其他則喜歡在數(shù)據(jù)泄露事件之后進(jìn)駐,因?yàn)樗麄兏硎芫W(wǎng)絡(luò)安全投入及自身影響力逐漸增大的過程。
安全領(lǐng)導(dǎo)角色需求如此之高,身價(jià)自然水漲船高,流動(dòng)性也會(huì)隨之加大。因此,公司企業(yè)也得在內(nèi)部培養(yǎng)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者。“這就像是軍備競(jìng)賽,你得增強(qiáng)自身實(shí)力。外聘不能解決全部問題。”