摘要:有些時(shí)候,首席安全官員其實(shí)只是成為了替罪羊。今天,企業(yè)組織的首席信息安全官(CISO)們正過著越來越不穩(wěn)定的工作生活。自從這一職位角色從上世紀(jì)90年代末出現(xiàn)以來,CISO的工作內(nèi)容正日漸變得更加復(fù)雜和苛刻。
曾幾何時(shí),這份工作的內(nèi)容僅僅只是需要把工作重點(diǎn)集中在固定的防火墻建設(shè)和修補(bǔ)安全漏洞方面的技術(shù)性的工作。但到了今天,企業(yè)的安全主管們不僅需要做到這一點(diǎn),還需要處理更多的工作內(nèi)容。他們不僅需要負(fù)責(zé)管理自己的安全團(tuán)隊(duì)的日常運(yùn)作以滿足企業(yè)董事會(huì)的預(yù)期,同時(shí)還需對(duì)當(dāng)前這樣一個(gè)不斷發(fā)展的企業(yè)安全威脅環(huán)境進(jìn)行掌握,并定期對(duì)安全形勢的變化進(jìn)行監(jiān)管。
這樣一來,企業(yè)組織的首席信息安全官們的工作無疑成為了一杯誘人的毒酒:其工作是高薪的;并日益受到所有各種背景人的尊重(感謝廣為人知的信息安全技能型人才的緊缺);同時(shí)平均工作經(jīng)驗(yàn)要求可以持續(xù)在18個(gè)月以下的水平。但一名CISO也可能因一系列各種不同的原因而被企業(yè)組織開除解聘:其中包括了發(fā)生安全違規(guī)行為;或遺漏了對(duì)安全漏洞的修補(bǔ);未能使得企業(yè)的安全運(yùn)營達(dá)到企業(yè)董事會(huì)高層的業(yè)務(wù)預(yù)期目標(biāo)。
InfoSec公司的一名前負(fù)責(zé)人在談到企業(yè)組織的安全負(fù)責(zé)人在當(dāng)前的工作中所面臨的不斷增加的各種挑戰(zhàn)時(shí),甚至用到了艱難生存這一詞眼。
“企業(yè)組織的首席信息安全官們有著非常艱難的工作,他們需要為自己根本無法提供百分百保障確認(rèn)的事情負(fù)責(zé),即保護(hù)企業(yè)安全。而僅僅只需要一個(gè)未被發(fā)現(xiàn)或未及時(shí)修補(bǔ)的安全漏洞;一個(gè)來自企業(yè)內(nèi)部或一個(gè)偶然意外的“不安全”進(jìn)程,就可能葬送掉他們的全部工作努力。
“當(dāng)他們能夠完全理解這一點(diǎn),并能妥善正確地管理相關(guān)的期望時(shí),他們對(duì)于企業(yè)的價(jià)值將是非常寶貴的。但問題就在于,這不僅需要對(duì)于如何管理短期和長期項(xiàng)目有著完全正確的理解,需要對(duì)于企業(yè)規(guī)模和項(xiàng)目預(yù)算的掌握和管理,而且需要對(duì)技術(shù)知識(shí)和安全方面有充分的了解,以確保按照正確的優(yōu)先級(jí)次序,來使得相關(guān)的事項(xiàng)得到解決。
“這一職位角色幾乎可以說是需要具備多方面的能力,不僅要有技術(shù)能力,同時(shí)還要具備與人溝通的技能;不僅需要具備執(zhí)行能力,還需要具備項(xiàng)目管理能力。能夠把工作焦點(diǎn)聚焦在優(yōu)先級(jí)高的工作領(lǐng)域,同時(shí)又要對(duì)于相關(guān)的概述知識(shí)又著廣泛的理解。
鑒于上述因素,以及不斷的傳出關(guān)于某家企業(yè)的首席信息安全官被解雇的新聞報(bào)道的炒作,CSO Online網(wǎng)站的記者專程采訪了三位被解聘過的首席信息安全官、一名CIO以及其他的一些資訊安全方面的專家,試圖找出首席信息安全官們被解雇的真正原因,并希望能夠幫助其他相關(guān)人員能夠避免重蹈他們的覆轍。
企業(yè)高管被解雇很少成為頭條新聞
今天,企業(yè)的數(shù)據(jù)泄露事件往往很容易成為各種媒體報(bào)道以及資訊安全的頭條新聞——而這往往會(huì)引發(fā)人們更多的關(guān)于企業(yè)的CISO的責(zé)任及其所管理的安全團(tuán)隊(duì)的相關(guān)思考和討論。新聞報(bào)道的記者和安全供應(yīng)商的營銷團(tuán)隊(duì)很快便會(huì)就數(shù)據(jù)泄露后會(huì)發(fā)生什么狀況發(fā)出相應(yīng)的警告。
然而,圍繞著這一切,CISO被解雇的新聞幾乎很少見諸于媒體。
根據(jù)美國的數(shù)據(jù)泄露通知法令(類似法令很快也將在歐洲頒布,即一般性數(shù)據(jù)保護(hù)條例)能夠讓您了解哪些企業(yè)組織的數(shù)據(jù)遭到了泄露的相關(guān)記錄。由此,您可以大膽的進(jìn)行一個(gè)猜測:在這些發(fā)生過數(shù)據(jù)泄露事故的企業(yè)的安全管理負(fù)責(zé)人的身上又發(fā)生了什么呢。然而,迄今為止,大多數(shù)關(guān)于企業(yè)CISO被解雇的新聞報(bào)道要么是神秘而古怪的,要么就是異常高調(diào)的。
在因一次違規(guī)事件導(dǎo)致了大約8300萬條業(yè)務(wù)記錄在社會(huì)工程項(xiàng)目中受損的一年后,摩根大通的CSO吉姆·卡明斯被重新任命了該職位,而該銀行之前的CISO格雷格·拉特雷則被要求離開其職位,并接受該公司全球網(wǎng)絡(luò)合作伙伴和政府戰(zhàn)略管理的職位。
但這些都是較為罕見的例子,更多的情況則往往是高級(jí)業(yè)務(wù)成為了主管替罪羊。在2013年,當(dāng)Target公司發(fā)生了約4000萬條信用卡信息丟失(超過1億的數(shù)據(jù)記錄受損)的嚴(yán)重?cái)?shù)據(jù)泄露事故后,該公司解雇了其CIO和CEO(盡管該零售商在彼時(shí)并沒有任命其第一位CISO);而在2007年,服裝零售商TJX公司所發(fā)生的違約行為則導(dǎo)致了該公司的一名導(dǎo)演兼高級(jí)副總裁的跳槽。在英國,TalkTalk公司的Dido Harding在去年所發(fā)生的安全事故導(dǎo)致約157000條業(yè)務(wù)記錄受到影響,其中甚至包括15,000家客戶的財(cái)務(wù)細(xì)節(jié)被泄露后,勉強(qiáng)保住了自己的工作。
盡管這可能會(huì)讓一些人感到意外,但也有人可能會(huì)認(rèn)為,這其實(shí)應(yīng)該歸結(jié)于問責(zé)制、報(bào)告程序和安全管理的成熟度。例如,如果企業(yè)的首席信息安全官需要向IT匯報(bào)工作,那么CIO將成為替罪羊,而其他利益相關(guān)者可能推動(dòng)董事會(huì)成員離開正在下沉的船。
BH咨詢公司的董事總經(jīng)理Brian Honan表示說,其實(shí)很難衡量一名CISO是被企業(yè)組織所解雇了,或者自己干脆另謀高就,找到了另一份新的工作。
“今天,首席信息安全官們工作的變動(dòng)是如此的頻繁,故而很難知道他們主動(dòng)的跳槽或是源于自身的原因,特別是由于公共信息的違規(guī)行為而被企業(yè)解聘。”
為什么首席信息安全官會(huì)被解雇
可能目前尚未有關(guān)于企業(yè)的首席信息安全官被解雇的正式記錄,但通過我們的記者與許多首席信息安全官、CIO和其他信息安全專家的討論記錄可以看出,很明顯,這種事件的發(fā)生,是基于一個(gè)相當(dāng)明確的規(guī)律的。
企業(yè)組織的首席信息安全官們離開他們之前所服務(wù)的組織,或許是源于某些安全破壞違約事故的原因,但也可能是韻味未能發(fā)現(xiàn)某些安全故障點(diǎn)或未能報(bào)告錯(cuò)誤事件、做出了錯(cuò)誤的采購決定或因?yàn)榕c企業(yè)的高級(jí)管理層發(fā)生了分歧。
一名此前曾就職于美國媒體部門的信息管理負(fù)責(zé)人告訴我說,她曾經(jīng)兩次看見過她的首席信息安全官要求離職。她說,“而兩次申請(qǐng)離職的主要原因,都是圍繞著其不能以一種經(jīng)濟(jì)的方式來解決企業(yè)的安全風(fēng)險(xiǎn),達(dá)到一個(gè)令人滿意的安全狀態(tài)。”
而關(guān)于企業(yè)CISO被解聘的其他原因,根據(jù)一些接受采訪的匿名受訪者回想他們所在的公司的具體情況則包括:CISO的報(bào)告不佳被駁回;項(xiàng)目超出他們的預(yù)算;不按商業(yè)策略行事;甚至散布FUD(恐懼,不確定和懷疑), 而不是針對(duì)這些問題提供切實(shí)可行的解決方案。正如一位 CIO所說,這類首席信息安全官只會(huì)耍耍嘴皮子功夫,卻不知道“喊破嗓子不如甩開膀子”。
一位英國的穿透性安全測試受訪者回顧了自己所經(jīng)歷的另一個(gè)例子,他的一位同事在測試中發(fā)現(xiàn)一家客戶的IT基礎(chǔ)設(shè)施的各種缺陷(能夠讓他遠(yuǎn)程接管Web服務(wù)器),并將該狀況報(bào)道給了該公司的首席信息安全官,而改首席信息安全官答應(yīng)以4000英鎊為回報(bào),以幫助該企業(yè)組織披露和解決這些安全漏洞。
但是,兩個(gè)月的事件過去了,其同事并沒有收到付款,便聯(lián)系了該客戶公司的CEO。這一舉動(dòng)無疑為這名CISO帶來了可怕的后果。
大約兩個(gè)月的電話聯(lián)系沒有收到答復(fù)。使得這家穿透性安全測試公司感覺是被忽略了,故而相當(dāng)惱火。于是,他們聯(lián)系了該企業(yè)客戶公司的CEO,并向其詳細(xì)介紹了相關(guān)的情況。
“他道了歉,并告訴他們不能繼續(xù)之前的合同了,向他們支付了費(fèi)用,并立即解聘了其首席信息安全官,因?yàn)樗麤]有及時(shí)就該測試報(bào)告結(jié)果向其上級(jí)匯報(bào)。”
然而,雖然企業(yè)的高級(jí)管理層與首席信息安全官的沖突往往導(dǎo)致了后者的離職也許并不足為奇,但長期持有的觀點(diǎn)是,他們究竟是否應(yīng)該為安全違約事故而被解雇仍存在爭議。
SANS研究所的埃里克·科爾最近在Twitter上發(fā)布的一則推文談到:“讓我們來理清一下吧,發(fā)生安全違規(guī)并不是一件壞事;如果是由于企業(yè)CISO的疏忽,那么,他們應(yīng)該被解雇;但他們不應(yīng)該是因?yàn)槠渌谄髽I(yè)發(fā)生安全違規(guī)而被解雇。”
顯然,這是一個(gè)覺有爭論性的話題。在2014年12月,一份來自NTT Com Security所發(fā)布的調(diào)研報(bào)告透露,企業(yè)組織的高管們認(rèn)為信息安全是一個(gè)外行的術(shù)語,“是屬于別人的問題”,而Raytheon 公司的研究顯示,參與了倫敦eCrime大會(huì)的70%的安全專家認(rèn)為,CEO應(yīng)該對(duì)此承擔(dān)責(zé)任。只有13%的受訪者認(rèn)為企業(yè)的首席信息安全官應(yīng)承擔(dān)責(zé)任。
受解雇的首席信息安全官們是如何說的
兩名被解雇首席信息安全官描述了自己曾經(jīng)被解雇的經(jīng)歷,及他們從中所汲取到的經(jīng)驗(yàn)教訓(xùn)。
一位曾在英國金融服務(wù)部門工作過的首席信息安全官說,他被解雇的最終原因,是源自于自己和企業(yè)CIO之間的“意見分歧”。
“信息安全預(yù)算是企業(yè)總的IT預(yù)算的一部分,而企業(yè)的CIO不得不努力降低IT成本。盡管信息安全仍然也需要盡量在預(yù)算中進(jìn)行節(jié)省,但這無異也增加了在某些領(lǐng)域的安全風(fēng)險(xiǎn)。”
他繼續(xù)說,當(dāng)在向企業(yè)的高級(jí)管理人員們解釋了潛在的安全危害可能造成的損失之后,CIO采取了急轉(zhuǎn)彎的態(tài)度。 “該名CIO不喜歡我的論點(diǎn),雖然一致認(rèn)為,企業(yè)IT部門應(yīng)該對(duì)與安全管理負(fù)責(zé),但實(shí)際的情況則是,我們所執(zhí)行的工作并不是如我所說的那樣。”
他說,他覺得自己很好的處理了自己的離職,但他相信他也這次經(jīng)歷中學(xué)到了很多。“最好不要直接匯報(bào)技術(shù)問題,把您的預(yù)算交由您企業(yè)的CIO來控制,畢竟,他們?cè)诠?jié)約企業(yè)IT部門的成本方面承擔(dān)了很大的壓力。同樣,企業(yè)的業(yè)務(wù)領(lǐng)導(dǎo)人們也不喜歡聽到真相或了解進(jìn)一步的透明度,即使他們?cè)鴮?duì)此有過公開的表示。”
不幸的是,這類故事在企業(yè)組織也經(jīng)常發(fā)生。一家托管服務(wù)提供商的信息安全負(fù)責(zé)人也談到了與IT團(tuán)隊(duì)處理這方面問題的困難,而這也最終導(dǎo)致了他自己的離職。
“IT主管經(jīng)常忽視來自信息安全方面的建議,認(rèn)為他自己知道得更好,同時(shí)又告訴我們的董事會(huì)說企業(yè)應(yīng)該進(jìn)行完善,含沙射影的告訴我的同事說我的工作失敗,而其實(shí)僅僅是因?yàn)樗幌矚g我所做的工作。”
“這導(dǎo)致了有人開始向人力資源部門投訴我的主管,認(rèn)為不相稱的行為導(dǎo)致了管理不當(dāng),也違反我們企業(yè)的管理政策。 HR部門于是采取了措施。就在我兩年聘用期滿的前一個(gè)月,就差一個(gè)月就能受到就業(yè)法保護(hù)的我被 不公平的解雇開除了。”
另外一名在美國制藥行業(yè)工作的CISO,解釋他為什么在揭露企業(yè)完成并購時(shí)的不法行為后辭職的經(jīng)歷。
“我曾經(jīng)服務(wù)的企業(yè)與另一家規(guī)模更大的,擁有全球性影響力的公司有過并購交易,鑒于這是一次公開收購交易,我們?cè)谖业穆殭?quán)范圍內(nèi)遵循了薩班斯-奧克斯利法案和SEC的相關(guān)合規(guī),因?yàn)樯霞?jí)機(jī)構(gòu)的信息安全功能沒有我們成熟。”
這一年里,發(fā)生了許多財(cái)務(wù)違規(guī)行為,在預(yù)防數(shù)據(jù)丟失,并對(duì)數(shù)據(jù)進(jìn)行分析的同時(shí),我們也遇到了類似欺詐和內(nèi)幕交易的問題。其中就涉及到一名地區(qū)性的首席財(cái)務(wù)官,我和他原本相處得很好。
“這些信息是沒有定論的,而在與自己進(jìn)行了長達(dá)一個(gè)星期的辯論抗?fàn)幒螅野凑瘴覀冏约旱墓芾碚?舉報(bào)揭發(fā))將相關(guān)的信息報(bào)告給了公司新任的首席執(zhí)行官。然后該公司的首席執(zhí)行官向我所舉報(bào)的人轉(zhuǎn)發(fā)了我的機(jī)密電子郵件,并詢問發(fā)生了什么事情,這直接導(dǎo)致了我受到了報(bào)復(fù)性起訴。
他在第二天就提交了辭職報(bào)告,而四個(gè)月后,該公司申請(qǐng)了破產(chǎn)。此后的下一年,該公司的首席執(zhí)行官和首席財(cái)務(wù)官均遭到了美國證券交易委員會(huì)的調(diào)查。
因此,關(guān)于企業(yè)組織的首席信息安全官們應(yīng)該如何避免被解聘?這里有三個(gè)秘訣:
1 清楚的了解您自己的工作范圍,您的界限,同時(shí)了解在哪些業(yè)務(wù)領(lǐng)域,您是可以打破的,而在哪些領(lǐng)域您可以增加價(jià)值
2 了解業(yè)務(wù),并明確相關(guān)業(yè)務(wù)事項(xiàng)的優(yōu)先級(jí)順序。
3 嘗試與真正的管理人員進(jìn)行解釋和溝通。如果他們理解了,并對(duì)他們構(gòu)成了挑戰(zhàn),那么您就不太可能被解雇了。