首席信息安全官的定義
首席信息安全官是負責組織信息和數據安全的主管。在過去,這個角色的定義有些狹義,而現在這個頭銜經常與首席安全官和安全副總裁互換,這也表明首席信息安全官在組織中發揮的作用更加廣泛。
并非每家公司都有最高級別的安全主管:根據IDG公司發布的2020年安全優先級研究報告,在接受調查的公司中,61%的組織設有首席信息安全官,大型組織的這一比例高達80%。首席信息安全官在組織中是至關重要的角色:研究發現,沒有設置首席信息安全官或首席安全官職位的組織與比擁有這些安全主管職位的組織相比,在員工安全培訓方面不充分,并且安全策略也不夠主動。
很多安全專業人士希望擔任首席信息安全官。他們需要了解可以采取哪些措施獲得擔任該職位的機會,以及在擔任這一關鍵角色之后將承擔哪些責任。
首席信息安全官的職責
首席信息安全官的職責是什么?也許理解首席信息安全官工作的最好方法就是了解其日常??職責。上世紀90年代在花旗集團擔任首席信息安全官的Stephen Katz在接受行業媒體采訪時概述了首席信息安全官的職責范圍。他將首席信息安全官職責分為以下幾類:
•安全操作:實時分析即時威脅,并在出現問題時進行分類。
•網絡風險和網絡情報:及時了解發展中的安全威脅,并幫助組織董事會了解收購行業廠商或開展其他大型商業活動可能引起的潛在安全問題。
•數據丟失和欺詐預防:確保內部人員不會濫用或竊取組織數據。
•安全體系結構:規劃、購買和推出安全硬件和軟件,確保IT和網絡基礎設施的設計考慮到最佳安全實踐。
•身份和訪問管理:確保只有授權人員才能訪問受限的數據和系統。
•程序管理:通過實施可減輕風險的程序或項目(例如定期的系統補丁程序)來滿足安全需求。
•調查和取證:確定違規行為中出現了什么問題,如果是內部違規行為,則處理相關責任人,并計劃避免再次發生同樣的危機。
•治理:確保上述所有舉措都能順利進行,并獲得所需的資金,組織領導者應了解其重要性。
另一個重要的注意事項是,這些要點大多適用于IT安全。但對許多高級安全執行官來說,他們的任務不僅僅局限于保護服務器和個人電腦的安全,還擴展到物理設施的安全,確保他們所在組織的辦公室和工廠設施免受外部入侵。根據IDG公司發布的2020年安全優先權的研究報告,42%的高級安全主管表示,他們在過去三年中已經增加了物聯安全職責,另有18%的高管希望在未來一年內擔任這一職務。
首席信息安全官的要求
首席信息安全官這一角色需要考慮什么?一般來說,首席信息安全官需要扎實的技術基礎。在通常情況下,首席信息安全官應聘者應該擁有計算機科學或相關領域的學士學位,并具有7~12年的工作經驗(包括管理職位至少5年);以安全為重點的技術碩士學位也越來越流行。首席信息安全官還需要具備一系列的技術技能:除了IT技術人員都應該具備的編程和系統管理基礎知識之外,還應該了解一些以安全為中心的技術,例如DNS、路由、身份驗證、VPN、代理服務和DDoS抵御技術;編程實踐、威脅建模;防火墻和入侵檢測/預防協議。由于首席信息安全官需要幫助組織遵守一些國家和行業法規,還應該了解影響其所在行業的一系列法規,其中包括PCI DSS、HIPAA、GLBA和SOX。
具備技術和知識并不是獲得首席信息安全官這一職位的唯一要求,甚至可能不是最重要的決定因素。畢竟,首席信息安全官的大部分工作都涉及管理和提倡組織領導層內部的安全性。IT研究員Larry Ponemon在SecureWorld會議上發言時說:“杰出的首席信息安全官需要具有良好的技術基礎,但通常還要具備業務背景,以及與其他組織高管和董事會成員進行溝通所需的技能。”
人才中介機構LaSalle Network公司技術服務高級部門經理Paul Wallenberg表示,判斷首席信息安全官應聘者的技術技能和非技術技能可能會有所不同,這具體取決于組織的要求。他說:“一般來說,在全球或國際上具有業務影響力的組織將尋找具有全面安全背景的應聘者,并采用評估領導技能的方法了解應聘者的職業發展和業績成就。另一方面,那些專注于網絡和產品業務的組織傾向于雇用擁有應用程序和網絡安全性的特定技能的應聘者。”
首席信息安全官的認證和培訓
當應聘或晉升到首席信息安全官的職位時,通過認證來提高簡歷的含金量并沒有什么壞處。這些認證可以更新知識,激發新的思維,提高可信度,并且是完善的內部培訓課程中必不可少的一部分。
安全網站Cyber??degrees列出了七個認證。Lasalle Network公司的Wallenberg為此選擇了三個頂級的認證:
•注冊信息系統安全專家(CISSP),適用于尋求將安全作為職業重點的IT專業人員。
•注冊認證信息安全經理(CISM),適用于希望從安全技術和學科轉型到領導力或計劃管理的人員。
•認證道德黑客(CEH),適用于希望對可能威脅企業安全的問題具有領先意識的安全專業人員。
首席信息安全官、首席安全官以及其他高管的職位名稱
以下先了解一下職位名稱,盡管在本文中的名稱一直是首席信息安全官,還有一些其他的名稱用于行政級別的安全人員:例如首席安全官(CSO)相當常見,還有一些人員則擁有副總裁的頭銜。IDG公司的2020年安全優先研究報告發現,41%的受訪者認為首席信息安全官是最常見的職位,14%的受訪者認為首席安全官是最常見的職位,16%的受訪者選擇了其他高管職位。有趣的是,大型組織更多地將其安全主管稱為首席信息安全官:在接受調查的組織中,80%的組織采用這一職位名稱。如上所述,人們已經或多或少地互換使用了這些職位。在許多情況下,它們反映了特定組織中的等級架構或角色組成。而在一家公司中擔任首席信息安全官的職位可能會與另一家公司中的首席安全官職位非常相似。
比職位名稱更重要的是組織結構圖。首席信息安全官是在組織內不可避免地與他人發生矛盾的角色,因為作為安全專家,其本職工作是監管IT系統并使它們讓居心不良的人員或組織更難訪問,這可能會與IT部門以無摩擦的方式提供信息和應用程序的工作相沖突。首席信息安全官與首席安全官或首席信息官在組織結構圖的職責有著更多的重疊,解決這種矛盾通常取決于組織內部的報告工作方式:如果安全主管向組織領導層報告,那么可能會限制首席信息安全官的戰略執行能力,因為他們的愿景最終要服從于IT部門的更大戰略。
不同的報告結構有多普遍?IDG公司的2020年安全優先研究報告表明,在接受調查的組織中,46%的高級安全主管需要向首席執行官或董事會報告,而33%的高級安全主管需要向首席信息官報告。規模較小的組織可能擁有更扁平的結構,這一點不足為奇:在接受調查的中小企業中,59%的首席信息安全官直接向首席執行官報告。
將首席信息官和首席信息安全官置于平等的地位可以減少沖突,這可以向組織成員發出信息的安全性至關重要的信號。但這也意味著首席信息安全官不能簡單地否決技術計劃。正如杜卡迪公司首席信息官所說,“首席信息安全官幫助IT團隊提供更強大的產品和服務,而不是簡單地說‘不’”。戰略舉措的共同責任改變了這種關系的動態,這可能意味著新首席信息安全官成功與失敗之間的區別。
首席信息安全官的工作描述
如果組織希望招聘出色的首席信息安全官,并為此撰寫這一職位的工作描述。Lasalle Network公司的Wallenberg說:“組織首先要決定是否要聘請首席信息安全官,并確定職位的級別、報告結構和職位頭銜、。在規模較小的組織中,首席信息安全官可以是副總裁或安全總監。組織還需要設定首席信息安全官的最低要求和資格,然后到市場上招聘應聘者或在組織內部招聘應聘者。”
CSO Senior 公司的Michael Nadeau對如何編寫首席信息安全官職位描述進行了闡述。他指出,一件至關重要的事情是,其工作描述應該從一開始就讓組織對安全的承諾非常清楚,因為這樣才能吸引高素質的求職者。應該強調首席信息官在組織結構圖上的最終位置,以及他們將會與組織董事會成員互動來真正明確這一點。
首席信息官的薪酬
首席信息安全官是一個高級職位,因此將獲得相應的豐厚報酬。當然,預測薪資是一門藝術而不是一門科學,但是所達成的共識是,首席信息安全官的年薪通常在10萬美元以上。根據ZipRecruiter公司的調查,美國首席信息安全官平均年薪為159,877美元,而在Salary.com公司調查中的標準更高,首席信息安全官平均年薪為195,000美元到257,000美元。
如果瀏覽求職網站Glassdoor的職位,則可以看到當前首席信息安全官職位的薪資范圍,這可以幫助了解哪些部門的薪資水平更高或更低。例如通用電氣電力公司空缺的首席信息安全官職位的年薪為152,000至164,000美元,而密歇根大學的一個首席信息安全官職位的年薪為259,000至279,000美元。
首席信息安全官的工作范圍
首席信息安全官的工作范圍一直在變化,而為了了解首席信息安全官的工作職責以及如何應對職業前景。可能從一些相關文章進行了解。
•“首席信息安全官工作壽命的6個秘訣”:對于為組織長期服務的首席安全官來說,關注業務和如何溝通是關鍵。
•“首席信息官需要向首席信息安全官尋求什么:協作而不指責”:可以了解如何處理這種有時令人擔憂的關系。這篇文章對如何看待這兩個職位與安全職能的關系,以及對首席信息安全官為什么需要與首席信息官密切合作進行了解釋。
•“使首席信息安全官失去工作的7個安全事件”:當成為高層管??理人員時,首席信息安全官就會發現擔負著重大的責任。而他們的經驗和教訓將提供更多的學習機會。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。