因此,CISO的工作滿意度下降,許多人呼吁分拆這一角色,這也就不足為奇了。
然而,可能有一項任務比擔任企業CISO更困難:招聘一位企業CISO。
Atefeh “Atti” Riazi是媒體企業Hearst的CIO,該公司去年報告收入為120億美元。在她的企業中,CISO向CIO報告并由CIO招聘。Riazi對現代企業CISO招聘困難的描述生動且準確:“CISO職位需要一個介于圣母特蕾莎和神風特攻隊員之間的人。”
演變中的CISO角色解析
挑戰的一大部分在于,今天的企業CISO需要擔任多個角色,其中許多角色需要截然不同的技能、才能和經驗??梢赃@樣看,CISO有一個內部角色和一個外部角色。
CISO的內部角色較容易解釋,它涉及管理IT安全部門并為企業做出廣泛的網絡安全決策,它是一個業務線(LOB)高管,而外部角色則是許多CISO遇到麻煩的地方,這個角色包括與每個其他LOB高管互動并說服他們接受CISO的安全政策,這還包括向客戶和客戶解釋政策并為失誤道歉。同時,它還需要與其他高級管理人員互動,包括CIO、CFO、COO、首席法律顧問、投資者關系、合規官、CEO和董事會,這也需要與網絡保險公司官員、SEC以及任何對公司網絡安全政策感興趣的人進行對接。
但是對于招聘主管來說,這個挑戰會變得更糟。招聘主管首先需要確定CISO在處理內部與外部任務方面的時間分配比例,大多數招聘主管希望CISO將大部分時間(通常高達80%)花在外部角色上,這意味著CISO必須雇用許多高級副手來管理IT安全部門的日常運營。
技能問題:幾乎不可能的組合
鑒于此,今天成為理想的企業CISO需要什么技能?CISO候選人必須對所有網絡安全事務有足夠的掌握,以做出正確的決策并雇用合適的人才,畢竟,他們要設定網絡安全議程。
但對于CISO角色的外部部分,候選人必須具備出色的說服和溝通能力,并對業務及每個LOB的運作有深刻理解。CISO還必須對網絡安全細節有足夠的掌握,能夠將一個概念簡化后向董事會解釋,但要做到精準和準確,以簡潔、可理解的方式傳達所有必要的信息。
Riazi招聘CISO的優先事項是領導能力、說服董事會的能力以及在網絡安全政策上的強大執行力。“我不會尋找擁有所有證書的人。為此,他們可以雇用合適的人,”她說,“簡歷只是過程中的一小部分。我需要知道他們如何理解風險。”
不幸的是,許多企業僅將CISO視為網絡安全技術專家,忽略了更重要的外交說服角色。
5月30日,在Change Healthcare災難之后,美國參議員Ron Wyden向美國聯邦貿易委員會和證券交易委員會的負責人發出了一封正式信函,他在信中點名批評United Health Group的CISO,質疑該高管勝任這一職位的資格。
“UHG疏忽的一個可能原因,以及公司未能采用行業標準的網絡防御措施,是公司的首席網絡安全官似乎不具備勝任這一工作的資格。[姓名省略]在2023年6月被提升為UHG的首席網絡安全官之前,從未全職擔任過網絡安全職位,而是在UHG和Change Healthcare擔任其他職務。雖然[該CISO]在技術崗位上有數十年的經驗,但網絡安全是一個需要特定專業知識的專業領域,”參議員寫道,“就像不能讓心臟外科醫生做腦外科手術一樣,世界上最大的醫療公司網絡安全負責人不應該是某人的第一個網絡安全工作。”
無論對錯,這封信表明許多官員錯誤地將CISO角色視為安全運營中心的負責人或負責監督加密策略的人。事實上,這一角色已經演變得更加廣泛,其大部分價值來自于說服技巧。技術技能是必要的,但如果招聘高管在招聘CISO時必須做出權衡,應該如何取舍?
“我們已經到了沒有人能充分勝任CISO的地步。我們要求這些人是網絡安全、信息技術、數據隱私、人工智能、治理、風險、合規和業務的專家。雖然他們很少是律師,但我們希望他們能夠解釋并遵守無數框架、行業標準、州、聯邦和國際法規,”Ernst & Young負責網絡安全的總監Brian Levine說,“雖然我們沒有給他們足夠的時間去閱讀,但我們希望他們跟上每天都在變化的技術。雖然他們是技術專家,我們也需要他們是出色的管理者——能夠管理全球供應商、員工、承包商、顧問、高管和董事會成員。CISO們已經盡力了,但沒有人能真正達到這些標準。”
網絡安全顧問Michael Hasse也認為這個問題幾乎是無法解決的,他見過一些公司過于依賴證書而忽視了深厚的實地經驗。
“這導致了網絡安全‘專家’能夠復述答案以通過測試,但實際上并不真正理解他們在做什么,”Hasse說,“這就像一個每天開著本田思域上班而沒有發生事故的人認為自己是一個很棒的司機,但完全不知道駕駛大卡車、一級方程式賽車或火車需要什么。”
Immuta的CISO Mike Scott此前在Wendy’s擔任CISO七年,他說,今天CISO的雙重內部/外部角色意味著招聘高管必須在簡歷上尋找盡可能多的多樣化經驗,這可能意味著在很多不同的部門工作,或者在不同的行業、不同的地理位置等。
“了解每個業務部門[LOB]的運作及其面臨的挑戰是至關重要的,”Scott說,并補充說,嵌入業務單元的DevSecOps經驗是一個絕對的優勢。“CISO們不愿意了解整個業務是非常愚蠢的。”
平衡與適應
今天尋求CISO職位的候選人應該準備好解釋他們如何說服業務部門同事接受他們的企業安全議程。
幾位專家表示,一個強有力的技巧是不專注于網絡安全,而是在與他們會面之前了解業務部門高管的獎金補償計劃。不是具體數字,而是目標和目的,或許還有百分比,然后CISO可以在會議中討論業務部門負責人的目標,并說明CISO的安全提案如何幫助他們實現獎金,這是了解該高管優先事項的關鍵。
招聘時最難評估的技能之一是候選人向董事會、其他高級管理人員、監管機構和客戶解釋復雜概念的能力,并且要確保準確性不丟失。
Immuta的Scott建議招聘主管讓CISO候選人解釋一個特定的概念,然后再要求他們向幾乎沒有網絡安全背景的董事會成員和監管機構解釋,這是一項重要的技能,而且幾乎不可能在面試中假裝出來。
Scott談到他曾經招聘了一位才華橫溢且經驗豐富的安全工程師,但后來發現這位工程師“無法推銷解決方案,甚至無法從客戶那里承受批評。”
為什么?因為這位工程師的專業知識使他習慣于成為房間里最懂技術的人。“他們一直是專家,他們無法理解為什么人們——董事會成員、CFO、監管機構等——不直接相信他們,”Scott說,“我告訴工程師,‘你必須讓他們明白為什么你有最好的答案。你如何把一個概念解釋得讓每個人都理解?’”
BeyondTrust的首席安全顧問Morey Haber同意CISO必須在客戶面對面的溝通技能上接受測試。“我的一些同事在面對其他人時表現很好,但當他們面對客戶時,他們就崩潰了。”Haber說。
Haber還建議招聘主管讓CISO候選人不僅列出他們通過網絡安全改善業務的方法,還要看看他們是否使用業務術語或安全術語來解釋。
接受采訪的各位專家質疑認證項目的價值,特別是對于企業CISO而言。“我不相信證書,”Haber說,“有20到25年的經驗比任何紙上談兵都更重要。”
盡管如此,對許多招聘主管來說,技術能力仍然是CISO角色的重要組成部分,然而,招聘主管面臨的關鍵挑戰之一是為企業在網絡安全知識和成為優秀的安全大使之間找到適當的平衡。
“近年來,我們看到向以業務為中心的CISO角色的顯著轉變,我觀察到一些大公司任命了幾乎沒有安全或技術背景的CISO,結果是一個‘MBA式的CISO角色’,技術要求較少。”資深網絡安全顧問Dave Venable說。
盡管“作為大使的技能在領導和建立一個有效的安全計劃中極其重要——在CISO職位的早期常常缺乏——但忽視今天對技術安全的基本理解是失誤的。”他補充道。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號