首席信息安全官(CISO)超難聘到,因為商業頭腦與技術背景協調融合的高管級人才真的太少太少了。另外,公司企業也不確定到底該給CISO年薪幾何。
近期的網絡安全報道指出,公司企業長期處于網絡威脅之下,而且情況正隨著勒索軟件和釣鯨欺騙的興起而越來越糟。而經驗老道的CISO的短缺,薪資策略的不一致,以及恰當度量標準的欠缺,意味著一些公司在網絡安全上其實投入過少了。
幾位高級獵頭就企業對CISO的需求,以及他們在招聘和留住CISO時遇到的障礙發表了各自的看法。
如果你已經注意到了CISO招聘中的搶椅子游戲狀態,那你必然明白這是因為市場實在發展太快。與可用關鍵業績指標(KPI)、成本節約和其他衡量標準來評價的首席信息官(CIO)不同,評估CISO表現的標準幾乎沒有。企業不會以自身是否遭遇數據泄露事件(很多情況下是泄露了還不知道)作為評價CISO的基準。因此,大多數公司尚未找到CISO的合理薪酬,CISO們的薪資水準在50萬到200萬美元之間浮動。
海德思哲國際咨詢公司合作伙伴馬特·艾羅稱,一些為大公司承擔重大責任的CISO,掙的還不如在小公司擔負責任不大的同行多。當然,這些CISO中終會有人因為還有更好的選擇而離職。
艾羅說,最好的CISO是設計策略將網絡安全防御嵌入到注入數字轉換之類的新舉措基礎之中。這意味著他們得與CIO合作以確保新舉措在合適的安全規程指引下得以推行。“最開明的安全官找尋的,不僅僅是業務友好的東西,他們是在推薦業務需求發展,幫助公司贏得市場。”
然而,這一切尚未發生,“我們仍然固步自封,還處于防御為主的狀態。”
大多數公司在網絡安全上的投入還是少了
羅盛咨詢公司全球網絡安全實踐負責人馬特·康敏斯說,公司總是大談特談網絡安全威脅處理,但鑒于受政治動蕩和油價波動影響的糟糕全球經濟形勢,很多公司依然對此投入過少。
“企業鎖緊預算,各出奇招節省開支。”康敏斯稱,“他們也想創新,想做到所有這些超棒的事,但他們試圖以小搏大,用小投資獲得大收益,這對網絡安全投入而言可不太好。我見過公司企業持續聳肩以對,說自己已經比以前重視多了,說董事會在討論,高管們也經常談論此事,但只能小步前進,隨著時間推移一點點改善。而我的回復則是,‘我不確定這是個好主意,因為威脅環境已經變得更糟了’”。
威脅環境變糟這一點是毫無疑問的。從威瑞森的《2016數據泄露調查報告》來看,今年,被打開的釣魚郵件數量已經高達30%,比去年的23%上升了7%。而且,突破防線耗時和發現數據泄露耗時之間的時間差也從去年的62%上升到了84%。
但是,大多數公司還是在收緊錢袋,賭自己不會遭遇數據泄露。康敏斯稱,典型的招聘過程是這樣的:一些高管會說他們需要滿足以下10個條件的CISO。他們會詢問CISO的市場價值是多少,而當他們聽到超過100萬美元的年薪報價時,他們就會說,“不用招這么強力的人,我們玩的是弓箭,不是火箭炮。我可不想讓將對我們的改變速度不滿的人感受到挫敗”。康敏斯對此的回應是,“我的鼓勵是,在更困難的經濟時期,招聘過程可能會陷入停滯。”
對CISO的期盼是什么
億康先達國際咨詢公司 全球CIO實踐總監克里斯·帕特里克說,公司企業應該招聘能平衡好公司領袖和風險評估者角色的CISO。你需要的是一位既能鋪陳出全面安全架構,又能在需要的時候向董事會清楚闡明這一架構的人。當然,響應網絡事件時,能周旋于高管層、法律顧問、媒體和其他相關方之間進行溝通,也是CISO必備能力之一。
億康先達顧問卡爾·畢天達說,CISO必須了解情況,知道哪些數據是重要而需要保護的,但他們未必就是最精通科技的那位——熟悉所有最新檢測分析方法和其他新興技術。畢天達認為,最好是聘用那種有能力影響到公司關鍵戰略領導者,而身邊又圍繞有知曉該用哪種工具以及怎么應用的技術大牛的人作為CISO。
挑選合適的CISO也是個文化契合問題。CISO原型有兩種:防火型和救火型。一些CISO喜歡從頭開始構建一個網絡安全項目,然后在此基礎上穩步前行。其他則喜歡在數據泄露事件之后進駐,因為他們更享受網絡安全投入及自身影響力逐漸增大的過程。
安全領導角色需求如此之高,身價自然水漲船高,流動性也會隨之加大。因此,公司企業也得在內部培養網絡安全領導者。“這就像是軍備競賽,你得增強自身實力。外聘不能解決全部問題。”