確實(shí)，CISO責(zé)任重大，那么他們是如何應(yīng)對(duì)這種沉重負(fù)擔(dān)的?根據(jù)ESG和信息系統(tǒng)安全協(xié)會(huì)(ISSA)的研究顯示，情況并不理想。數(shù)據(jù)顯示，57%的網(wǎng)絡(luò)安全專業(yè)人士認(rèn)為他們企業(yè)的CISO只是有點(diǎn)作用，不是很有用，或者根本沒(méi)有作用。

 

 

從研究的字里行間可以看出，CISO表現(xiàn)平平往往是由具體情境決定的，隨著CISO從一份工作換到另一份工作，這造成了大量的流失。利用ESG/ISSA的研究，我們可以同時(shí)深入挖掘CISO表現(xiàn)不佳和跳槽的原因。當(dāng)被問(wèn)及“為什么CISO傾向于每?jī)傻剿哪険Q一次工作”時(shí)，受訪安全專業(yè)人士的回答如下：

 

• 33%的人認(rèn)為，CISO在另一個(gè)企業(yè)獲得更高的薪酬后會(huì)換工作，這可能與工作表現(xiàn)或滿意度無(wú)關(guān)。數(shù)據(jù)顯示很多CISO會(huì)被提供高達(dá)40%加薪。面對(duì)這種高薪誘惑，CISO通常很難拒絕，所以首席執(zhí)行官、董事會(huì)和人力資源高管有責(zé)任記住：強(qiáng)大的CISO永遠(yuǎn)是最搶手，總有人愿意高薪挖掘。所以高管們必須監(jiān)控招聘形勢(shì)，不斷評(píng)估如何才能讓一位成功的首席信息官滿意。

 

• 31%的人認(rèn)為，當(dāng)他們當(dāng)前的企業(yè)文化不重視網(wǎng)絡(luò)安全時(shí)，CISO就會(huì)換工作。顯然，CISO的工作表現(xiàn)與網(wǎng)絡(luò)安全文化高度相關(guān)。如果沒(méi)有安全保護(hù)，員工就會(huì)胡作非為，安全團(tuán)隊(duì)就會(huì)一直處于緊急狀態(tài)——這并不是一個(gè)健康的工作環(huán)境。CISO可以影響文化，但CEO(和HR)必須推動(dòng)文化變革。如果沒(méi)能做到這一點(diǎn)，CISO就無(wú)法完成他們的工作，并轉(zhuǎn)身離開(kāi)。

 

• 29%的人認(rèn)為，當(dāng)網(wǎng)絡(luò)安全預(yù)算與企業(yè)規(guī)模不相稱時(shí)，CISO就會(huì)換工作。金錢(qián)買(mǎi)不到愛(ài)情，但如果明智地使用，它可以幫助加強(qiáng)網(wǎng)絡(luò)安全防護(hù)。不要誤會(huì)我的意思，CISO可以也應(yīng)該管理和最大化費(fèi)用，但他們所能做的是有限的。長(zhǎng)期資金不足的安全計(jì)劃表明存在溝通問(wèn)題(例如，CISO不能充分解釋他們需要什么以及為什么需要它)，或者更有可能是意識(shí)上的問(wèn)題(例如，首席執(zhí)行官和董事會(huì)不相信其企業(yè)會(huì)成為攻擊目標(biāo))。無(wú)論如何，CISO“難為無(wú)米之炊”，而是傾向于離職尋找更好的企業(yè)。

 

• 27%的人認(rèn)為，當(dāng)無(wú)法積極參與執(zhí)行管理層和董事會(huì)會(huì)議時(shí)，CISO就會(huì)換工作。這里有一個(gè)模式，當(dāng)CISO不與高管和董事會(huì)接觸時(shí)，業(yè)務(wù)決策就會(huì)避開(kāi)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理或威脅建模等事情。CISO被認(rèn)為是習(xí)慣說(shuō)“不”的專家，不能充分保護(hù)業(yè)務(wù)，而網(wǎng)絡(luò)安全團(tuán)隊(duì)則處于持續(xù)的滅火狀態(tài)。CISO傾向于從這種“贏不了”的場(chǎng)景中離職。

 

• 25%的人認(rèn)為，當(dāng)他們的企業(yè)將網(wǎng)絡(luò)安全視為監(jiān)管合規(guī)時(shí)，CISO會(huì)更換工作。如今，大多數(shù)企業(yè)已經(jīng)開(kāi)始理解強(qiáng)大的網(wǎng)絡(luò)安全復(fù)選框和合規(guī)性復(fù)選框之間的區(qū)別。但可惜，有些人還沒(méi)有。這是一個(gè)潛在的職業(yè)殺手，所以聰明的CISO會(huì)迅速離開(kāi)以合規(guī)為中心的公司。

 

 

顯而易見(jiàn)的是，CISO的成功和任期與所在企業(yè)的執(zhí)行管理決策高度相關(guān)。雖然我確信CISO在面試過(guò)程中從獵頭、人力資源經(jīng)理和高管那里得到了一個(gè)美好的承諾，但精明的安全高管可能知道他們?cè)谇皫字苁欠裼谐晒Φ臋C(jī)會(huì)。在這個(gè)時(shí)候，質(zhì)疑過(guò)后，往往是更新簡(jiǎn)歷和職業(yè)發(fā)展計(jì)劃。

 

在找工作的過(guò)程中，CISO也應(yīng)該注意危險(xiǎn)信號(hào)。如果一個(gè)企業(yè)在過(guò)去五年中更換了多位CISO，那么前任CISO可能在其他地方獲得了更多的薪資，或者，可能是文化、預(yù)算和管理障礙使企業(yè)成為CISO的“無(wú)人區(qū)”，入職需謹(jǐn)慎。

 

 

國(guó)內(nèi)主流的to B IT門(mén)戶，同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開(kāi)頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。