在幾起近期事件中，CISOs 被法律個人追究處理和報告安全漏洞的責任，這一點也無濟于事，特別是前 Uber CISO Joe Sullivan 的高調案例，他因未報告 2016 年的一次數據泄露而被判處三年緩刑，罪名是重罪妨礙司法公正和未履行職責。

 

擁有 25 年網絡安全、IT、數據隱私和風險管理經驗的高管 Nick Shevelyov 表示：“今天這個角色的設定注定失敗。”他現在提供網絡安全咨詢和顧問服務。

 

但Shevelyov 和其他人表示，情況并非非得如此。高管、董事和 CISO 們本身可以推動角色范圍的改進，使這一職位為成功做好準備，這反過來將意味著更高的工作滿意度，而且或許更重要的是，更安全的組織。

 

“這是一個充滿挑戰的時期，也是一個充滿機會的時期，”招聘公司 Artico Search 的合伙人 Steven Martano 說。

 

 

來自 IANS Research 和 Artico Search 的《2023-2024年 CISO 狀況報告》發現，CISO 的工作滿意度為64%，較2022年的74%和2021年的69%有所下降。愿意換工作的 CISO 比例為75%。安全軟件公司 Proofpoint 的《2023年 CISO 之聲報告》也揭示了一些令人不安的數據，顯示73%的美國 CISO 在過去一年經歷了職業倦怠。

 

同時，代表安全軟件制造商 Devo Technology 的 Wakefield Research 進行的《網絡安全職業倦怠調查：快速閱讀報告》發現，83%的受訪安全專業人員表示，他們或他們部門中的某人因職業倦怠在其角色中犯了錯誤，導致了安全漏洞。約77%的人表示，工作中的壓力水平直接影響了保護私人客戶數據的安全。還有85%的人承認，由于職業倦怠，他們將不得不在未來一年內更換工作角色、離開公司或同時離開公司并更換職業。

 

專家們表示，所有這些因素都在導致人員流動。根據《2023年CISO人力和人數報告》顯示，CISO的平均任期只有18到26個月（遠低于一般C級高管的4.9年任期），該報告由Cybersecurity Ventures發布。

 

此外，研究公司Gartner估計，到2025年將近一半的網絡安全領導者將更換角色，其中25%因工作相關壓力轉向不同職位。

 

 

僅將這些數字歸咎于安全工作的壓力性質似乎很容易，尤其是隨著威脅的數量和速度增加，需要保護的基礎設施和數據量也在擴大。

 

但這種說法過于簡化了問題，Gartner的副總裁兼分析師Chris Mixter表示。畢竟，典型的CISO在安全行業工作多年后才晉升為最高安全職位，他們已經習慣了壓力、長時間工作和全員出動的時刻。他們是以使命為驅動的，并且非常清楚其中的高風險。

 

相反，CISO們最常指出的是組織問題是他們不滿的原因，Mixter和其他消息來源說。

 

其中一個問題與CISO在其組織中的位置有關。許多人繼續爭取在執行層或董事會中占有一席之地，他們表示在戰略決策中尚未得到平等的包含，也沒有與最高級別的執行官和董事會進行他們認為必需的可見性和溝通。

 

因此，許多CISO表示，他們沒有得到高層對安全措施、風險緩解努力和提供所需資金的支持和認可。這導致CISO被拉向太多方向，而且在適當優先安排他們的時間和資源方面能力有限。

 

 

ISSQUARED的CISO Nikolay Chernavsky說：“不滿的原因是缺乏執行管理層的支持。” ISSQUARED提供管理的IT和安全服務以及軟件產品。他表示，當CISO們的關于所需安全措施和可接受風險的觀點被忽視時，他們會表達挫敗感；當董事會和CEO沒有明確他們對這些問題的立場時；或者當這些領導人不承認CISO在降低風險方面的工作時——尤其是當CISO面臨更多問責和責任時。

 

可以理解的是，CISO們避免接受采訪公開分享他們對這些問題的挫敗感。然而，IANS Research的報告提到了這些問題，例如，只有36%的CISO表示他們從董事會那里獲得了明確的風險容忍度指導。

 

如今，增加了CISO所面臨的責任，這是因為美國證券交易委員會（SEC）新的網絡披露規則以及其他監管和法律要求。這種增加的責任與許多CISO不被其組織的董事及高管（D&O）責任保險所覆蓋的事實相結合。（盡管他們的頭銜中有“高管”部分，但許多公司并不將CISO視為公司高管。）

 

這些動態加劇了安全決策的責任與CISO實際執行這些決策的權力之間的差距，Shevelyov說，他是《網絡戰爭與和平：以歷史為我們的向導，今天構建數字信任》一書的作者。

 

長期的安全領導者表示，這些動態以及責任與權力之間的差距，正驅動著市場上的不滿、職業倦怠和人員流動。“核心問題是CISO感受到缺乏支持，特別是缺乏有意義的支持，”IANS Research的高級研究總監Nick Kakolowski說。“CISO們感覺自己像是在一個孤島上操作，而當出現問題時，他們成了替罪羊。”

 

 

安全領導者表示，首席執行官、董事和其他C級高管需要聽到這一信息，然后進行調整，如果他們想保留他們的CISO并確保其安全姿態符合應有的標準。

 

Shevelyov表示，這些調整必須縮小CISO目前擁有的高度責任與他們在許多組織中持有的較低權力水平之間的差距。縮小這一差距將有助于CISO在執行層獲得一個完整的席位，同時讓其他“各種利益相關者在[安全]游戲中有所投入”。

 

他補充說，這也有助于確保CISO的信息能夠準確地呈現給CEO和董事會，Shevelyov和其他人表示，多個消息來源強調這是改善CISO如何看待其職位和其在角色中的效果的首要任務。

 

“有效的CISO需要與董事會直接對話，”Mixter說，他解釋稱這種直接的聯系使CISO和董事會能夠發展并對齊他們對風險、安全需求以及滿足這些共同目標所需資源的理解。

 

Kakolowski同意這一點，他說：“我們看到，當CISO定期與董事會接觸時，董事會開始更加意識到安全問題，并對CISO提供更多支持。”

 

 

CISO可以——也應該——為特定的做法辯護，包括他們被納入D&O保險政策，美國國家網絡安全中心網絡委員會主席及NCC 2023年報告《偉大的CISO辭職》的共同作者Rick Crandall說。

 

Crandall表示，他和NCC還認為，CISO應該與董事會有直接的聯系，包括與董事會（或其某個委員會）至少每年舉行一次的執行會議。（他們指出，其他高管，特別是首席財務官，有這樣的執行會議，其中只有該高管與董事會一起，以鼓勵開放和坦率的討論。）

 

Crandall補充說：“應該有機會讓CISO被提問并直接回答，無需任何策劃，這應該得到[所有其他高管的]認可。”Crandall同時也是Aspen Ventures的管理合伙人，同時擔任多個董事會成員。

 

 

此外，Crandall表示，CISO應要求擁有獨立的安全預算，而不是從IT等其他部門的預算中劃撥資金，這有助于使責任與權力對齊。

 

Mixter還建議CISO“對自己的時間無情”，意味著他們需要優先考慮對他們關注的需求和他們與組織中其他人的關系。正如Mixter所指出的，“現在每個人都希望CISO出現在他們的桌子旁，但CISO不能面面俱到，也不是所有的關系都同等重要。”

 

他進一步建議CISO創建繼任計劃。他解釋說，這使CISO能夠培養所需的后備力量，從而更有信心地委派更關鍵的工作。這一舉措有助于CISO工作更高效、更有效，通常也會使他們在職位上更加滿意。

 

“CISO需要一個世界級的團隊才能有效工作，”Mixter說，并補充說研究證實“有繼任計劃的團隊表現更好、更強”。但研究顯示，只有大約一半的CISO實施了這些計劃。

 

 

CISO、高級執行官和董事會正在不同程度上解決這些問題。PwC專業服務公司網絡風險和監管實踐的負責人Joe Nocera表示，他看到越來越多的CISO在培養人際關系和商業敏感性，這使他們在執行桌上獲得了平等的席位。他還看到越來越多的CISO尋求D&O保險覆蓋和與董事會的執行會議。

 

一些董事也在采取行動。國家公司董事協會（NACD）數字和網絡內容發展高級經理Katie Swafford在一份準備好的聲明中表示，NACD 2023年的董事會實踐和監督調查發現，CISO是最頻繁向公共和私營公司董事會報告網絡安全情況的高管之一。

 

Swafford指出，“在需要技術監督的公司中，CISO將發現董事會愿意幫助他們增長其業務、戰略和財務知識。”

 

然而，許多CISO繼續表示他們爭取所需的支持和資源感到困難。

 

Nocera說：“我們接觸的CISO提到了職位的壓力、責任以及他們的個人責任如何發生了顯著變化。”他補充說，“與五年或十年前相比，今天這個角色承擔的責任要多得多。雖然我看到越來越多的CISO在桌子旁邊有了一席之地，但其他人[只是]在房間里，坐在后排。”

 

Mixter表示，CISO不必接受這種狀況，他解釋說，那些對董事會和執行團隊對安全給予的關注和支持水平不滿意的人可以選擇離開。正如他所指出的，“供需關系今天對CISO有利。”

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。

 

版權聲明：本文為企業網D1Net編譯，轉載需在文章開頭注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。