眾所矚目的CISO角色已然生變了嗎?
這個職業現在僅在自我定位中。
因數據泄露事件造成的惡劣影響,首席信息安全官(CISO)角色被人們重新認識。公眾注意的中心再次跟隨一系列引人注目的大公司數據泄露事件,也帶動了對受害者信息安全項目內部運作的仔細審視。
許多商業企業仍未能更新他們的安全項目并認命集中管理崗位。還記得2011年RSA SecureID雙因子認證數據泄露事件以及2012年LinkedIn用戶密碼被盜事件嗎?當時沒有一家組織有專職CISO。事件之后這兩家公司都已補充了該職位。
回顧剛過去的這一年,幾個家喻戶曉的企業--財富500強的Target和摩根大通,同樣遭受了令人矚目的數據泄露事件。它們沒有CISO,甚而也沒有專職負責安全風險項目管理的領導層。客戶對此不滿,而無論監管者、銀行、信用卡放款人或是供應鏈也都對此不滿。
伴隨較高薪資與復雜挑戰的誘惑,CISO這一職位為那些抗高壓的個人提供了機會。他們要能制定安全與風險管理項目,彌合管理層與工程師間的鴻溝,并能在只有模糊細節的技術控制措施與合規框架中找到正確做事方法。升職至CISO的職業生涯往往始于計算機科學、軍隊與情報或執法工作。CISO這一職業仍在不斷發展中,然而該領域的許多人看來,它的作用仍有很大程度未被明確。
2013年節日期間因數據泄露事件遭受到數億損失的Target,近日聘用了它的第一位CISO,Brad Maiorino。這位前通用汽車CISO及首席風險官在今年七月告訴《紐約時報》:“正是現在,我們有機會明確CISO的定位以及我們的匯報對象,身處這一職位是一個激動人心的時刻。”
平衡舉措
早期CISO或多或少扮演著高級管理員角色,他們工作于后勤部門并負責防火墻基本配置。Cubic Corp.首席網絡安全戰略官Bruce Brody直言:“在那個位置沒有真正C級別或者高管級別的角色。”Bruce Brody分別在退伍軍人事務部、能源部以及國防部承包商DRS技術歷練了其15年的CISO職業生涯。
當然這正在發生變化。隨著安全風險與隱私泄露事件的急劇上升,現在CISO這一角色貫穿IT、合規、業務連續性、人員及設施,這使得商業企業很難決策如何在組織架構中合理設置這一職位。Brody認為:“涉足組織的不同領域已使得CISO可以就座于領導層議席。”
CISO基本年薪
為了應對不斷變化的威脅格局,一些公司已經更新了他們的網絡安全關注重點,逐漸投入更多資源給CISO這一職位。Alta Associate是一家位于Flemington, N. J.的高端獵頭公司。其資深獵頭Cindy Miseli認為,“為了更充分地做好準備,我們的客戶正在提升CISO職位到真正高管層,而不是需要向C級別匯報的總監級別職位,并逐漸增加預算,預期增加人員名額并加大技術投資。”
CISO職位通常在具備1000人或以上規模的企業才會設立,但市場研究機構Gartner建議150人規模的組織也應考慮聘用專職的CISO。
Alta Associate有著25年歷史,長期從事IT風險管理及安全領域的高管人才招聘。Miseli認為, CISO現在將開始聘用更多專業的直接下屬,他們在IT取證、事件響應、安全運營和控制以及IT風險管理等領域具備較深入的技術能力。同時,安全官正被給予機會參與傳統信息安全項目之外的企業計劃,如兼并與收購以及產品戰略。
“我們正見證客戶在尋找候選人上的轉變,不僅需要有成就的技術專才,還有那些有戰略眼光的業務驅動型領導者,后者有能力吸引、挖掘并獲得有能力保護公司品牌與資產的頂尖人才”,Miseli還說:“這正是驅使薪酬包因組織的規模與范圍存在30萬美元到50萬美元差異的關鍵因素。”
CISO基本年薪
N=133位CISO,《2013薪水基準報告》,Ponemon Institute。
僅是名義上的
CISO職位通常在1000人或以上規模的企業才會設立,但是市場研究機構Gartner建議150人規模的組織就應該考慮聘用專職的CISO。Gartner分析師Paul E. Proctor在《CISO商業案例》2012年報告中寫到,未設立專職CISO職位的實體,范圍從采用“無知是福安全模型”的公司,到那些有著出色的安全控制措施、也因此看不到集中安全領導崗位需求的公司。Proctor還認為,其他公司即使名義上設置了CISO職能,卻將安全工作分配給法務或IT部門,而這些部門沒有時間做專職投入。
Brody認同這一現象在政府及商業企業均存在。“大多數組織已經遭受到了惡意軟件或持續威脅的重擊或攻擊—惡意攻擊發生在他們的基礎設施上,”Brody認為,“但只能說他們具備CISO檢查框,用于告知董事會和投資方,‘是的,我們有首席信息安全官。’至少,他們采取措施并放了專人在崗,而且從薪酬方面他們也算為CISO投入了資源。不幸的是,這并不能解決任何問題。”
盡管日益增加的責任與更高的要求,許多公司的CISO職位仍然是技術驅動與執行層面的,他們僅有極為有限的時間花在戰略和策略制定上。Ponemon Institute分析了133位CISO的數據,作為2013年重要薪資調查的一部分。當CISO們被問及他們時間花費時,以100分計,其中監控與審計得分最高(24分),接下來是完善策略(16分),事件管理(12分),業務連續性管理(11分),風險評估(10分),依次往下。計劃(5分)和采購(4分)分值都相對低。策略制定(2分)、戰略設置(1分)以及公司內部溝通(1分)在被調查者中,排名最低。#p#
關于戰術真相
該研究機構的創始人及董事會主席Larry Ponemon,在他展示這些初始發現時指出,這一發現就CISO在戰略設置與策略制定中所起的作用直接達成共識。他說:“這再次說明CISO實際更偏戰術一些—這并不是荒誕的說法;這也不讓人意外。”
犯罪阻止部門——安全官工作完美的一天
· 發現了系統漏洞 19%
· 阻止了犯罪行為 32%
· 處理了犯罪行為 33%
· 獲得了認可 2%
· 說服了管理層 3%
· 培訓了管理層/董事會 3%
· 保障資金安全 3%
· 保護了同事/個人 5%
N=任職于1000人或以上規模公司的133位CISO,《2013薪水基準報告》,Ponemon Institute。
Ponemon研究還發現,在1000人以上規模的公司,CISO的虛線關系分別涉及IT運維(78%)、數據中心管理(55%)、公司合規(39%)、業務連續性管理(36%)、隱私官(28%)以及企業風險管理(16%),而人力資源與公司財務位列最后。
參與此次調查的CISO們資歷也有所不同:34%的安全官有MIS和計算機背景,20%有法律背景,16%有軍隊背景,而14%有情報經驗。
Brody認為:“你可以錄用任何聰明的人,通過正確的培訓將他們培養成信息安全從業人員。要升遷至CISO職位,此人還需要具備極強的耐受力、使混亂變為有序的組織能力、跨越高管與工程技術間的鴻溝進行高效溝通的能力……而且無論董事會上的西裝領帶還是后勤部門和IT部門中的夏威夷襯衫和牛仔褲著裝,他都能同等自若。”
“沒人會教給你這些技能,”Brody接著說,他本人職業生涯始于情報界,隨后換到命令控制的世界,接著進入信息安全領域(跨域的多級安全),經歷幾個管理職能后到CISO職位。“你必須去學習它們。你還必須去找到問題、解決問題,接著進入下一個問題,然后相應地書寫你的簡歷。”
Gartner分析師Proctor推薦大型組織首先應創建角色定義,然后“找到首要理解業務其次理解安全技術的適合人選。”
“如果你認為問題可以通過技術解決,那么你也許并不理解問題實質,”Brody認為,“真正要做的事情是整體考慮。行政固然很重要,但你不能對技術一無所知。你的部分工作是制定技術控制措施以及那些合規框架的相關控制......,而除此之外你也還必須考慮其他方面。”
隨著源源不斷新的安全控制技術,挑選最適合企業架構的技術將是一項艱巨的任務,也是這份工作最困難的一面。“有太多好主意”,Brody認為,而針對所有這些技術控制的深入評估在信息安全空間完全缺失。
每一位信息安全官都在進行決策,而不幸的是,一些最好的法子是單點解決方案。“當有整體架構可確保所有不同領域的安全時,首席信息安全官不可能關注于單點方案上。”他接著說。“單點方案不能解決1%的問題,因此你總是在尋找可以采用的企業級方案以改進風險概況。”
未知的職業通道
盡管這些工作的重要性,信息安全職業通道一直定位不清,同時還需要更多的勞動力。美國國土安全部于2013年7月發布的《美國國家網絡空間勞動力框架》,旨在就角色定位、技能要求及職業通道進行員工教育。該框架由美國國家標準和技術研究院(NIST)、美國國家網絡空間安全教育計劃(NICE)與政府和私營實體聯合開發。根據這個框架,CISO的定位不同于信息系統安全官、IT總監以及風險執行官,其主要負責安全項目管理:
管理組織內的信息安全隱患、特定項目或承擔其他領域的責任,包括戰略、人員、基礎設施、政策執行、應急規劃、安全意識和其他資源。
就網絡空間安全而言,根據這個框架定義,首席信息官負責戰略規劃與策略制定。Clinger- Cowen法案(前身是1996年的信息技術管理變革法案)定義了政府部門的CIO職能。2002年的聯邦信息安全管理法案(FISMA)定義了高級機構信息安全官,它已逐漸成為首席信息安全官。這兩個角色都在持續發展中。
Brody認為,當CIO與CISO在企業中協同工作時,CIO的工作本質是“電源、ping以及管道”。CISO職位是保護、防御、回應、響應及恢復,而且這一連續的信息安全可能會干涉CIO的預算優先級以及保持所有系統運行的意愿。Ponemon研究表明,如果CISO繞過CIO、直接向董事會以及其他高管匯報,通常這種匯報方式會為CISO帶來更高的薪酬。
Ponemon研究表明,如果CISO繞過CIO、直接向董事會以及其他高管匯報,通常這種匯報方式會為CISO帶來更高的薪酬。
CISO向董事會匯報的方式(針對1000人或以上規模公司的研究)
N=133位CISO,《2013薪水基準報告》,Ponemon Institute。
Brody認為:“這兩個角色都在演進中。讓我們思考IT技術的未來。如果每一個企業都將采用“自帶設備”(BYOD)辦公方式,減少基礎設施投入,把所有應用都放到云里面去,那么CIO與安全官的職能很快將進行對調。”
業界需要為信息安全從業人員定義一條職業通道,并指引他們獲得更好的職業發展。Brody認為,CISO職業現在僅僅在做自我定位。他說:“它是一片這樣的職場,成功未獲得通常意義的承認,而失敗被不成比例地過度強調,有時還會登上《華盛頓郵報》頭版。但它是非常有意義的精神享受,也即完成某件事的當天結束時獲得的那種成就感。信息安全這類職業沒有常規可循。”
