CISO換工作,企業(yè)具有不可推脫的責(zé)任

責(zé)任編輯:cres

作者:Jon Oltsik

2023-03-08 10:21:30

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

首席信息安全官(CISO)經(jīng)常表現(xiàn)不佳、保留期短,對于這兩種結(jié)果,企業(yè)往往負(fù)有不可推脫的責(zé)任。本文介紹了CISO表現(xiàn)不佳和跳槽的具體原因。

CISO是一份艱苦的工作,必須不斷地在業(yè)務(wù)、技術(shù)和法規(guī)需求與員工和對手行為等諸多方面進(jìn)行平衡。也許你能夠建立世界級的網(wǎng)絡(luò)安全計劃,并遵循最佳實踐,為企業(yè)提供特殊的保護(hù)。但即便有這些優(yōu)勢,單個員工無意或有意點(diǎn)擊惡意網(wǎng)頁鏈接,共享密碼,或錯誤配置資產(chǎn),都能讓網(wǎng)絡(luò)攻擊得逞,一旦發(fā)生這種事,最終承擔(dān)責(zé)任的都是你。
 
確實,CISO責(zé)任重大,那么他們是如何應(yīng)對這種沉重負(fù)擔(dān)的?根據(jù)ESG和信息系統(tǒng)安全協(xié)會(ISSA)的研究顯示,情況并不理想。數(shù)據(jù)顯示,57%的網(wǎng)絡(luò)安全專業(yè)人士認(rèn)為他們企業(yè)的CISO只是有點(diǎn)作用,不是很有用,或者根本沒有作用。
 
CISO的表現(xiàn)視情況而定
 
從研究的字里行間可以看出,CISO表現(xiàn)平平往往是由具體情境決定的,隨著CISO從一份工作換到另一份工作,這造成了大量的流失。利用ESG/ISSA的研究,我們可以同時深入挖掘CISO表現(xiàn)不佳和跳槽的原因。當(dāng)被問及“為什么CISO傾向于每兩到四年換一次工作”時,受訪安全專業(yè)人士的回答如下:
 
• 33%的人認(rèn)為,CISO在另一個企業(yè)獲得更高的薪酬后會換工作,這可能與工作表現(xiàn)或滿意度無關(guān)。數(shù)據(jù)顯示很多CISO會被提供高達(dá)40%加薪。面對這種高薪誘惑,CISO通常很難拒絕,所以首席執(zhí)行官、董事會和人力資源高管有責(zé)任記?。簭?qiáng)大的CISO永遠(yuǎn)是最搶手,總有人愿意高薪挖掘。所以高管們必須監(jiān)控招聘形勢,不斷評估如何才能讓一位成功的首席信息官滿意。
 
• 31%的人認(rèn)為,當(dāng)他們當(dāng)前的企業(yè)文化不重視網(wǎng)絡(luò)安全時,CISO就會換工作。顯然,CISO的工作表現(xiàn)與網(wǎng)絡(luò)安全文化高度相關(guān)。如果沒有安全保護(hù),員工就會胡作非為,安全團(tuán)隊就會一直處于緊急狀態(tài)——這并不是一個健康的工作環(huán)境。CISO可以影響文化,但CEO(和HR)必須推動文化變革。如果沒能做到這一點(diǎn),CISO就無法完成他們的工作,并轉(zhuǎn)身離開。
 
• 29%的人認(rèn)為,當(dāng)網(wǎng)絡(luò)安全預(yù)算與企業(yè)規(guī)模不相稱時,CISO就會換工作。金錢買不到愛情,但如果明智地使用,它可以幫助加強(qiáng)網(wǎng)絡(luò)安全防護(hù)。不要誤會我的意思,CISO可以也應(yīng)該管理和最大化費(fèi)用,但他們所能做的是有限的。長期資金不足的安全計劃表明存在溝通問題(例如,CISO不能充分解釋他們需要什么以及為什么需要它),或者更有可能是意識上的問題(例如,首席執(zhí)行官和董事會不相信其企業(yè)會成為攻擊目標(biāo))。無論如何,CISO“難為無米之炊”,而是傾向于離職尋找更好的企業(yè)。
 
• 27%的人認(rèn)為,當(dāng)無法積極參與執(zhí)行管理層和董事會會議時,CISO就會換工作。這里有一個模式,當(dāng)CISO不與高管和董事會接觸時,業(yè)務(wù)決策就會避開網(wǎng)絡(luò)風(fēng)險管理或威脅建模等事情。CISO被認(rèn)為是習(xí)慣說“不”的專家,不能充分保護(hù)業(yè)務(wù),而網(wǎng)絡(luò)安全團(tuán)隊則處于持續(xù)的滅火狀態(tài)。CISO傾向于從這種“贏不了”的場景中離職。
 
• 25%的人認(rèn)為,當(dāng)他們的企業(yè)將網(wǎng)絡(luò)安全視為監(jiān)管合規(guī)時,CISO會更換工作。如今,大多數(shù)企業(yè)已經(jīng)開始理解強(qiáng)大的網(wǎng)絡(luò)安全復(fù)選框和合規(guī)性復(fù)選框之間的區(qū)別。但可惜,有些人還沒有。這是一個潛在的職業(yè)殺手,所以聰明的CISO會迅速離開以合規(guī)為中心的公司。
 
CISO求職的危險信號
 
顯而易見的是,CISO的成功和任期與所在企業(yè)的執(zhí)行管理決策高度相關(guān)。雖然我確信CISO在面試過程中從獵頭、人力資源經(jīng)理和高管那里得到了一個美好的承諾,但精明的安全高管可能知道他們在前幾周是否有成功的機(jī)會。在這個時候,質(zhì)疑過后,往往是更新簡歷和職業(yè)發(fā)展計劃。
 
在找工作的過程中,CISO也應(yīng)該注意危險信號。如果一個企業(yè)在過去五年中更換了多位CISO,那么前任CISO可能在其他地方獲得了更多的薪資,或者,可能是文化、預(yù)算和管理障礙使企業(yè)成為CISO的“無人區(qū)”,入職需謹(jǐn)慎。
 
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號