隨著國(guó)際上對(duì)于網(wǎng)絡(luò)安全的重視程度逐漸增加，CIO逐漸受到眾多企業(yè)的接受與認(rèn)可。但是，他們雖然頂著“C”的頭銜，但在決策權(quán)上可能處于弱勢(shì)，且需要同時(shí)應(yīng)對(duì)來(lái)自外部的安全威脅以及來(lái)自內(nèi)部不同層面的壓力。這個(gè)職位問世多年以來(lái)，CISO的職場(chǎng)生存現(xiàn)狀如何？2019年他們最關(guān)注什么又最擔(dān)憂什么？他們將如何自我突破與成長(zhǎng)？一些調(diào)查報(bào)告也許可以給出參考答案。

[[259225]]

一、 CISO的困境

確切來(lái)說(shuō)，除了踏實(shí)的專業(yè)基礎(chǔ)與實(shí)踐外，CISO的工作主要是與人打交道，向領(lǐng)導(dǎo)匯報(bào)工作、爭(zhēng)取預(yù)算與資源；向下屬下達(dá)意見、統(tǒng)籌指揮；應(yīng)對(duì)威脅背后的黑客……這意味著，他們不僅技術(shù)能力要過關(guān)，還要會(huì)處理復(fù)雜的業(yè)務(wù)與人際關(guān)系。可以說(shuō)，現(xiàn)代的CISO就像外交官一樣，他們的斡旋與決策決定著整個(gè)團(tuán)隊(duì)或企業(yè)的安全防御水平。而隨著網(wǎng)絡(luò)威脅不斷增加、網(wǎng)絡(luò)安全問題真正影響到企業(yè)業(yè)務(wù)，CISO面臨的壓力也逐漸增大。

1. 安全事件難以避免又無(wú)法預(yù)見，確保安全需要平衡多方資源

大部分CISO表示他們沒有足夠的資源來(lái)防范威脅、保護(hù)企業(yè)安全，其中最短缺的是人才。人手不足會(huì)導(dǎo)致安全效率降低。被調(diào)查者普遍反映網(wǎng)絡(luò)中存在約70%已經(jīng)發(fā)現(xiàn)的惡意軟件，潛伏時(shí)間未知；有些惡意軟件存在的時(shí)間可能超過一年。

近些年，人們逐漸達(dá)成共識(shí)，認(rèn)為隨著數(shù)字化進(jìn)程加快，遭受威脅的面積逐漸增多，安全事件的確難以避免，安全團(tuán)隊(duì)也無(wú)法將防護(hù)做到滴水不漏。哪怕一行代碼出了問題就會(huì)引發(fā)大災(zāi)難。

超過60%的受訪CISO確認(rèn)曾經(jīng)在公司的網(wǎng)絡(luò)或設(shè)備中發(fā)現(xiàn)了潛伏的惡意軟件；三分之一左右的受訪者表示對(duì)公司的安全狀況有清晰把握，且確認(rèn)沒有惡意軟件潛伏；有將近9%的受訪者對(duì)此表示不確定，這個(gè)結(jié)果不禁讓人擔(dān)憂。

在發(fā)現(xiàn)惡意軟件的案例中，花費(fèi)的平均時(shí)間為14天。其中有一小部分案例發(fā)現(xiàn)的周期超過三個(gè)月，甚至六個(gè)月。還有一位匿名者表示其團(tuán)隊(duì)發(fā)現(xiàn)威脅時(shí)，惡意軟件已經(jīng)存在長(zhǎng)達(dá)400天的時(shí)間，超過了一年。相比之下，調(diào)查結(jié)果顯示英國(guó)安全團(tuán)隊(duì)?wèi)?yīng)急響應(yīng)的效率比美國(guó)安全團(tuán)隊(duì)的效率低。他們發(fā)現(xiàn)威脅的平均周期大約是18天，比美國(guó)平均周期9.5天多出一倍。

這樣的結(jié)果背后有兩個(gè)主要誘因，首先就是網(wǎng)絡(luò)威脅無(wú)孔不入，整體防御方案無(wú)法盡善盡美。另一方面，CISO認(rèn)為資源的短缺也是造成安全防護(hù)效率不高的原因。57%的受訪者表示所在企業(yè)的安全預(yù)算有限，63%的受訪者認(rèn)為人員調(diào)配是一大難題。其中最重要的是，企業(yè)缺乏對(duì)安全團(tuán)隊(duì)員工的有效管理。65%的受訪者都認(rèn)為這一點(diǎn)至關(guān)重要也最為匱乏。

如果按照預(yù)算、人力、技術(shù)和高級(jí)管理這四個(gè)維度具體區(qū)分，CISO對(duì)企業(yè)技術(shù)配備情況滿意度較高，對(duì)于人力和高級(jí)管理的滿意度較低。

2. 董事會(huì)對(duì)于安全認(rèn)知不清，高管團(tuán)隊(duì)缺乏安全專家

調(diào)查顯示，僅有一小部分董事會(huì)成員對(duì)網(wǎng)絡(luò)有深入的了解。盡管CISO認(rèn)為他們的工作很重要，但并沒有很多人認(rèn)可CISO的戰(zhàn)略職能。 60％的CISO自信地認(rèn)為董事會(huì)知曉泄露事件難以避免，但一旦此類事件發(fā)生，仍有三分之一的CISO會(huì)被解雇或受到處分。只有不到三分之一的人可以在CISO崗位上待滿三年。

大部分CISO都期待董事會(huì)中至少有一個(gè)懂安全技術(shù)的成員，這樣才能更好地開展業(yè)務(wù)。但是事實(shí)上，董事會(huì)中有安全專家的比例不到6%。還有30%的受訪CISO承認(rèn)其團(tuán)隊(duì)中連一個(gè)專家都沒有。導(dǎo)致CISO常常覺得自己的與其他組織或團(tuán)隊(duì)脫節(jié)，也得不到合理的管理與指導(dǎo)。

52%的受訪者表示董事會(huì)認(rèn)可安全團(tuán)隊(duì)的價(jià)值，認(rèn)為他們能保障利潤(rùn)和品牌聲譽(yù)（美國(guó)的比例是44%；而英國(guó)的比例是60%）。

3. CISO很難讓生活與工作分開，且常年處于壓力之中

受訪的CISO都覺得自己壓力很大，91％的人表示他們承受著中等程度或嚴(yán)重壓力，60％的人表示很難抽離工作。受訪者中中有88％的CISO每周工作時(shí)間超過40小時(shí)。 四分之一的人認(rèn)為這份工作對(duì)他們的身心健康以及個(gè)人和家庭關(guān)系產(chǎn)生了影響。 近17％的CISO正在用藥物或酒精來(lái)緩解工作壓力。

二、CISO的成就與挑戰(zhàn)

思科剛剛發(fā)布的《2019CISO基準(zhǔn)研究報(bào)告》顯示，2018 — 2019年，CISO高度關(guān)注供應(yīng)商之間的聯(lián)合、與網(wǎng)絡(luò)和安全團(tuán)隊(duì)之間的合作以及能夠提升組織整體安全防護(hù)水平并減少風(fēng)險(xiǎn)的安全意識(shí)培訓(xùn)。此外，面對(duì)愈發(fā)復(fù)雜的安全環(huán)境，很多CISO都認(rèn)為企業(yè)上云有助于更好地保護(hù)資產(chǎn)安全。

65%的受訪者認(rèn)為檢測(cè)入侵、阻止入侵且緩解修復(fù)并非易事，用戶、數(shù)據(jù)、設(shè)備、APP等帶來(lái)的威脅無(wú)一不令人擔(dān)憂。為了應(yīng)對(duì)這些威脅，44%的受訪者會(huì)加大投資安全防護(hù)技術(shù)；39%的受訪者會(huì)針對(duì)原進(jìn)行安全意識(shí)培訓(xùn)；39%的受訪者則青睞風(fēng)險(xiǎn)緩解技術(shù)。調(diào)查結(jié)果顯示，超過一半的受訪者則通過各種手段成功將損失降低到50萬(wàn)美元以下。當(dāng)然，需要注意的是，還有8%的受訪者表示他們?cè)?jīng)歷的安全風(fēng)險(xiǎn)造成過超過500萬(wàn)美元的損失。

這一年，CISO通過不斷的整合與培訓(xùn)以及技術(shù)投入，成功降低了安全風(fēng)險(xiǎn)：

A. 從選擇單個(gè)安全產(chǎn)品轉(zhuǎn)向整合解決方案：2017年，使用10個(gè)或以下廠商安全產(chǎn)品的受訪者有54%，而本次的比例則達(dá)到了63%；當(dāng)下環(huán)境中很多廠商的解決方案并未整合，在威脅預(yù)警等方面無(wú)法體現(xiàn)時(shí)效性。因此，哪怕只使用了較少的單個(gè)安全產(chǎn)品，也可以通過企業(yè)整體安全架構(gòu)進(jìn)行合理的部署與整合，進(jìn)而更好地管理安全預(yù)警與威脅情報(bào)；

B.  推進(jìn)團(tuán)隊(duì)間緊密合作，減少損失：95%的受訪者認(rèn)為所在組織的安全團(tuán)隊(duì)與技術(shù)團(tuán)隊(duì)能高度且緊密地合作；這95%的受訪者中，又有59%的人表示其所在團(tuán)隊(duì)因安全問題遭遇的損失在10萬(wàn)美元以下，與他人相比損失最小。

C. 關(guān)注基于云的安全解決方案，云安全未來(lái)可期：93%的受訪者認(rèn)為業(yè)務(wù)上云能提升效率；認(rèn)為保護(hù)云設(shè)施存在困難的受訪者比例從55%降低到52%；

D. 購(gòu)買網(wǎng)絡(luò)保險(xiǎn)并推動(dòng)風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)量表的普及，有助于選擇合適的技術(shù)，并協(xié)助CISO專注于安全運(yùn)營(yíng)實(shí)踐：40%的受訪者全面或部分采用了網(wǎng)絡(luò)保險(xiǎn)，爭(zhēng)取合理預(yù)算；

E. “網(wǎng)絡(luò)信息疲勞”癥從46%下降到30%

但同時(shí)，他們?nèi)耘f面臨著大量挑戰(zhàn)。

A. 盡管合理地使用AI和機(jī)器學(xué)習(xí)技術(shù)有助于威脅預(yù)警。但實(shí)際落地過程依舊曲折。機(jī)器學(xué)習(xí)的使用率從77%降低到了67%；AI的使用率從74%降低到了66%；自動(dòng)化技術(shù)的使用率從83%降低到了75%。這意味著，新技術(shù)在安全領(lǐng)域的實(shí)際應(yīng)用需要不斷的磨合并經(jīng)歷爭(zhēng)議。具體成效，有待檢驗(yàn)；

B. 雇員/用戶已經(jīng)成為巨大的安全挑戰(zhàn)，安全意識(shí)培訓(xùn)必不可少。僅51%的受訪者表示在員工入職、轉(zhuǎn)崗或離職過程中有合理且完善的安全管理流程；

C. 郵件依舊是很大的攻擊向量，郵件安全不容忽視。釣魚與高風(fēng)險(xiǎn)用戶行為是CISO最擔(dān)憂的安全問題，連續(xù)三年所占比例都在56%—57%之間；

D. 告警管理與處置對(duì)于很多企業(yè)而言依舊是挑戰(zhàn)。數(shù)據(jù)顯示，對(duì)于告警的有效處理從50.5%下降到42.7%。花費(fèi)大量時(shí)間監(jiān)測(cè)用于評(píng)估安全效率的受訪者比例從61%降低到51%。而補(bǔ)救時(shí)間作為另一種評(píng)估標(biāo)準(zhǔn)，從30%上升到48%。

三、 CISO將如何自我突破

策略選擇

基于網(wǎng)絡(luò)保險(xiǎn)和風(fēng)險(xiǎn)評(píng)估、結(jié)合實(shí)用策略，衡量安全需求，并以此為參考，預(yù)估安全預(yù)算并指導(dǎo)采購(gòu)、戰(zhàn)略和管理決策；

參考并采用經(jīng)過驗(yàn)證技術(shù)或方法，降低被入侵的風(fēng)險(xiǎn)。定期進(jìn)行安全演練并提前部署一些安全產(chǎn)品，掌握有效的應(yīng)急響應(yīng)方法；

如果公司部門較多，推進(jìn)IT部門、安全和風(fēng)險(xiǎn)/合規(guī)小組等多部門之間的溝通協(xié)作，才能更好地理解業(yè)務(wù)的基本安全需求，制定更合適的安全策略；

將威脅檢測(cè)與訪問保護(hù)相結(jié)合，以應(yīng)對(duì)內(nèi)部威脅，踐行零信任原則；

通過網(wǎng)絡(luò)釣魚培訓(xùn)、多因素身份驗(yàn)證、垃圾郵件過濾機(jī)制和DMARC等方式防范電子郵件泄露，解決頭號(hào)威脅。

緩解壓力

心理專家認(rèn)為，CISO這群人壓力大的原因在于他們不僅要處理各種各樣的安全威脅、保護(hù)公司安全，還在于安全本身與業(yè)務(wù)、技術(shù)之間存在沖突進(jìn)而帶來(lái)大量需要溝通、協(xié)調(diào)的問題。有時(shí)候，后者甚至比前者更讓人心累。不被理解、不被重視、福利待遇與付出不成正比等問題還會(huì)影響到CISO的創(chuàng)造力與生產(chǎn)力，帶來(lái)更多身心問題，造成惡性循環(huán)。

專家建議，要想緩解壓力，可以從以下三點(diǎn)做起：

1. 心態(tài)積極，合理利用網(wǎng)絡(luò)資源，尋找并使用合適的防護(hù)工具，提升效率；

2. 適當(dāng)?shù)嘏c同事或家人傾訴壓力；還可以從其他多個(gè)渠道獲取支持；盡量不要保持沉默、憋在心里

3.酒精、暴飲暴食以及其他極端方式并非健康的解壓之道，也非長(zhǎng)久之計(jì)可以嘗試通過體育鍛煉等方式，保持身心健康。

當(dāng)然，除了CISO，其他安全從業(yè)者其實(shí)也面臨著不同的壓力。希望大家都能健康順利。畢竟，少了“你”，世界都會(huì)不安。