自從 2014 年 Target、Home Depot 先后遭遇大規(guī)模數(shù)據(jù)泄露事件，大型行業(yè)企業(yè)的高級管理層開始接觸到一個全新的職位名稱：CISO(首席信息安全官)。Target 數(shù)據(jù)泄露事故導致公司當年利潤暴跌 46%，CIO 和 CEO 原地引咎辭職，隨后 Target 董事會請來了更懂安全的前國土安全部顧問擔當 CIO，同時還在公司歷史上首次設(shè)立了 CISO 崗位。Home Depot 也如法炮制，請來安全大咖 Jamil Farshchi 擔任 CISO，當時 Home Depot 給 CISO 這個崗位開出的價碼是年薪數(shù)十萬美元，一個不痛不癢的價位。

[[286895]]

2018 年，信用報告公司 Equifax 因泄露 1.4 億人的敏感信息被聯(lián)邦政府罰款7億美元，CEO Rich Smith 火速辭職，這一次 Equifax 決定從 Home Depot 把 Jamil Farshchi 挖過來，并開出了 389 萬美元的天價年薪。類似的，2012 年 Matt Comyns 的安全主管身價是 65 萬年薪，2019 年，相同崗位的價碼躥升到 250 萬美元。

僅僅四年時間，美國 CISO 的身價從數(shù)十萬美元，飆漲到了數(shù)百萬美元。原因很簡單，一方面是高級安全人才的全球性短缺，另一方面是因為違規(guī)成本高得嚇人，根據(jù) IBM 公司和 Ponemon Institute 的一項研究，美國公司違規(guī)的平均成本約為 800 萬美元。

不斷加碼的薪酬方案和不斷擴大的職責，對于曾經(jīng)混跡IT部門，從未引起高級管理層注意的一群信息安全 “工頭” 來說是一個巨大的轉(zhuǎn)變。他們似乎一夜之間變成了鋼鐵俠，扛著 “總鏢頭” 的旗號來到了董事會的桌前。但是在這條金光燦燦的職業(yè)道路上，也暗藏著各種危機，如果不能做到 “預防性駕駛”，那么無限風光的 “鋼鐵俠”，隨時有可能變成 “美國隊長”(背鍋俠)。

根據(jù) Osterman Research 對全球 408 位 CISO 的調(diào)查，55% 的受訪者任期不到三年，30% 不到 2 年(美國勞工部的數(shù)據(jù)是平均 4.2 年)。這些離職的 CISO 中，相當一部分 “翻車” 的原因并非是成了重大數(shù)據(jù)泄露事故的背鍋俠，而是因為日常管理方面存在 “軟傷“。

以下，我們總結(jié)了企業(yè)信息安全主管和CISO半路翻車的十大常見原因：

1. 不能用管理層能理解的方式說話

網(wǎng)絡(luò)安全現(xiàn)在是董事會級別的議程項目，董事會成員和整個公司高層都希望 CISO 對企業(yè)安全態(tài)勢的強項、弱點、改進計劃以及所有這些措施如何匹配企業(yè)的總體戰(zhàn)略發(fā)表建議。Parkview Health 信息安全副總裁兼 CISO，卡內(nèi)基梅隆大學亨氏信息系統(tǒng)與公共政策學院副教授 Darrell Keeling 說，許多 CISO 通過一系列技術(shù)職位升任該職位，還沒有準備好發(fā)表董事會期望的戰(zhàn)略級演講。

他們沒有得到指導或訓練，無法與組織的高層對話。

結(jié)果，一些 CISO 很難以董事會期望的，以戰(zhàn)略業(yè)務(wù)為重點的術(shù)語來提出與安全相關(guān)的問題，從而使董事會對安全主管的印象不佳。一些 CISO 干脆選擇讓 CIO，CTO 或其他高管代表代為出席，這進一步增加了董事會和 CISO 之間的疏遠感。而事故發(fā)生時，人們常常會抱怨 CISO 對董事會而言并不透明。

2. 報喜不報憂

在 CISO 與公司管理層和董事會溝通時，一個常見的問題就是 CISO 傾向掩飾問題，僅向董事會展示積極指標。一些 CISO 之所以這樣做，是因為他們不希望流露出無力感，或者錯誤地認為挑戰(zhàn)已超出了董事會的討論(理解)范圍。

無論出于何種原因，CISO 都會執(zhí)迷于 '我不能告訴董事會，至少不能讓他們知道…

但是董事會很少會被糊弄過去。

雖然可能并不是安全專家，但董事會成員知道企業(yè)信息安全問題比一堆綠色小指標看上去更加復雜。而且，他們很可能會對在交付報告時無法做到開誠布公和透明的 CISO 失去信心。董事會不想被告知一切都很棒。CISO必須能夠告訴他們企業(yè)的實際情況，必須對他們進行誠實的評估，并給他們信心，拿出一個切實的推進計劃。

3. 給老板“驚喜”

CEO 或者任何其他直接或間接監(jiān)管安全職能的高管都不喜歡 “驚喜”。

老板們可不希望在攻擊或者事故發(fā)生后，才被 CISO 告知這些威脅確實存在，而且需要花一大筆錢亡羊補牢。網(wǎng)絡(luò)安全培訓組織 SANS 研究所新興安全趨勢總監(jiān)John Pescatore表示，CEO 非常不希望以這種方式了解企業(yè)的安全需求。如果發(fā)生這種事，CISO 離 “涼涼” 就不遠了。

4. 不愛惜羽毛

對于 CISO 來說，作為行走江湖的 “總瓢把子”，沒有什么比職業(yè)操守和聲譽更重要的了。如果 CISO 提出重要的安全問題、合規(guī)問題或道德問題，但公司上下沒有人關(guān)心，那么這位 CISO 就該小心了。CISO 可能會與其他不認同安全措施的企業(yè)領(lǐng)導者發(fā)生沖突。如果選擇同流合污、一團和氣，那么 CISO 就會面臨自身的職業(yè)榮譽受到損害。

因此，CISO 在上崗之前或面試過程中務(wù)必不要忘記試探企業(yè)和高管關(guān)鍵價值觀，確定企業(yè)的道德立場在可以接受的范圍內(nèi)。

5. 錯誤的安全價值觀

想坐穩(wěn) CISO 的位子，最重要的一點是不能讓安全成為業(yè)務(wù)增長的障礙。安全不能給企業(yè)數(shù)字化轉(zhuǎn)型和敏捷化 “拖后腿”。如果一個 CISO 或者安全團隊只會說：“對不起，'我們不能確保新業(yè)務(wù)計劃(產(chǎn)品或者app)是安全的，我們還需要做一些不可描述的工作。” 那么 CISO 就會被企業(yè)業(yè)務(wù)部門視為絆腳石和攔路虎，一個 “no” 先生是長不了的。

6. 抓小放大

Osterman Research 的 2019 CISO 調(diào)查顯示，只有6.8% 的 CISO 在重大信息安全事故后成為 “背鍋俠” 被勸退，大多數(shù) CISO 都不會在發(fā)生違規(guī)事件時被解雇，但如果這些事故是職責范圍內(nèi)的疏忽，忽略或錯過了重大威脅預警信號，就可能丟掉飯碗。例如失察被收購公司中的安全漏洞，或者嚴重低估企業(yè)在已知安全威脅中面臨的風險。即使事后解決了由此產(chǎn)生的問題，首席執(zhí)行官和董事會也會對 CISO 失去信心

7. 落后于競爭對手

當類似的安全威脅席卷同行業(yè)多家企業(yè)的時候，企業(yè)高管和董事會就有機會觀察誰家的 CISO 沒有穿泳褲，例如業(yè)務(wù)恢復速度落后于同行的 CISO 往往也會被追究責任，造成損失 “鶴立雞群” 的企業(yè)的 CISO，往往也會被管理層彈劾。

8. 簽賣身契

CISO 入職前要看清楚組織結(jié)構(gòu)圖和預算。如果 CISO 職位在該企業(yè)的組織結(jié)構(gòu)圖上被下調(diào)了幾個級別(例如向 CEO、CIO 以外的較低管理層匯報)，而且薪酬也大大落后于其他高管，這樣的企業(yè)往往是在找一個關(guān)鍵時候頂上去的 “背鍋俠“。

組織結(jié)構(gòu)圖和預算比例能夠直觀地反映企業(yè)對安全的重視程度以及定位，有些企業(yè)將安全看作是業(yè)務(wù)的推動力，而有些企業(yè)認為安全是成本中心。

《福布斯》和 Fortinet 在 2019 年對 209 個 CISO 進行的調(diào)查發(fā)現(xiàn)，有 36% 的 CISO 表示預算不足對他們的網(wǎng)絡(luò)安全計劃有重大影響，18% 的人認為預算限制是最大的限制。

9. 糟糕的辦公室氣氛

根據(jù) (ISC)² 2019 年網(wǎng)絡(luò)安全勞動力研究報告：網(wǎng)絡(luò)安全行業(yè)中的女性僅占網(wǎng)絡(luò)安全勞動力的四分之一，在其他一些報告中這個比例更低，例如 Frost&Sullivan 的一個調(diào)查數(shù)據(jù)顯示，全球信息安全從業(yè)人員只有 10% 是女性，而且這個比例常年穩(wěn)定。不僅僅是性別比例嚴重失衡，很多企業(yè)的辦公室文化非常糟糕，冰冷而且同事間充滿敵意和戒備。如果今天的 CISO 不能打造良好的辦公室文化，那么 CEO 和董事會就會謀求換將。

10. 不注重團隊建設(shè)

沒有 CISO 可以無所不能，試圖扮演超級賽亞人通常會危及企業(yè)安全并扭曲自己的職業(yè)生涯?！毒W(wǎng)絡(luò)安全領(lǐng)導力：為現(xiàn)代組織提供動力》一書的作者 Hasib 說：如果 CISO 不能 “兼容” 有才華的人，那么他們注定不會成功。

不少 CISO 過于強調(diào)基于技術(shù)的安全解決方案，而不是平衡技術(shù)、人員與流程的網(wǎng)絡(luò)安全三要素。在安全形勢異常嚴峻的今天，CISO 必須將打造一支優(yōu)秀團隊作為頭等大事，這也是進一步吸引更多安全人才的先決條件。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文