自從 2014 年 Target、Home Depot 先后遭遇大規(guī)模數(shù)據(jù)泄露事件，大型行業(yè)企業(yè)的高級(jí)管理層開始接觸到一個(gè)全新的職位名稱：CISO(首席信息安全官)。Target 數(shù)據(jù)泄露事故導(dǎo)致公司當(dāng)年利潤暴跌 46%，CIO 和 CEO 原地引咎辭職，隨后 Target 董事會(huì)請(qǐng)來了更懂安全的前國土安全部顧問擔(dān)當(dāng) CIO，同時(shí)還在公司歷史上首次設(shè)立了 CISO 崗位。Home Depot 也如法炮制，請(qǐng)來安全大咖 Jamil Farshchi 擔(dān)任 CISO，當(dāng)時(shí) Home Depot 給 CISO 這個(gè)崗位開出的價(jià)碼是年薪數(shù)十萬美元，一個(gè)不痛不癢的價(jià)位。

[[286895]]

2018 年，信用報(bào)告公司 Equifax 因泄露 1.4 億人的敏感信息被聯(lián)邦政府罰款7億美元，CEO Rich Smith 火速辭職，這一次 Equifax 決定從 Home Depot 把 Jamil Farshchi 挖過來，并開出了 389 萬美元的天價(jià)年薪。類似的，2012 年 Matt Comyns 的安全主管身價(jià)是 65 萬年薪，2019 年，相同崗位的價(jià)碼躥升到 250 萬美元。

僅僅四年時(shí)間，美國 CISO 的身價(jià)從數(shù)十萬美元，飆漲到了數(shù)百萬美元。原因很簡單，一方面是高級(jí)安全人才的全球性短缺，另一方面是因?yàn)檫`規(guī)成本高得嚇人，根據(jù) IBM 公司和 Ponemon Institute 的一項(xiàng)研究，美國公司違規(guī)的平均成本約為 800 萬美元。

不斷加碼的薪酬方案和不斷擴(kuò)大的職責(zé)，對(duì)于曾經(jīng)混跡IT部門，從未引起高級(jí)管理層注意的一群信息安全 “工頭” 來說是一個(gè)巨大的轉(zhuǎn)變。他們似乎一夜之間變成了鋼鐵俠，扛著 “總鏢頭” 的旗號(hào)來到了董事會(huì)的桌前。但是在這條金光燦燦的職業(yè)道路上，也暗藏著各種危機(jī)，如果不能做到 “預(yù)防性駕駛”，那么無限風(fēng)光的 “鋼鐵俠”，隨時(shí)有可能變成 “美國隊(duì)長”(背鍋俠)。

根據(jù) Osterman Research 對(duì)全球 408 位 CISO 的調(diào)查，55% 的受訪者任期不到三年，30% 不到 2 年(美國勞工部的數(shù)據(jù)是平均 4.2 年)。這些離職的 CISO 中，相當(dāng)一部分 “翻車” 的原因并非是成了重大數(shù)據(jù)泄露事故的背鍋俠，而是因?yàn)槿粘９芾矸矫娲嬖?“軟傷“。

以下，我們總結(jié)了企業(yè)信息安全主管和CISO半路翻車的十大常見原因：

1. 不能用管理層能理解的方式說話

網(wǎng)絡(luò)安全現(xiàn)在是董事會(huì)級(jí)別的議程項(xiàng)目，董事會(huì)成員和整個(gè)公司高層都希望 CISO 對(duì)企業(yè)安全態(tài)勢(shì)的強(qiáng)項(xiàng)、弱點(diǎn)、改進(jìn)計(jì)劃以及所有這些措施如何匹配企業(yè)的總體戰(zhàn)略發(fā)表建議。Parkview Health 信息安全副總裁兼 CISO，卡內(nèi)基梅隆大學(xué)亨氏信息系統(tǒng)與公共政策學(xué)院副教授 Darrell Keeling 說，許多 CISO 通過一系列技術(shù)職位升任該職位，還沒有準(zhǔn)備好發(fā)表董事會(huì)期望的戰(zhàn)略級(jí)演講。

他們沒有得到指導(dǎo)或訓(xùn)練，無法與組織的高層對(duì)話。

結(jié)果，一些 CISO 很難以董事會(huì)期望的，以戰(zhàn)略業(yè)務(wù)為重點(diǎn)的術(shù)語來提出與安全相關(guān)的問題，從而使董事會(huì)對(duì)安全主管的印象不佳。一些 CISO 干脆選擇讓 CIO，CTO 或其他高管代表代為出席，這進(jìn)一步增加了董事會(huì)和 CISO 之間的疏遠(yuǎn)感。而事故發(fā)生時(shí)，人們常常會(huì)抱怨 CISO 對(duì)董事會(huì)而言并不透明。

2. 報(bào)喜不報(bào)憂

在 CISO 與公司管理層和董事會(huì)溝通時(shí)，一個(gè)常見的問題就是 CISO 傾向掩飾問題，僅向董事會(huì)展示積極指標(biāo)。一些 CISO 之所以這樣做，是因?yàn)樗麄儾幌Ｍ髀冻鰺o力感，或者錯(cuò)誤地認(rèn)為挑戰(zhàn)已超出了董事會(huì)的討論(理解)范圍。

無論出于何種原因，CISO 都會(huì)執(zhí)迷于 '我不能告訴董事會(huì)，至少不能讓他們知道…

但是董事會(huì)很少會(huì)被糊弄過去。

雖然可能并不是安全專家，但董事會(huì)成員知道企業(yè)信息安全問題比一堆綠色小指標(biāo)看上去更加復(fù)雜。而且，他們很可能會(huì)對(duì)在交付報(bào)告時(shí)無法做到開誠布公和透明的 CISO 失去信心。董事會(huì)不想被告知一切都很棒。CISO必須能夠告訴他們企業(yè)的實(shí)際情況，必須對(duì)他們進(jìn)行誠實(shí)的評(píng)估，并給他們信心，拿出一個(gè)切實(shí)的推進(jìn)計(jì)劃。

3. 給老板“驚喜”

CEO 或者任何其他直接或間接監(jiān)管安全職能的高管都不喜歡 “驚喜”。

老板們可不希望在攻擊或者事故發(fā)生后，才被 CISO 告知這些威脅確實(shí)存在，而且需要花一大筆錢亡羊補(bǔ)牢。網(wǎng)絡(luò)安全培訓(xùn)組織 SANS 研究所新興安全趨勢(shì)總監(jiān)John Pescatore表示，CEO 非常不希望以這種方式了解企業(yè)的安全需求。如果發(fā)生這種事，CISO 離 “涼涼” 就不遠(yuǎn)了。

4. 不愛惜羽毛

對(duì)于 CISO 來說，作為行走江湖的 “總瓢把子”，沒有什么比職業(yè)操守和聲譽(yù)更重要的了。如果 CISO 提出重要的安全問題、合規(guī)問題或道德問題，但公司上下沒有人關(guān)心，那么這位 CISO 就該小心了。CISO 可能會(huì)與其他不認(rèn)同安全措施的企業(yè)領(lǐng)導(dǎo)者發(fā)生沖突。如果選擇同流合污、一團(tuán)和氣，那么 CISO 就會(huì)面臨自身的職業(yè)榮譽(yù)受到損害。

因此，CISO 在上崗之前或面試過程中務(wù)必不要忘記試探企業(yè)和高管關(guān)鍵價(jià)值觀，確定企業(yè)的道德立場在可以接受的范圍內(nèi)。

5. 錯(cuò)誤的安全價(jià)值觀

想坐穩(wěn) CISO 的位子，最重要的一點(diǎn)是不能讓安全成為業(yè)務(wù)增長的障礙。安全不能給企業(yè)數(shù)字化轉(zhuǎn)型和敏捷化 “拖后腿”。如果一個(gè) CISO 或者安全團(tuán)隊(duì)只會(huì)說：“對(duì)不起，'我們不能確保新業(yè)務(wù)計(jì)劃(產(chǎn)品或者app)是安全的，我們還需要做一些不可描述的工作。” 那么 CISO 就會(huì)被企業(yè)業(yè)務(wù)部門視為絆腳石和攔路虎，一個(gè) “no” 先生是長不了的。

6. 抓小放大

Osterman Research 的 2019 CISO 調(diào)查顯示，只有6.8% 的 CISO 在重大信息安全事故后成為 “背鍋俠” 被勸退，大多數(shù) CISO 都不會(huì)在發(fā)生違規(guī)事件時(shí)被解雇，但如果這些事故是職責(zé)范圍內(nèi)的疏忽，忽略或錯(cuò)過了重大威脅預(yù)警信號(hào)，就可能丟掉飯碗。例如失察被收購公司中的安全漏洞，或者嚴(yán)重低估企業(yè)在已知安全威脅中面臨的風(fēng)險(xiǎn)。即使事后解決了由此產(chǎn)生的問題，首席執(zhí)行官和董事會(huì)也會(huì)對(duì) CISO 失去信心

7. 落后于競爭對(duì)手

當(dāng)類似的安全威脅席卷同行業(yè)多家企業(yè)的時(shí)候，企業(yè)高管和董事會(huì)就有機(jī)會(huì)觀察誰家的 CISO 沒有穿泳褲，例如業(yè)務(wù)恢復(fù)速度落后于同行的 CISO 往往也會(huì)被追究責(zé)任，造成損失 “鶴立雞群” 的企業(yè)的 CISO，往往也會(huì)被管理層彈劾。

8. 簽賣身契

CISO 入職前要看清楚組織結(jié)構(gòu)圖和預(yù)算。如果 CISO 職位在該企業(yè)的組織結(jié)構(gòu)圖上被下調(diào)了幾個(gè)級(jí)別(例如向 CEO、CIO 以外的較低管理層匯報(bào))，而且薪酬也大大落后于其他高管，這樣的企業(yè)往往是在找一個(gè)關(guān)鍵時(shí)候頂上去的 “背鍋俠“。

組織結(jié)構(gòu)圖和預(yù)算比例能夠直觀地反映企業(yè)對(duì)安全的重視程度以及定位，有些企業(yè)將安全看作是業(yè)務(wù)的推動(dòng)力，而有些企業(yè)認(rèn)為安全是成本中心。

《福布斯》和 Fortinet 在 2019 年對(duì) 209 個(gè) CISO 進(jìn)行的調(diào)查發(fā)現(xiàn)，有 36% 的 CISO 表示預(yù)算不足對(duì)他們的網(wǎng)絡(luò)安全計(jì)劃有重大影響，18% 的人認(rèn)為預(yù)算限制是最大的限制。

9. 糟糕的辦公室氣氛

根據(jù) (ISC)² 2019 年網(wǎng)絡(luò)安全勞動(dòng)力研究報(bào)告：網(wǎng)絡(luò)安全行業(yè)中的女性僅占網(wǎng)絡(luò)安全勞動(dòng)力的四分之一，在其他一些報(bào)告中這個(gè)比例更低，例如 Frost&Sullivan 的一個(gè)調(diào)查數(shù)據(jù)顯示，全球信息安全從業(yè)人員只有 10% 是女性，而且這個(gè)比例常年穩(wěn)定。不僅僅是性別比例嚴(yán)重失衡，很多企業(yè)的辦公室文化非常糟糕，冰冷而且同事間充滿敵意和戒備。如果今天的 CISO 不能打造良好的辦公室文化，那么 CEO 和董事會(huì)就會(huì)謀求換將。

10. 不注重團(tuán)隊(duì)建設(shè)

沒有 CISO 可以無所不能，試圖扮演超級(jí)賽亞人通常會(huì)危及企業(yè)安全并扭曲自己的職業(yè)生涯?！毒W(wǎng)絡(luò)安全領(lǐng)導(dǎo)力：為現(xiàn)代組織提供動(dòng)力》一書的作者 Hasib 說：如果 CISO 不能 “兼容” 有才華的人，那么他們注定不會(huì)成功。

不少 CISO 過于強(qiáng)調(diào)基于技術(shù)的安全解決方案，而不是平衡技術(shù)、人員與流程的網(wǎng)絡(luò)安全三要素。在安全形勢(shì)異常嚴(yán)峻的今天，CISO 必須將打造一支優(yōu)秀團(tuán)隊(duì)作為頭等大事，這也是進(jìn)一步吸引更多安全人才的先決條件。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文