是什么原因造成了CISO的不滿?研究人員、顧問和 CISO 們本身列舉了一系列當(dāng)前不滿的原因，從缺乏高層支持到由最近實(shí)施的安全法規(guī)(如美國(guó)證券交易委員會(huì)(SEC)最近實(shí)施的法規(guī))帶來的責(zé)任增加。

在幾起近期事件中，CISOs 被法律個(gè)人追究處理和報(bào)告安全漏洞的責(zé)任，這一點(diǎn)也無濟(jì)于事，特別是前 Uber CISO Joe Sullivan 的高調(diào)案例，他因未報(bào)告 2016 年的一次數(shù)據(jù)泄露而被判處三年緩刑，罪名是重罪妨礙司法公正和未履行職責(zé)。

擁有 25 年網(wǎng)絡(luò)安全、IT、數(shù)據(jù)隱私和風(fēng)險(xiǎn)管理經(jīng)驗(yàn)的高管 Nick Shevelyov 表示：“今天這個(gè)角色的設(shè)定注定失敗?！彼F(xiàn)在提供網(wǎng)絡(luò)安全咨詢和顧問服務(wù)。

但Shevelyov 和其他人表示，情況并非非得如此。高管、董事和 CISO 們本身可以推動(dòng)角色范圍的改進(jìn)，使這一職位為成功做好準(zhǔn)備，這反過來將意味著更高的工作滿意度，而且或許更重要的是，更安全的組織。

“這是一個(gè)充滿挑戰(zhàn)的時(shí)期，也是一個(gè)充滿機(jī)會(huì)的時(shí)期，”招聘公司 Artico Search 的合伙人 Steven Martano 說。

CISO 的不滿、職業(yè)倦怠及其后果

來自 IANS Research 和 Artico Search 的《2023-2024年 CISO 狀況報(bào)告》發(fā)現(xiàn)，CISO 的工作滿意度為64%，較2022年的74%和2021年的69%有所下降。愿意換工作的 CISO 比例為75%。安全軟件公司 Proofpoint 的《2023年 CISO 之聲報(bào)告》也揭示了一些令人不安的數(shù)據(jù)，顯示73%的美國(guó) CISO 在過去一年經(jīng)歷了職業(yè)倦怠。

同時(shí)，代表安全軟件制造商 Devo Technology 的 Wakefield Research 進(jìn)行的《網(wǎng)絡(luò)安全職業(yè)倦怠調(diào)查：快速閱讀報(bào)告》發(fā)現(xiàn)，83%的受訪安全專業(yè)人員表示，他們或他們部門中的某人因職業(yè)倦怠在其角色中犯了錯(cuò)誤，導(dǎo)致了安全漏洞。約77%的人表示，工作中的壓力水平直接影響了保護(hù)私人客戶數(shù)據(jù)的安全。還有85%的人承認(rèn)，由于職業(yè)倦怠，他們將不得不在未來一年內(nèi)更換工作角色、離開公司或同時(shí)離開公司并更換職業(yè)。

專家們表示，所有這些因素都在導(dǎo)致人員流動(dòng)。根據(jù)《2023年CISO人力和人數(shù)報(bào)告》顯示，CISO的平均任期只有18到26個(gè)月(遠(yuǎn)低于一般C級(jí)高管的4.9年任期)，該報(bào)告由Cybersecurity Ventures發(fā)布。

此外，研究公司Gartner估計(jì)，到2025年將近一半的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者將更換角色，其中25%因工作相關(guān)壓力轉(zhuǎn)向不同職位。

是什么驅(qū)動(dòng)了CISO的不滿?

僅將這些數(shù)字歸咎于安全工作的壓力性質(zhì)似乎很容易，尤其是隨著威脅的數(shù)量和速度增加，需要保護(hù)的基礎(chǔ)設(shè)施和數(shù)據(jù)量也在擴(kuò)大。

但這種說法過于簡(jiǎn)化了問題，Gartner的副總裁兼分析師Chris Mixter表示。畢竟，典型的CISO在安全行業(yè)工作多年后才晉升為最高安全職位，他們已經(jīng)習(xí)慣了壓力、長(zhǎng)時(shí)間工作和全員出動(dòng)的時(shí)刻。他們是以使命為驅(qū)動(dòng)的，并且非常清楚其中的高風(fēng)險(xiǎn)。

相反，CISO們最常指出的是組織問題是他們不滿的原因，Mixter和其他消息來源說。

其中一個(gè)問題與CISO在其組織中的位置有關(guān)。許多人繼續(xù)爭(zhēng)取在執(zhí)行層或董事會(huì)中占有一席之地，他們表示在戰(zhàn)略決策中尚未得到平等的包含，也沒有與最高級(jí)別的執(zhí)行官和董事會(huì)進(jìn)行他們認(rèn)為必需的可見性和溝通。

因此，許多CISO表示，他們沒有得到高層對(duì)安全措施、風(fēng)險(xiǎn)緩解努力和提供所需資金的支持和認(rèn)可。這導(dǎo)致CISO被拉向太多方向，而且在適當(dāng)優(yōu)先安排他們的時(shí)間和資源方面能力有限。

缺乏C級(jí)支持可能令人沮喪

ISSQUARED的CISO Nikolay Chernavsky說：“不滿的原因是缺乏執(zhí)行管理層的支持。” ISSQUARED提供管理的IT和安全服務(wù)以及軟件產(chǎn)品。他表示，當(dāng)CISO們的關(guān)于所需安全措施和可接受風(fēng)險(xiǎn)的觀點(diǎn)被忽視時(shí)，他們會(huì)表達(dá)挫敗感;當(dāng)董事會(huì)和CEO沒有明確他們對(duì)這些問題的立場(chǎng)時(shí);或者當(dāng)這些領(lǐng)導(dǎo)人不承認(rèn)CISO在降低風(fēng)險(xiǎn)方面的工作時(shí)——尤其是當(dāng)CISO面臨更多問責(zé)和責(zé)任時(shí)。

可以理解的是，CISO們避免接受采訪公開分享他們對(duì)這些問題的挫敗感。然而，IANS Research的報(bào)告提到了這些問題，例如，只有36%的CISO表示他們從董事會(huì)那里獲得了明確的風(fēng)險(xiǎn)容忍度指導(dǎo)。

如今，增加了CISO所面臨的責(zé)任，這是因?yàn)槊绹?guó)證券交易委員會(huì)(SEC)新的網(wǎng)絡(luò)披露規(guī)則以及其他監(jiān)管和法律要求。這種增加的責(zé)任與許多CISO不被其組織的董事及高管(D&O)責(zé)任保險(xiǎn)所覆蓋的事實(shí)相結(jié)合。(盡管他們的頭銜中有“高管”部分，但許多公司并不將CISO視為公司高管。)

這些動(dòng)態(tài)加劇了安全決策的責(zé)任與CISO實(shí)際執(zhí)行這些決策的權(quán)力之間的差距，Shevelyov說，他是《網(wǎng)絡(luò)戰(zhàn)爭(zhēng)與和平：以歷史為我們的向?qū)?，今天?gòu)建數(shù)字信任》一書的作者。

長(zhǎng)期的安全領(lǐng)導(dǎo)者表示，這些動(dòng)態(tài)以及責(zé)任與權(quán)力之間的差距，正驅(qū)動(dòng)著市場(chǎng)上的不滿、職業(yè)倦怠和人員流動(dòng)。“核心問題是CISO感受到缺乏支持，特別是缺乏有意義的支持，”IANS Research的高級(jí)研究總監(jiān)Nick Kakolowski說?！癈ISO們感覺自己像是在一個(gè)孤島上操作，而當(dāng)出現(xiàn)問題時(shí)，他們成了替罪羊。”

組織需要變革以保持CISO的滿意度

安全領(lǐng)導(dǎo)者表示，首席執(zhí)行官、董事和其他C級(jí)高管需要聽到這一信息，然后進(jìn)行調(diào)整，如果他們想保留他們的CISO并確保其安全姿態(tài)符合應(yīng)有的標(biāo)準(zhǔn)。

Shevelyov表示，這些調(diào)整必須縮小CISO目前擁有的高度責(zé)任與他們?cè)谠S多組織中持有的較低權(quán)力水平之間的差距?？s小這一差距將有助于CISO在執(zhí)行層獲得一個(gè)完整的席位，同時(shí)讓其他“各種利益相關(guān)者在[安全]游戲中有所投入”。

他補(bǔ)充說，這也有助于確保CISO的信息能夠準(zhǔn)確地呈現(xiàn)給CEO和董事會(huì)，Shevelyov和其他人表示，多個(gè)消息來源強(qiáng)調(diào)這是改善CISO如何看待其職位和其在角色中的效果的首要任務(wù)。

“有效的CISO需要與董事會(huì)直接對(duì)話，”Mixter說，他解釋稱這種直接的聯(lián)系使CISO和董事會(huì)能夠發(fā)展并對(duì)齊他們對(duì)風(fēng)險(xiǎn)、安全需求以及滿足這些共同目標(biāo)所需資源的理解。

Kakolowski同意這一點(diǎn)，他說：“我們看到，當(dāng)CISO定期與董事會(huì)接觸時(shí)，董事會(huì)開始更加意識(shí)到安全問題，并對(duì)CISO提供更多支持。”

CISO應(yīng)從其組織尋求什么

CISO可以——也應(yīng)該——為特定的做法辯護(hù)，包括他們被納入D&O保險(xiǎn)政策，美國(guó)國(guó)家網(wǎng)絡(luò)安全中心網(wǎng)絡(luò)委員會(huì)主席及NCC 2023年報(bào)告《偉大的CISO辭職》的共同作者Rick Crandall說。

Crandall表示，他和NCC還認(rèn)為，CISO應(yīng)該與董事會(huì)有直接的聯(lián)系，包括與董事會(huì)(或其某個(gè)委員會(huì))至少每年舉行一次的執(zhí)行會(huì)議。(他們指出，其他高管，特別是首席財(cái)務(wù)官，有這樣的執(zhí)行會(huì)議，其中只有該高管與董事會(huì)一起，以鼓勵(lì)開放和坦率的討論。)

Crandall補(bǔ)充說：“應(yīng)該有機(jī)會(huì)讓CISO被提問并直接回答，無需任何策劃，這應(yīng)該得到[所有其他高管的]認(rèn)可。”Crandall同時(shí)也是Aspen Ventures的管理合伙人，同時(shí)擔(dān)任多個(gè)董事會(huì)成員。

分離安全和IT預(yù)算，繼任計(jì)劃可以提供幫助

此外，Crandall表示，CISO應(yīng)要求擁有獨(dú)立的安全預(yù)算，而不是從IT等其他部門的預(yù)算中劃撥資金，這有助于使責(zé)任與權(quán)力對(duì)齊。

Mixter還建議CISO“對(duì)自己的時(shí)間無情”，意味著他們需要優(yōu)先考慮對(duì)他們關(guān)注的需求和他們與組織中其他人的關(guān)系。正如Mixter所指出的，“現(xiàn)在每個(gè)人都希望CISO出現(xiàn)在他們的桌子旁，但CISO不能面面俱到，也不是所有的關(guān)系都同等重要?！?/p>

他進(jìn)一步建議CISO創(chuàng)建繼任計(jì)劃。他解釋說，這使CISO能夠培養(yǎng)所需的后備力量，從而更有信心地委派更關(guān)鍵的工作。這一舉措有助于CISO工作更高效、更有效，通常也會(huì)使他們?cè)诼毼簧细訚M意。

“CISO需要一個(gè)世界級(jí)的團(tuán)隊(duì)才能有效工作，”Mixter說，并補(bǔ)充說研究證實(shí)“有繼任計(jì)劃的團(tuán)隊(duì)表現(xiàn)更好、更強(qiáng)”。但研究顯示，只有大約一半的CISO實(shí)施了這些計(jì)劃。

有希望——一些組織正在關(guān)注和解決CISO面臨的問題

CISO、高級(jí)執(zhí)行官和董事會(huì)正在不同程度上解決這些問題。PwC專業(yè)服務(wù)公司網(wǎng)絡(luò)風(fēng)險(xiǎn)和監(jiān)管實(shí)踐的負(fù)責(zé)人Joe Nocera表示，他看到越來越多的CISO在培養(yǎng)人際關(guān)系和商業(yè)敏感性，這使他們?cè)趫?zhí)行桌上獲得了平等的席位。他還看到越來越多的CISO尋求D&O保險(xiǎn)覆蓋和與董事會(huì)的執(zhí)行會(huì)議。

一些董事也在采取行動(dòng)。國(guó)家公司董事協(xié)會(huì)(NACD)數(shù)字和網(wǎng)絡(luò)內(nèi)容發(fā)展高級(jí)經(jīng)理Katie Swafford在一份準(zhǔn)備好的聲明中表示，NACD 2023年的董事會(huì)實(shí)踐和監(jiān)督調(diào)查發(fā)現(xiàn)，CISO是最頻繁向公共和私營(yíng)公司董事會(huì)報(bào)告網(wǎng)絡(luò)安全情況的高管之一。

Swafford指出，“在需要技術(shù)監(jiān)督的公司中，CISO將發(fā)現(xiàn)董事會(huì)愿意幫助他們?cè)鲩L(zhǎng)其業(yè)務(wù)、戰(zhàn)略和財(cái)務(wù)知識(shí)?！?/p>

然而，許多CISO繼續(xù)表示他們爭(zhēng)取所需的支持和資源感到困難。

Nocera說：“我們接觸的CISO提到了職位的壓力、責(zé)任以及他們的個(gè)人責(zé)任如何發(fā)生了顯著變化?！彼a(bǔ)充說，“與五年或十年前相比，今天這個(gè)角色承擔(dān)的責(zé)任要多得多。雖然我看到越來越多的CISO在桌子旁邊有了一席之地，但其他人[只是]在房間里，坐在后排?！?/p>

Mixter表示，CISO不必接受這種狀況，他解釋說，那些對(duì)董事會(huì)和執(zhí)行團(tuán)隊(duì)對(duì)安全給予的關(guān)注和支持水平不滿意的人可以選擇離開。正如他所指出的，“供需關(guān)系今天對(duì)CISO有利?！?/p>