CISO跳槽频繁为哪般

业界
1年前

20230227222130.png

  当好首席信息安全官(CISO)并不容易,时常要周旋于业务、技术和监管合规要求之间,规范员工行为,处理恶意攻击等。或许你能一时风头无两,制定世界一流的网络安全计划,遵循业界最佳实践,为企业提供卓越的防御。但武功再高,也怕菜刀,某个员工要是点了恶意网页链接、共享了密码,或者错误配置了某项资产,攻击者就能踩着你的名誉大摆庆功宴了。

  没错,CISO职责重大。那他们挑此重担的表现如何呢?根据企业战略集团(ESG)和美国信息系统安全协会(ISSA)的调查研究结果,CISO的表现不是太好。数据显示,57%的受访网络安全专业人员认为其公司的CISO只是有点用、不是很有用,或者根本没用。

CISO的表现取决于所处环境

  调研报告的字里行间透露出,CISO表现平平通常与所处情境有关,于是我们就看到了如此之高的CISO离职率。解读ESG/ISSA的调研报告,我们可以进一步挖掘CISO表现不佳和人才出走的深层次原因。被问及为什么CISO倾向于每两到四年就换工作时,安全专业人员的回答如下:

  · 33%的受访者认为,CISO会在别家企业提供更高薪酬时考虑换个工作。很多情况下就是钱给得到不到位的事儿,与工作表现和工作满意度无关。CISO换个老板就能涨薪40%以上,何乐而不为呢?所以,首席执行官(CEO)、董事会和人力资源(HR)主管务必谨记,强力CISO是最诱人的猎物。而诱人的猎物总不乏追求者,高管们必须紧盯招聘市场,不断评估该如何让成功的CISO满意,进而留住他。

  · 31%的受访者认为,如果目前所属企业的文化不重视网络安全,CISO会考虑跳槽。很明显,CISO的工作表现与网络安全文化高度相关。如果企业缺乏网络安全文化,员工就会肆意操作,安全在生产部署时才贴到应用程序上,而安全团队将化身救火队总在四处扑火,这可不是什么健康的工作环境。CISO或许可以影响企业文化,但CEO(和HR)必须推动文化转变。如果CEO和HR对此毫无动作,CISO就做不好自己的工作,转而另寻出路。

  · 29%的受访者认为,拿不到与企业规模相称的网络安全预算时,CISO会想跳槽。钱财买不来真爱,但只要花得明智,还是能助推网络安全防护的。别误会,CISO当然可以,也应该管理和充分利用这项开销,但他们能做的有限。如果安全计划长期资金短缺,那就表明沟通存在不足(即CISO没能充分解释自己需要什么,也没讲清楚为什么需要),或者更大的可能是观念上存在差距(即CEO和董事会不认为自家企业是攻击目标)。无论如何,CISO巧妇难为无米之炊,自然倾向于寻找在预算和环境方面更加“水草丰茂”的牧场。

  · 27%的受访者认为,如果不能积极参与高级管理层和董事会,CISO就会换工作。其中蕴含着一种典型的情况。高管层和董事会如果没纳入CISO,业务决策就会避开网络风险管理或威胁建模之类的事情。CISO被视为大反派,无法充分保护业务,而网络安全团队也处在总是在四处救火的状态。拿着这种“反派必须输”的剧本,CISO想换下家无可厚非。

  · 25%的受访者认为,看到所属企业将网络安全视为监管合规,CISO也会想跳槽。醒醒,现在已经不是2006年了。大多数企业已经了解良好网络安全与照单打钩式合规之间的差别。可惜,有些反应慢的还没醒悟过来。观念没跟上形势是潜在的职业杀手,所以聪明的CISO会迅速逃离以合规为中心的公司。

CISO求职警兆

  显而易见,CISO的业绩和任期与所属企业的高管层决策高度相关。猎头、HR经理和高管当然会在面试过程中给CISO许下美好前景,但经验老道的安全主管入职几周就能看出自己有没有成功的机会。届时,疑虑过后往往就伴随着更新简历和规划职业发展了。

  求职过程中,CISO还应该注意几个示警信号。如果公司在过去五年里换了几个CISO,那可能是因为这几位前任在别的地方寻到了更高的薪酬。又或者,文化、预算和管理方面的阻碍导致公司成了CISO“无人区”。货物出门概不退换,买者自行小心。

ESG调研报告
https://www.esg-global.com/research/esg-research-report-the-life-and-times-of-cybersecurity-professionals-2021-volume-v


参考阅读
CISO为何需要熟悉业务和技术
CISO 仍然会犯的漏洞管理错误
[调研]CISO担忧重大网络攻击
[调研]小型企业CISO的五个关键要点
董事会上的网络安全:CISO角色迈向新时代