过去几个月,我看到越来越多的文章和行业报告指出,安全行业在留住安全领导者方面存在巨大问题。在我看来,有些事情不太对劲:在我的社交圈中,很少有首席信息安全官真正换过工作,而那些换过工作的首席信息安全官大多是在正常且寻常的调动过程中换的。我找不到任何一个决定离开全职安全领导工作,转而成为vCISO的人。
我知道我的样本数量有限,可能还有很多我没有看到的情况。然而,大家在社交媒体上谈论的情况与我观察到的情况之间的这种不匹配让我开始思考:所谓的CISO留任问题是否真实存在?在未来几年里,我们是否会看到所有经验丰富的领导者都会因为压力和工作的高要求而离开这个行业?我们并不假装这些问题有客观的答案,但这篇文章提供了一个视角,告诉我们问题可能是什么,以及我们应该寻找什么样的解决方案。
让数据说话:安全领导人“辞职潮”背后的数字
考察F500企业中CISO的任职情况
首先,我决定从数字入手。虽然我无法通过数千家企业来了解其安全负责人的任期,但看看财富500强企业的情况还是相对可行的。
在分享这些数字之前,请允许我补充几点免责声明:
1.我承认,根据F500强企业的情况来推断行业趋势是不可行的。但我认为,如果首席信息安全官离职问题如此严重,那么在国内最大的企业中表现出来也是合情合理的,因为那里的压力大得惊人,而且:
损失的金额最高;
环境是最复杂的(考虑分散在全球各地的内部部署和基于云的基础设施的组合,等等);
参与决策的利益攸关方最多,因此“政治关系”最微妙;
由于公开交易、国际化、拥有最大的数据存储量等原因,处理多个监管框架的负担最重。
2.数据确实存在漏洞。LinkedIn数据可能已经过时,或者不是很准确,我们有时甚至会在LinkedIn上看到关于财富500强企业CISO的虚假简介。有些数据缺失或无法获得;我用“N/A”来标记缺失的数据。
3.作为基准,我决定使用《网络犯罪杂志》提供的财富500强首席信息安全官名单。虽然这份名单需要更新,而且自创建以来很多信息都发生了变化,但它确实提供了一个很好的起点。我遇到的问题是,在删除名单中几家重复的公司后,我最终找到了497家公司。为了得到 500家公司的名单,我决定对照另一个数据源,即财富500强企业及其网站名单。这样做之后,我最终得到了526家公司的信息,但我还是决定保持原样,而不是试图编制一份完美的F500公司名单。
4.有些人的个人资料中只列出了最近担任的职务,这就很难了解此人实际从事工作的时间(是受聘时担任的职务,还是最近获得的晋升)。对于那些在同一家公司担任CISO超过十年的人来说,这一点尤其重要。为了消除长任职期会人为拉高平均值的可能性,我决定将所有超过10年的CISO任期标记为不适用,除非可以清楚地看出:1)此人在同一家公司担任过不同的职位,并被提升为CISO;或 2)此人以前曾担任过 CISO 职位,因此很可能被当前公司聘为CISO。
5.由于数据量庞大,难免会有一些细节不是最新的,甚至有一些是错的。为了方便读者核实数据并提出更正建议,我想过留下 CISO 简介的链接。经过考虑,我决定不这样做。因为我知道一些不道德的销售代表会利用这些链接在 LinkedIn上向CISO发送垃圾邮件。虽然互联网上还有其他数据库,而且 F500 CISO 的名单也并非完全保密,但我不能容忍有人利用这些信息向500多名安全领导者发送垃圾邮件。做出这个决定会增加发现和纠正数据错误的难度,但为了让CISO们少收到一条垃圾邮件,我愿意接受这种得失。
员工在当前公司的工作年限
财富500强的员工在公司工作的时间很长,平均为8.4年。中位数是5.8年,这基本上意味着工作超过5.8年的人数与在当前公司工作时间较短的人数相当。我知道,从那些还记得两三十年职业生涯的人的角度来看,这可能不算长,但对于今天来说,这个数字已经相当高了。此外,这似乎与美国劳工部公布的数据基本一致,甚至略高于这些数据:2022年1月,男性雇员的任期中位数(即一半工人的任期较长,一半工人的任期较短)为4.3年。2022 年 1 月,女性雇员任期中位数为3.8年,与2020年1月的中位数3.9年相比变化不大.......年长员工的任期中位数普遍高于年轻员工。例如,55至64岁员工的任期中位数(9.8年)是25至34 岁员工(2.8 年)的三倍多。我所掌握的有关F500 CISO的数据并不包括他们的年龄,但由于该职位的性质,可以推测所有或几乎所有CISO的年龄都在34岁以上。
在当前公司担任首席信息安全官的任期
最重要的数字是首席信息安全官在当前组织中担任安全领导者的任期。在我找到数据的F500企业中,这一数字平均为 4.5 年(中位数为 3.6 年)。要了解这个数字是高还是低,值得从更广阔的背景来分析。M&A Executive Search的数据表明了这一点:对于填补高管空缺的公司来说,理想的候选人应该在公司工作五年左右。虽然这听起来很短,但这一数字的背后有几个因素,以及这一时间长度的背景。
首先,这是所有C级职位的总平均值。公司高层领导的任期会更长,例如首席执行官的任期为6.9年。任期较短的高管通常属于不断发展的领域。例如,CMO的平均任期仅为3.5年,而CHRO的任期则为3.7年。
其次,还要考虑广泛的行业因素。与医疗保健领域的C级成员(4.36年)相比,金融领域的C级成员在所有职位上的总任期(5.25年)更长。业务性质和更大的行业范围可能会影响高管的任职年限。
最后,高管的年龄也是影响其任期的因素之一。年轻的高管往往留任时间较短——无论是被其他公司挖走,还是选择更早地寻求新的机会。年龄较大的人往往会在首席执行官的职位上任职更长时间。
数据似乎表明,鉴于网络安全绝对是一个“不断发展的职业”,CISO的平均任期(4.5 年)相当高,或至少与其他领域一致。尽管 CISO面临着巨大的压力,但他们并没有纷纷辞职,这一事实令人佩服。在我看来,这证明了他们对职业的执着、强烈的使命感和目的性,以及排除万难完成任务的愿望。
值得强调的是,最近失去CISO或经历重组的公司数据缺失,确实会使平均任期值偏高;如果没有这些数据,平均值和中位数都会不同。不过,对于最近有CISO离职的公司,我会考虑离职的安全领导者的任期等因素:
1.AmerisourceBergen:前首席信息安全官Alden Sutherland在公司工作超过8.5年
2.美国电话电报公司:前首席信息安全官Bill O"Hern在公司工作了27年,其中7年担任首席信息安全官
3.Walgreens Boots Alliance:前CISO Jim Cameli在公司工作了6.5年,其中3.75年担任 CISO
4.克罗格:前首席信息安全官 Karthik Swarnam 在公司工作了1.5年
5.通用电气:前CISO Nancy Anderson 在公司工作了3年,其中3年担任 CISO。她现已退休。
6.保诚金融公司:前首席信息安全官Tom Doughty 在公司工作了25.5年
7.旅行者:前 CISO Don Garvey工作5年后退休,长期担任安全领导工作
8.第一资本金融公司:前首席信息安全官Chris Betz任职3.5年
9.Lennar:Max Boedder 在该公司工作了5年,其中2年担任企业安全与技术运营副总裁。
离职CISO的任期中位数为4.7年,甚至高于行业平均水平。从数据中可以看出,没有一位CISO在任职未满一年的情况下离职,36位CISO中只有3位(8.3%)任职未满两年,36 位CISO中只有9位(25%)任职未满三年。
我认为,如果我们将这些数据推断出来,并进一步扩展到F500公司以外的公司,结果也不会有太大的不同。很明显,尽管有一些报告指出,大公司的CISO 并没有集体辞职。相反,尽管压力很大,工作条件往往也不太理想,但他们仍在尽职尽责地保护公司和员工的数据安全。
前首席信息安全官离职后的就业状况
为了更全面地了解情况,不妨看看前首席信息安全官离职后的就业状况。行业媒体,甚至更多的供应商报告表明,安全领导者正在“成群结队”地离开这个行业,而有些人则说,CISO正在成为安全顾问。
数字似乎并不支持这些说法。在我能够核实的36位F500安全领导者中,他们都是在2023年离职的。
1.5人(14%)这样做是为了退休或向退休过渡
2.18人(50% )在另一家公司担任CISO或安全/IT领导职位
3.2人(6%)在LinkedIn上的状态为“开放工作”
4.2 人(另外6%)成为顾问、vCISO或咨询师(但不清楚这是永久性的决定,还是在寻找新的全职职位时保持活跃并增加价值的一种方式)
5.9人(25%)没有分享最新信息,无法了解他们在离开首席信息安全官后的就业状况
即使我们假设所有将自己定位为顾问的人,那些对工作持开放态度的人,以及那些在离职后没有更新信息的人,都决定放弃他们的CISO职业生涯(可能性极低),也只有13人(36%)。
值得一提的是,这些数据并不包括所有离开全职工作的F500 CISO,而只是我能够在网上找到的。尽管如此,其他离职人员的分布情况大致相同也是有可能的。
这些数字推翻了“大量安全行业领导者离职”的说法,而是表明人们离职的原因各不相同(如职业变化或退休),而且至少有50%的离职者是为了加入其他组织担任相同(或类似)的职务。
考察增长最快的顶尖科技初创企业的首席信息安全官任期
财富500强企业的首席信息安全官完全有可能拥有他们所需的所有资源和支持,因此他们乐于长期留任。毕竟,从收入、利润率和领导层的角度来看,这些企业往往更加成熟,甚至可以说“稳定”。
要想了解这一假设是否成立,最好先了解一下发展最快的科技初创公司的首席信息安全官的任期,这些公司非常不稳定,容易频繁更换高管团队等。我承认,这些公司并不能代表科技领域的其他公司。但在我看来,类似的逻辑仍然成立:如果首席信息安全官离职的问题真如某些人所说的那样严重,那么在顶级初创企业中出现这种情况也是合情合理的,因为
1.由于它们都是知名品牌,攻击者肯定会盯上它们(试想一下,有多少攻击者试图从 Coinbase 或 Robinhood(仅举几例)窃取加密货币)。
2.鉴于他们正在快速成长,他们的威胁环境也必须快速演变——新员工的聘用和解聘频繁,新技术的构建和交付迅速,等等。
3.公司往往迫于获得并保持市场领先地位以及快速推出新技术的压力,而将安全问题作为“明天再考虑”的事情而搁置一旁。
4.快速发展的初创企业会经历大量的变化,除非高管们能够不断挑战自我、提升自我,否则他们不容易长期留任。
当我开始深入思考这个问题时,我意识到,将有关CISO在科技初创公司任职情况的数据结合在一起,会得出一些毫无用处的统计数据。出现这种情况有几个原因:
1.小型初创企业很少有专门的CISO职位。在大多数情况下,这一职责由首席技术官、工程副总裁或团队中其他对安全感兴趣和有热情的人担任。
2.初创企业的失败率很高,人们很难分辨是由于裁员、公司解散、并购交易,还是由于其他原因选择离职。
3.小型初创科技公司的员工留任率受到多种因素的影响,包括公司业绩、团队文化、员工是否有能力朝着对自己有意义的方向继续发展等。虽然可以说任何公司都是如此,但我认为,在科技初创公司,这些因素的影响更大,因为员工接受较低的现金报酬,以换取其他利益,如股权和快速发展的潜力。
4.大型科技公司的员工留任率一直很低。早在 2018 年(大流行前的裁员、大流行后的招聘和 2022-2023 年经济衰退前的裁员)的一份报告显示,这些数字无论如何都不会令人印象深刻:
这就无法为初创企业的CISO建立一个比较基准,也使任何汇总数据的尝试徒劳无功。
将“首席信息安全官辞职潮”置于更广阔的背景之中
虽然我所研究的数据并不表明首席信息安全官正在大规模辞职(至少在大型企业中还没有),但我们确实看到了许多令人担忧的信号,表明可能会有什么事情发生。网络安全公司BlackFog 2022年的一项研究发现,美国和英国32%的首席信息安全官考虑过离职,许多人计划在短短六个月内离职。随着安全问题越来越复杂,攻击次数越来越多,监管机构不断提出新的要求,检察官试图让首席信息安全官在这种不确定的环境中竭尽全力而受到指控,难怪有三分之一的安全领导者厌倦了应对这一现实。然而,实际情况似乎要复杂一些。
整个科技行业一直在经历着一股强劲的辞职潮,人们为了更好的机会离开雇主,或者是为了从一成不变的工作中解脱出来。以下是一些统计数据,可以从更广阔的角度来看待 CISO 辞职事件:
1.83%的开发人员表示有职业倦怠,81%的开发人员表示这种情况在大流行期间更加严重
2.StackOverflow 在2021年底的数据显示,75%的开发人员正在积极寻找工作或对新机会持开放态度
3.英国 87% 的软件和 DevOps 专业人员已经辞职或考虑辞职
4.数据科学家每 1.7年换一次雇主
5.仅在过去五年中,就有 98% 的数据科学家至少换过一次工作
在安全领域,统计数字同样糟糕,甚至更糟:根据《SecOps 之声报告》,45% 的网络安全专业人员因压力过大而考虑退出该行业。从更广泛的角度来看,显然不仅仅是 CISO,几乎所有在技术领域工作的人都在努力应对持续不断的压力。DevOps专业人员或软件工程师晚上不得不被传呼机的声音吵醒,他们所承受的痛苦丝毫不亚于安全从业人员,因为无论何时发生事故,他们都要对事故做出响应。
虽然总体情况可能很暗淡,但有些数字看起来比实际情况更糟。例如,Gartner 预测“到 2025 年,近一半的网络安全领导者将跳槽”。让我们回到F500 CISO 任期电子表格,放大看一下:
表格链接:
https://docs.google.com/spreadsheets/d/19R0y7bd7JB0Qp73lsUtVS6oXiG1SuJ84BGqR33VuPOs/edit#gid=1635019361
1.表中列出了526个组织
2.492位IT和安全领导
3.CISO 在当前公司的平均任期为4.5年
4.截至今天,至少有 180 名上榜的首席信息安全官的任职时间已超过4.5年
5.首席信息安全官在当前公司的中等任期为3.6年
6.截至今天,至少有240名上榜的首席信息安全官的任职时间已超过3.6年
7.如果用数字来表示,那么很明显,到本月底,我们可以从 F500 强名单中选出大概50 名 CISO来担任新的工作,而这一数字仍可与市场营销和人力资源等领域的领导者的通常任期相媲美
Gartner声称“到 2025 年,近一半的网络安全领导者将更换工作”,这听起来绝对是个噩梦,但它与其他领域高管的市场数据完全一致。
数据的呈现方式很重要。例如,2019年美国凶杀案受害者人数确实是梵蒂冈城人口的25倍。这种说法无论多么可怕,却忽略了一个事实:梵蒂冈城的人口不到800人,而2019年美国死于凶杀案的实际人数为19100人,几乎是1991年的一半(自20世纪90年代以来,犯罪率大幅下降)。作为一个行业,我们可以在传播(或者说不传播)虚假信息方面做得更好;不仅仅是在安全能力和供应商“阻止所有违规行为”的能力方面,在我们领域的趋势方面也是如此。
虽然情况并不像某些人希望我们相信的那样糟糕,但不可否认的是,这个行业正在发生变化。
虽然大公司首席信息安全官的任期看起来并不太糟糕,而且“到2025年,近一半的网络安全领导者将更换工作”的预测也不像某些人希望的那样可怕,但事实是,这个行业确实在不断发展。
我们看到CISO纷纷离职,对这一职业的未来也越来越担忧。看起来,CISO辞职的人数确实在增加,越来越多的人成为了vCISO,大量的安全领导者开始在社交媒体上谈论这个职业所面临的挑战。
在探讨这些趋势的本质之前(我们必须这样做,因为这些趋势并不总是看起来那样),我们不妨先谈谈首席信息安全官这一角色本身,以及人们对安全领导者不断提高的期望。
导致对CISO角色的期望发生变化的因素:技术、企业和政府
安全技术的复杂性与日俱增,要求首席信息安全官掌握最新技术
瞬息万变的技术环境迫使安全领导者紧跟创新步伐。无论是云计算、区块链、人工智能还是机器学习,企业团队采用的每一种新工具、新方法或新框架都需要妥善配置、部署和保护。所有这一切,再加上企业环境日益增长的复杂性,不可否认,2023 年的CISO比20年前要难得多。
可以说,其他技术领域也是如此,例如软件工程。工程领导者(首席技术官、副总裁和工程主管等)必须随时了解其所在领域的所有新进展,而这些新进展有很多:从人们组织工作的方式(瀑布式到敏捷式),到他们交付代码的速度(每年、每季度、每周,以及现在的全天候连续交付)、构建产品的方式(单体与微服务)、对规模和延迟的期望、开发人员依赖第三方软件包的频率等。
尽管如此,首席信息安全官们也面临着工程同行们不需要担心的一些挑战:
1.绝大多数工程领导者都有软件工程、计算机科学和其他深层技术领域的背景,这为他们奠定了坚实的工程基础。安全领导者的背景则更加多样化,执法、军事、合规、IT、政策、安全工程、事件响应等。虽然每种背景都能提供安全领域亟需的独特视角,但与其他背景相比,有些背景能提供更坚实的技术基础,以深入了解新技术的工作原理。
2.安全领域的反馈循环要短得多,错过重要信息的后果也更迫在眉睫得多,即使不一定会产生战略影响。举例来说,工程部门的领导者理应紧跟行业发展的步伐,但如果他们晚一年才采用新方法,那么随着时间的推移,公司可能会在与竞争对手的竞争中丧失优势,但这可能需要几年的时间才能显现出来。另一方面,如果安全领导者迟一年才意识到新的攻击载体,那么很有可能很快就会出现反馈(安全事故)。或者,如果他们迟了六个月才符合新的监管框架,监管机构也不会在意他们“忙于其他事情”。这就给CISO造成了一种感觉,即无论他们做什么,都不可能在这场游戏中获胜,这种感觉既打击了他们的积极性,又削弱了他们的能力。
企业希望CISO能够迅速成为现代企业所需的职能领导者
安全领导者只关注技术安全措施的时代正在远去。已经有很多关于安全需要从一个“阻碍”部门转变为业务推动者的言论,我们今天看到这一变化正在发生。在许多必要的变革中,有一个变化尤为突出:CISOs被期望成为全面发展、T型领导者,他们不仅是自己领域的专家,还了解公司的其他部分如营销、销售、工程、产品、设计、客户成功、数据科学等是如何运作的。仅仅了解是不够的:企业希望他们的安全领导者能够用业务的语言交流,并在制定决策时考虑业务目标。
与前一种趋势(期望首席信息安全官紧跟新兴技术)类似,这种趋势也并非安全领域独有。我们之所以将其作为一个安全问题来讨论,只是因为其他领域(即软件工程)也曾完成过这种转变。几十年前,技术领导者只关注自己的利益和需求,往往选择追求“酷技术”,构建令工程师兴奋但对客户价值不大的功能。我们花了二十多年的时间,才让工程领导者完全与业务需求保持一致。产品管理职能的设立主要是为了解决这一问题,确保开发人员始终专注于对客户和业务最有价值的事情。
随着CISO的期望越来越高,安全领导者在其领域之外做出贡献的能力也在不断提高。首席信息安全官花了几十年的时间才在高管会议上获得发言权,而现在越来越多的组织希望听到他们的意见。现在几乎每家公司都是一家“软件公司”,或者至少是利用技术和软件提供商业价值的公司,而所有这些公司现在都需要防范网络安全威胁,这一现实在一定程度上推动了这种转变(现在仍然如此)。我对这一趋势及其给行业带来的影响非常乐观。
政府对CISO应该做什么有自己的看法(但只是在他们做完之后)。
尽管加速CISO角色演变的前两个因素同样影响着其他领域,但最后一个因素,即政府的作用,却是安全领域独有的。正如我之前所讨论的,政府在网络安全领域发挥着至关重要的作用,它可以创造市场、建立最低标准以加强各公司和行业的安全态势,并促进情报共享等。
在安全领导力方面,迄今为止政府参与的情况好坏参半。一方面,政府机构一直在努力创建和共享有用的材料,如CISA的桌面演练套件(Tabletop Exercise Packages),为信息共享和分析中心 (ISAC) 提供资源,并向战略和国家重要机构的首席信息安全官介绍威胁情况。另一方面,政府显示出跟不上创新速度的无能,并创造了一个让安全领导者害怕履行职责的环境。特别是,Uber 的前CISOJoe Sullivan因掩盖2016年的数据泄露事件,导致5700万Uber用户的个人信息被盗而被判犯有联邦指控罪。
Joe Sullivan被判处三年缓刑,并被勒令支付50,000美元的罚款;整个审判过程受到了美国和全球 CISO 社区的密切关注,给许多安全领导者留下了创伤。这开创了一个先例,即一个人可以在完成自己的工作后,让法律、财务、运营甚至首席执行官批准一系列行动,然后对执行计划的结果负责。Uber的CISO并不是唯一一个受到公务员愤怒影响的人:今年早些时候,美国证券交易委员会(SEC)的工作人员建议对 SolarWinds的CISO采取法律行动。要了解这有多不寻常,值得反思几个事实:
1.公司律师会犯错误、失误和疏忽,但当他们所服务的公司被起诉时,他们不会去坐牢。
2.当Meta允许包括British political consultancy Cambridge Analytica在内的第三方访问 Facebook 用户的个人数据时,其产品经理并没有因此坐牢。
我可以继续列举下去;重要的是,起诉首席信息安全官是非常不寻常的,尤其是因为它是由政府发起的。
在我看来,Joe Sullivan被定罪的根本原因在于缺乏明确界定哪些行为允许、哪些行为不允许的法规。自 20 世纪 90 年代初以来,技术一直在以令人难以置信的速度发展。首先是互联网的应用,然后是移动、云、区块链以及现在的人工智能,不一而足。政府明白新兴技术需要监管,但却缺乏监管的技术流畅性。此外,公共部门一直无法吸引和留住技术人才,这导致由缺乏必要经验和专业知识的个人进行监管。监管机构选择袖手旁观,让人们做他们认为合适的事情,然后再回来有选择性地惩罚他们。没有一个企业家、安全领导者或产品人员知道什么是边界;他们知道一些灰色地带,但不知道这些灰色地带有多大,灰色和黑色之间的界限是什么样子。此外,所有的创新都来自于灰色地带——未知的、不受管制的、不为人知的地带。
我认为,由于缺乏明确的规则,对个别CISO的起诉和判刑传递了两个信息。首先,它显示了政府方面领导力的失败,以及政府无力为新兴技术设定界限。我认为,我们需要挑战公务员,让他们做得更好。技术不会消失,而且肯定不会放缓。如果我们现在不改变对新兴技术的监管方式,几年后,我们很可能会把现在从事人工智能研究的人关进监狱。其次,这表明政府正在向安全领域的领导者传递一个信息,即他们正受到密切关注,而且不会容忍他们的失误。我很理解网络安全是国家国防的重要组成部分,但我们需要在企业责任和个人责任之间划清界限。对尽职尽责的首席信息安全官判刑(更何况首席信息安全官的决定经常被首席执行官否决),并不是建立善意和推动行业发展的最佳方式。
导致CISO集体辞职和vCISO兴起的因素
如果首席信息安全官认为他们得不到所需的支持,他们愿意离职
绝大多数首席信息安全官都明白,安全是一段旅程,而不是一个终点,他们需要很长时间才能达到可以控制环境的程度。大多数首席信息安全官并不只是想每隔一年半载就轮换一次工作;除非遇到重大障碍,否则他们希望将安全计划进行到底。生活是多变的,因此一些安全领导者确实找到了新的机会,或得到了更高的薪酬,而另一些则搬迁、选择不回办公室,或决定将自己的职业生涯转向咨询行业,等等。所有这些在任何其他领域都是绝对正常的,尤其是在技术领域。
尽管我对CISO“纷纷辞职”这一行业普遍问题的说法提出质疑,但安全领导者压力巨大、工作过度、经常得不到赏识却是事实。然而,后者往往取决于他们是否有能力展示自己带来的价值,因为许多其他高管,如客户成功部、信息技术部或数据科学部的负责人,也可能处于同样的境地。不幸的是,几十年后的今天,安全问题仍经常被视为CISO的销售、工程和技术同行之间的障碍或摩擦,除非被迫接触,否则一般都会回避。
据我观察,导致CISO离职的另一个因素是,他们无法获得所需的援助,如支持、资源等。这部分是完全可以理解的:看到企业不想在安全方面投资,而是希望只雇用一名首席信息安全官就能解决所有问题,这并不能给首席信息安全官建立很大的信心,最肯定的是,这并不能让首席信息安全官在这个职位上取得成功。现在,安全领导者已经知道,他们将对任何事件负责,甚至可能被要求出庭作证(或者更糟糕的是,亲自接受审判),因此,他们有理由离开任何不理解安全重要性或不致力于改善防御的组织。
一些首席信息安全官的任期有限
一些安全领导者通常被称为“转型CISO”,他们受雇于临时任务。他们的职责范围有时间限制且明确界定:改造公司、实现企业变革、在公司寻找长期人选时担任临时CISO、建立专门的安全职能部门或处理外泄后的恢复工作。从外部来看,通常不可能看出某人是作为转型 CISO受聘的,因此他们的离职会被误认为是 "安全领导者离开公司"。
首席信息安全官正在探索限制其责任的方法
安全领导者因安全漏洞和漏洞后应对措施而被追究责任的公开案例,如上述对 Joe Sullivan 的审判,引起了人们对CISO责任范围的关注。人们很容易将安全领导者仅仅视为CISO,但他们也是要支付账单、养活孩子、照顾亲人的人,也有自己的梦想和对未来的担忧。
在看到政府有时为了证明自己的观点或将个人的生命变成他人的先例和警示故事而不择手段之后,CISO们理所当然地希望限制自己的责任。我认为,现在已经没有多少安全领导者没有询问过他们的同行在这方面都在做些什么了,很多人已经开始寻求法律建议。我一直听说,CISO正在审查他们的保险范围,并寻找提高保单限额的方法。有些人甚至考虑担任 vCISO(虚拟CISO,本质上是一种合同)角色,希望没有雇员与雇主的关系有助于降低他们的责任风险。
虽然我认为一些安全领导者,尤其是那些拥有数十年经验和强大潜在客户网络的安全领导者,能够成功地成为vCISO是不可避免的,但绝大多数人都不会走到这一步。成为vCISO 是另一种游戏,走这条路的人必须花大量时间做销售和经营业务,这可能会大大超过他们花在做安全上的时间。至少在短期内,我预计CISO不会大规模成为vCISO。
行业最大转变的源头:新一代从业人员正在开辟安全领导之路
所谓“CISO辞职潮”的最大根源:从业人员闯入CISO角色
尽管CISO这一角色相对较新,但它已经发生了许多变化。我观察到的变化之一,是人们对“CISO”实际含义的理解发生了变化。在过去,这个头衔具有一系列属性--安全团队、制定战略和监督安全计划执行的能力、对预算的所有权等等。如今,情况可能是这样,也可能不是这样。
过去,只有大型企业才会聘请专门的安全负责人,因此担任这一职位的CISO都要有一定的工作经验。随着越来越多的公司意识到团队中需要有一名专门的安全负责人,我发现许多受聘的CISO其实是“一人安全团队”。当科技初创企业和中小型企业招聘首席信息安全官时,他们寻找的通常是经验丰富的技术安全从业人员,能够亲力亲为,完全掌控安全,充当“一个人的安全团队”,并有兴趣随着时间的推移成长为领导角色。
对于有志于日后成为大型企业CISO的安全从业人员来说,这些都是绝佳的机会:
1.除非曾经担任过CISO,否则很难在大型企业中找到CISO的职位。在小公司积累必要的安全管理经验,是摆脱这种困境、提升安全职业生涯的好方法。
2.初创企业和中小型企业提供了一个很好的学习机会:虽然它们的环境可能不会过于复杂,但它们通常也无法为安全分配可观的预算。在这些组织中担任CISO的安全从业人员必须发挥创造力,在资源有限的情况下完成需要完成的工作。
3.获得首席信息安全官头衔后,您将有更多机会建立联系、发表演讲、打造个人品牌、进行天使投资,以及参与其他对长期职业发展至关重要的行业活动。
这些入门级、首次担任CISO职务的长期结果取决于许多因素:
1.他们有权做出决定吗?
2.他们是否获得了成功所需的适当支持?
3.公司是否在不断发展壮大,是否有机会让他们组建团队并担任更具战略性的“真正的 CISO”?
在小型初创企业中担任首席信息安全官(CISO)一职,可以极大地促进职业发展。但是,这往往会令人难以置信地耗费精力:首席信息安全官需要独立完成所有工作,同时又不确定是否能与公司一起发展自己的职业生涯,因此他们很快就会精疲力竭。如果没有机会与企业共同成长并雇佣一支安全团队,首次担任首席信息安全官的人往往会跳槽到更大的组织,担任更好的职务。这种情况通常发生在1.5-2年之后,在他们积累了足够的经验并能证明自己已经从零开始建立了一个安全项目、与其他部门的领导合作、负责供应商的评估和选择、合同谈判等之后。另一个促使他们寻找更好机会的因素是薪酬:初任首席信息安全官的薪酬通常只相当于或略高于个人贡献者或经理级别。
由于上述原因,首次担任首席信息安全官的人员的任期往往比那些职业生涯成熟、薪酬待遇优厚的老首席信息安全官要短得多。然而,这在一个人的职业生涯轨迹中又是一个通往领导岗位的正常过程,但在外人看来,这又是“CISO 辞职潮”的另一个迹象。
vCISO兴起的最大原因:从业人员闯入CISO角色
虽然CISO并非都辞职去做vCISO,但一些业内人士认为这是正在发生的事情。他们观察到vCISO的崛起并没有错,但我认为他们大大误解了为什么会出现这种情况,以及这些新的、随需而变的安全领导者来自哪里。
经验丰富的安全领导很少会选择vCISO这一途径,除非他们已经退休、临近退休,或者想暂时摆脱日常工作和随之而来的压力。许多 CISO 确实在考虑将vCISO角色作为限制其责任和压力的一种方式,但就目前而言,我认为这种情况还没有大规模出现。如果我们仔细观察一下日益增多的虚拟首席信息安全官,不难发现他们中的绝大多数人以前都没有担任过首席信息安全官,没有全面负责过公司的安全战略和随之而来的团队。相反,大多数虚拟CISO以前都是个人贡献者,希望获得安全领导经验以促进未来职业发展的从业人员、有兴趣建立自己的实践的顾问,甚至是有一份全职工作但热衷于帮助中小型公司加强防御的专业人士。
许多安全从业人员将vCISO的职责视为成为全职CISO的垫脚石。这是一种很好的方法,因为它能让他们掌握必要的技能,了解业务需求,从整体上思考安全问题,跳出自己的特定领域,并加强沟通能力。市场也能从中受益:许多公司需要有人帮助处理安全问题,但又负担不起聘请全职经验丰富的CISO的费用。
在某些情况下,如果初创企业或小企业发展壮大,与他们合作的vCISO甚至可以获得全职聘用,尽管这很少是他们的目标。我还看到,许多安全从业人员低估了自己在销售和经营业务方面需要付出的努力,认为只要自己愿意接活,客户就会自己找上门来。面对这种情况,有的人成功了,有的人却在销售中挣扎,回到了自己的全职工作岗位。
走向未来:三个值得思考的想法
不可否认,与技术领域的许多其他职业相比,CISO的工作要求极高,压力也更大。安全领导者正在想方设法至少找回许多人多年前失去的工作与生活的平衡,这也并非不实之词。然而,我认为,发表诸如“CISO 因为压力过大而纷纷辞职”之类的言论,不仅过分简化了现实,而且也撇清了我们作为一个行业的责任。
人们离职的原因各不相同:有些人是为了寻求新的挑战,有些人则是意识到自己已经无法胜任目前的工作,还有些人则是在同一家公司工作多年后,想要尝试新的工作。有时,这归根结底是薪酬待遇的问题,不用说,许多人理所当然地希望减轻压力,有更多的时间与亲人在一起。一些安全领导者在服务了几十年后即将退休,另一些则要搬迁,甚至还有一些CISO正考虑迈出一步,开创自己的事业,无论是咨询公司还是产品初创公司。人们的情况千差万别、错综复杂,但当供应商有动力推销“解决所有问题的神奇方案”时,他们肯定想要把CISO描绘成无助和困惑的人。有些创始人不想把自己看作是产品、服务和通道的提供者,这些可以实现安全程序的实施相反,他们希望感觉自己是救世主——没有什么比“拯救无助、不知所措、困惑和压力重重的CISO”更能让他们感到欣慰了。
当我与安全领导者交谈时,我并没有感觉到他们感到无助。他们知道这个行业正在走向成熟,许多人都选择积极主动地采用安全第一、以工程为中心的思维方式,实施纵深防御和零信任方法,确保当事故不可避免地发生时,不会拖垮整个组织,而是有效地控制和隔离事故,等等。要处理的事情确实很多,但无论是长期任职的首席信息安全官,还是有抱负的初任首席信息安全官,总的来说,他们都非常有能力照顾好自己的组织。而且,他们绝对不需要业界提醒他们压力过大、工作过度。
首席信息安全官们完全有能力照顾好自己和自己的业务,他们已经形成了强大的同行网络和非正式支持团体,并且做得很好。然而,作为一个行业,我们需要应对一些挑战。
我想为读者留下三个建议,供他们思考。
首先,我认为作为一个行业,我们必须停止危言耸听,而是从更广阔的角度来看待正在发生的事情。这个领域中的大多数问题都需要广泛的行业层面的讨论,而不是哗众取宠,更不是不择手段的安全厂商声称他们的产品可以解决任何问题(是的,甚至可以减轻压力)。
其次,我们需要敦促政府制定一个法律框架,规定安全专业人员和领导者的企业与个人责任之间的界限。如果首席信息安全官们为了降低个人责任风险而被迫发挥创造力,那么对整个行业来说并没有什么好处。一方面,安全领导者被要求出庭是有道理的,这表明他们终于成为了高管团队的一员(首席执行官、首席财务官和其他高级领导者对此已经习以为常)。选择不披露有关漏洞的重要信息并触犯法律,肯定要承担相应的后果。然而,如果除了不断增加的责任风险外没有任何变化,我担心在许多组织中,CISO可能会成为在未定义、不明确的法律界限内运作的替罪羊,我们当然不希望发生这样的事情。
第三,我们需要让CISO的履历中出现违规事件这一事实正常化。随着攻击数量的不断增加,每位安全领导者几乎都不可避免地会卷入事件。我们的目标并不是要百分之百地防止这些事件的发生(因为这是不可能的),也不是要避免威胁猎杀,从而掩盖这些事件;我们的目标是要积极主动,尽快发现事件,在事件发生时减少影响,快速响应和恢复。问题不应该是“在这个人任职期间,公司是否被入侵过?”;如果会,那么安全领导者确实会变得每 1.5 年换一次工作,祈祷在他们离开之前不会发生任何事情(或被发现)。相反,我们应该问“你学到了什么?”由于受到保密和其他法律文件的限制,CISO 很少能公开讨论他们的组织中发生了什么。然而,这种对话必须在行业内的某个地方进行——无论是 ISAC、同行领导小组,还是其他安全空间,都要避免耸人听闻。此外,具有讽刺意味的是,行业需要经验丰富的安全领导者,这其中就包括有处理事件经验的人。如果我们让那些组织遭遇漏洞的CISO找不到新工作,我认为这将使整个行业倒退几十年,阻碍行业的成熟和我们作为一个领域应该引以为豪的其他成就。
在经历了这么多事情之后,我知道很多所谓的“辞职潮”其实要复杂得多,很多看似CISO“纷纷辞职”的迹象其实是更广泛的行业变化的指标。所有这些是否意味着安全领导者不会辞职?不,我不能这么说。正如一位美国最大零售商的前任CISO朋友所说,“"辞职潮"正在发生,但它就像癌症一样。它不是一种突发性的侵袭性癌症,而是一种已经扩散的系统性癌症,其影响现在才被看到和感受到,而且不容易治愈”。
原文链接
https://ventureinsecurity.net/p/the-great-ciso-resignation-isnt-what
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安