隨著安全事件的數(shù)量和嚴(yán)重性在各行業(yè)領(lǐng)域的不斷升級，企業(yè)需要優(yōu)秀的首席信息安全官。但是這個角色面臨巨大壓力，讓一些首席信息安全官筋疲力盡，也有一些人離職獲取更有利可圖的機會?？紤]到這一點，企業(yè)必須為現(xiàn)有首席信息安全官不可避免的離職做好準(zhǔn)備。

好消息是， 制定首席信息安全官繼任計劃有許多可能的好處，其中包括：

• 節(jié)省成本。提前計劃并主動確定繼任候選者可以幫助節(jié)省招聘成本。
• 連續(xù)性。培養(yǎng)和提拔現(xiàn)有員工(例如業(yè)務(wù)信息安全官或副首席信息安全官)擔(dān)任首席信息安全官，可以消除培訓(xùn)新員工面臨的負(fù)擔(dān)。
• 企業(yè)穩(wěn)定性。最后也是最重要的一點，制定繼任計劃能夠在首席信息安全官離職時維持企業(yè)穩(wěn)定性。

首席信息安全官繼任計劃的7個最佳實踐

沒有計劃可能面臨失敗。這意味著，在各種類型的組織和環(huán)境中，首席信息安全官都應(yīng)幫助企業(yè)從戰(zhàn)略上為他們最終的離職和更換做好準(zhǔn)備。

作為首席信息安全官，忽視繼任計劃并將自己視為不可或缺的一員，似乎是保障其職位安全的秘訣，但可能會導(dǎo)致職業(yè)停滯不前。鑒于該職位面臨的壓力，這一網(wǎng)絡(luò)安全角色通常具有一定的任期。因此，從任職初期開始，明智的首席信息安全官就需要有以下想法：

• 計劃任職的大致時間。
• 未來職業(yè)生涯的目標(biāo)以及如何實現(xiàn)這些目標(biāo)。
• 誰可能接替他們。
• 在理想情況下，這些轉(zhuǎn)變將如何以及何時展開。

首席信息安全官的人員流動率非常高。首席執(zhí)行官、董事會成員和其他高管利益相關(guān)者因此應(yīng)該采取措施，以在必要時確定首席信息安全官繼任者。為此需要考慮以下七個最佳實踐。

1、盡早開始首席信息安全官繼任計劃

在理想情況下，首席信息安全官應(yīng)在上任之后的前六個月內(nèi)啟動繼任計劃，從審查前任首席信息安全官制定的繼任計劃開始。接下來，他們應(yīng)該審查其他執(zhí)行角色的繼任計劃，以幫助確定安全計劃應(yīng)該包括的特定項目。

2、預(yù)測未來的安全要求

與技術(shù)一樣，安全也在不斷發(fā)展。首席信息安全官繼任計劃需要預(yù)測未來的安全環(huán)境，并做好相應(yīng)的準(zhǔn)備。雖然沒有人可以準(zhǔn)確預(yù)測未來會發(fā)生什么，但可以根據(jù)以下情況對可能出現(xiàn)或持續(xù)存在的安全問題做出明智的評估：

• 特定業(yè)務(wù)如何發(fā)展。
• 技術(shù)如何發(fā)展。

例如，自從新冠疫情爆發(fā)以來，已經(jīng)看到遠(yuǎn)程工作、SaaS和云計算的增加。因此，首席信息安全官應(yīng)該問自己以下這些問題：

• 這些更改有哪些安全隱患?
• 哪些政策、技術(shù)和技能可以幫助企業(yè)滿足相關(guān)的安全需求?

在預(yù)測未來的安全要求之后，制定培訓(xùn)計劃以確保員工具備應(yīng)對未來挑戰(zhàn)所需的技能。

3、培養(yǎng)未來的領(lǐng)導(dǎo)者

在預(yù)期的安全環(huán)境和企業(yè)需求的背景下，評估現(xiàn)有高級安全人才的優(yōu)勢和劣勢，以及他們的個性、專業(yè)經(jīng)驗和職業(yè)目標(biāo)。例如，考慮誰能處理最初的安全危機，誰能有效地保持業(yè)務(wù)穩(wěn)定。結(jié)合領(lǐng)導(dǎo)力和管理培訓(xùn)，可以使這些未來的領(lǐng)導(dǎo)者能夠在必要時自信地承擔(dān)新的責(zé)任。

這些嶄露頭角的安全領(lǐng)導(dǎo)者可能對新興趨勢和威脅有著自己的想法，因此需要積極將他們納入面向未來的討論中。將他們的想法融入培訓(xùn)和計劃中，讓他們在這一過程中擁有主人翁意識，從而增加繼任者成功的可能性。

4、讓企業(yè)董事會參與

由于最高網(wǎng)絡(luò)安全工作對大多數(shù)企業(yè)而言具有越來越重要的戰(zhàn)略重要性，因此企業(yè)董事會應(yīng)該要求制定和維護首席信息安全官繼任計劃。他們還應(yīng)該審查和批準(zhǔn)這些計劃，以確保做到以下幾點：

• 與廣泛的業(yè)務(wù)需求保持一致。
• 考慮計劃內(nèi)和計劃外的首席信息安全官離職。

5、為計劃中的首席信息安全官離職做好準(zhǔn)備

計劃中的離職包括退休和內(nèi)部變動，例如從首席信息安全官的職位轉(zhuǎn)換到首席風(fēng)險官。在某些情況下，首席信息安全官還可能與企業(yè)主達(dá)成共識，一旦達(dá)到特定的目標(biāo)，首席信息安全官可能離職去獲得更多的發(fā)展機會。例如，一些安全領(lǐng)導(dǎo)者專門指導(dǎo)企業(yè)完成數(shù)據(jù)泄露恢復(fù)，然后在成功之后跳槽到其他的公司繼續(xù)發(fā)展。

首席信息安全官要離職之前需要提早通知，至少提前三個月，這樣企業(yè)可以有機會招聘繼任的首席信息安全官。這可能意味著提拔現(xiàn)有員工或從外部招聘。只要有足夠的時間，即將上任的首席信息安全官可以了解現(xiàn)有員工、政策和流程，從而將企業(yè)的運營和文化中斷降至最低。

6、為首席信息安全官計劃外離職做準(zhǔn)備

然而，一些首席信息安全官的離職也可能在沒有發(fā)出任何警告的情況下發(fā)生。疾病、死亡、辭職、個人危機、監(jiān)禁和重大安全事件都可能使企業(yè)的安全業(yè)務(wù)在接到首席信息安全官離職通知之后陷入動蕩。

企業(yè)需要為這種不可預(yù)見的事件做好準(zhǔn)備，需要確保每個安全角色都有描述其關(guān)鍵職責(zé)和任務(wù)的文檔。人力資源部門應(yīng)維護這些文件，首席信息安全官應(yīng)每年對其進(jìn)行審查，并將這些文件作為培訓(xùn)指南。

在理想情況下，安全人員還將接受其他角色的交叉培訓(xùn)，這對于支持單一職位尤其重要。例如，如果一名高級安全架構(gòu)師突然任命為代理首席信息安全官，那么其他同事可能需要接手一些他的工作。

企業(yè)可以考慮制定備用計劃，以防首席信息安全官突然離職而需要內(nèi)部員工進(jìn)行緊急調(diào)整，使他們無法履行日常職責(zé)。這可能意味著將一些安全任務(wù)外包給第三方提供商，或者從外部招募以尋求具有關(guān)鍵技能的臨時或永久人才。

7、定期審查首席信息安全官繼任計劃

首席信息安全官、首席執(zhí)行官、企業(yè)董事會和其他相關(guān)高管利益相關(guān)者應(yīng)至少每年重新審視繼任計劃。以下是企業(yè)內(nèi)部應(yīng)觸發(fā)審查的主要變化：

• 不斷變化的經(jīng)濟狀況。
• 并購。
• 重大安全事件。
• 副安全領(lǐng)導(dǎo)層的更替。
• 安全人員績效問題。

有一件事是肯定的：變化將會發(fā)生。企業(yè)需要采取積極措施來塑造未來，而不僅僅是對未來的變化做出反應(yīng)，這將讓企業(yè)處于更有利的地位。首席信息安全官繼任計劃可以幫助企業(yè)為不可避免的意外事件做好準(zhǔn)備。