隨著安全事件的數(shù)量和嚴(yán)重性在各行業(yè)領(lǐng)域的不斷升級(jí)，企業(yè)需要優(yōu)秀的首席信息安全官。但是這個(gè)角色面臨巨大壓力，讓一些首席信息安全官筋疲力盡，也有一些人離職獲取更有利可圖的機(jī)會(huì)?？紤]到這一點(diǎn)，企業(yè)必須為現(xiàn)有首席信息安全官不可避免的離職做好準(zhǔn)備。

好消息是， 制定首席信息安全官繼任計(jì)劃有許多可能的好處，其中包括：

• 節(jié)省成本。提前計(jì)劃并主動(dòng)確定繼任候選者可以幫助節(jié)省招聘成本。
• 連續(xù)性。培養(yǎng)和提拔現(xiàn)有員工(例如業(yè)務(wù)信息安全官或副首席信息安全官)擔(dān)任首席信息安全官，可以消除培訓(xùn)新員工面臨的負(fù)擔(dān)。
• 企業(yè)穩(wěn)定性。最后也是最重要的一點(diǎn)，制定繼任計(jì)劃能夠在首席信息安全官離職時(shí)維持企業(yè)穩(wěn)定性。

首席信息安全官繼任計(jì)劃的7個(gè)最佳實(shí)踐

沒有計(jì)劃可能面臨失敗。這意味著，在各種類型的組織和環(huán)境中，首席信息安全官都應(yīng)幫助企業(yè)從戰(zhàn)略上為他們最終的離職和更換做好準(zhǔn)備。

作為首席信息安全官，忽視繼任計(jì)劃并將自己視為不可或缺的一員，似乎是保障其職位安全的秘訣，但可能會(huì)導(dǎo)致職業(yè)停滯不前。鑒于該職位面臨的壓力，這一網(wǎng)絡(luò)安全角色通常具有一定的任期。因此，從任職初期開始，明智的首席信息安全官就需要有以下想法：

• 計(jì)劃任職的大致時(shí)間。
• 未來(lái)職業(yè)生涯的目標(biāo)以及如何實(shí)現(xiàn)這些目標(biāo)。
• 誰(shuí)可能接替他們。
• 在理想情況下，這些轉(zhuǎn)變將如何以及何時(shí)展開。

首席信息安全官的人員流動(dòng)率非常高。首席執(zhí)行官、董事會(huì)成員和其他高管利益相關(guān)者因此應(yīng)該采取措施，以在必要時(shí)確定首席信息安全官繼任者。為此需要考慮以下七個(gè)最佳實(shí)踐。

1、盡早開始首席信息安全官繼任計(jì)劃

在理想情況下，首席信息安全官應(yīng)在上任之后的前六個(gè)月內(nèi)啟動(dòng)繼任計(jì)劃，從審查前任首席信息安全官制定的繼任計(jì)劃開始。接下來(lái)，他們應(yīng)該審查其他執(zhí)行角色的繼任計(jì)劃，以幫助確定安全計(jì)劃應(yīng)該包括的特定項(xiàng)目。

2、預(yù)測(cè)未來(lái)的安全要求

與技術(shù)一樣，安全也在不斷發(fā)展。首席信息安全官繼任計(jì)劃需要預(yù)測(cè)未來(lái)的安全環(huán)境，并做好相應(yīng)的準(zhǔn)備。雖然沒有人可以準(zhǔn)確預(yù)測(cè)未來(lái)會(huì)發(fā)生什么，但可以根據(jù)以下情況對(duì)可能出現(xiàn)或持續(xù)存在的安全問題做出明智的評(píng)估：

• 特定業(yè)務(wù)如何發(fā)展。
• 技術(shù)如何發(fā)展。

例如，自從新冠疫情爆發(fā)以來(lái)，已經(jīng)看到遠(yuǎn)程工作、SaaS和云計(jì)算的增加。因此，首席信息安全官應(yīng)該問自己以下這些問題：

• 這些更改有哪些安全隱患?
• 哪些政策、技術(shù)和技能可以幫助企業(yè)滿足相關(guān)的安全需求?

在預(yù)測(cè)未來(lái)的安全要求之后，制定培訓(xùn)計(jì)劃以確保員工具備應(yīng)對(duì)未來(lái)挑戰(zhàn)所需的技能。

3、培養(yǎng)未來(lái)的領(lǐng)導(dǎo)者

在預(yù)期的安全環(huán)境和企業(yè)需求的背景下，評(píng)估現(xiàn)有高級(jí)安全人才的優(yōu)勢(shì)和劣勢(shì)，以及他們的個(gè)性、專業(yè)經(jīng)驗(yàn)和職業(yè)目標(biāo)。例如，考慮誰(shuí)能處理最初的安全危機(jī)，誰(shuí)能有效地保持業(yè)務(wù)穩(wěn)定。結(jié)合領(lǐng)導(dǎo)力和管理培訓(xùn)，可以使這些未來(lái)的領(lǐng)導(dǎo)者能夠在必要時(shí)自信地承擔(dān)新的責(zé)任。

這些嶄露頭角的安全領(lǐng)導(dǎo)者可能對(duì)新興趨勢(shì)和威脅有著自己的想法，因此需要積極將他們納入面向未來(lái)的討論中。將他們的想法融入培訓(xùn)和計(jì)劃中，讓他們?cè)谶@一過程中擁有主人翁意識(shí)，從而增加繼任者成功的可能性。

4、讓企業(yè)董事會(huì)參與

由于最高網(wǎng)絡(luò)安全工作對(duì)大多數(shù)企業(yè)而言具有越來(lái)越重要的戰(zhàn)略重要性，因此企業(yè)董事會(huì)應(yīng)該要求制定和維護(hù)首席信息安全官繼任計(jì)劃。他們還應(yīng)該審查和批準(zhǔn)這些計(jì)劃，以確保做到以下幾點(diǎn)：

• 與廣泛的業(yè)務(wù)需求保持一致。
• 考慮計(jì)劃內(nèi)和計(jì)劃外的首席信息安全官離職。

5、為計(jì)劃中的首席信息安全官離職做好準(zhǔn)備

計(jì)劃中的離職包括退休和內(nèi)部變動(dòng)，例如從首席信息安全官的職位轉(zhuǎn)換到首席風(fēng)險(xiǎn)官。在某些情況下，首席信息安全官還可能與企業(yè)主達(dá)成共識(shí)，一旦達(dá)到特定的目標(biāo)，首席信息安全官可能離職去獲得更多的發(fā)展機(jī)會(huì)。例如，一些安全領(lǐng)導(dǎo)者專門指導(dǎo)企業(yè)完成數(shù)據(jù)泄露恢復(fù)，然后在成功之后跳槽到其他的公司繼續(xù)發(fā)展。

首席信息安全官要離職之前需要提早通知，至少提前三個(gè)月，這樣企業(yè)可以有機(jī)會(huì)招聘繼任的首席信息安全官。這可能意味著提拔現(xiàn)有員工或從外部招聘。只要有足夠的時(shí)間，即將上任的首席信息安全官可以了解現(xiàn)有員工、政策和流程，從而將企業(yè)的運(yùn)營(yíng)和文化中斷降至最低。

6、為首席信息安全官計(jì)劃外離職做準(zhǔn)備

然而，一些首席信息安全官的離職也可能在沒有發(fā)出任何警告的情況下發(fā)生。疾病、死亡、辭職、個(gè)人危機(jī)、監(jiān)禁和重大安全事件都可能使企業(yè)的安全業(yè)務(wù)在接到首席信息安全官離職通知之后陷入動(dòng)蕩。

企業(yè)需要為這種不可預(yù)見的事件做好準(zhǔn)備，需要確保每個(gè)安全角色都有描述其關(guān)鍵職責(zé)和任務(wù)的文檔。人力資源部門應(yīng)維護(hù)這些文件，首席信息安全官應(yīng)每年對(duì)其進(jìn)行審查，并將這些文件作為培訓(xùn)指南。

在理想情況下，安全人員還將接受其他角色的交叉培訓(xùn)，這對(duì)于支持單一職位尤其重要。例如，如果一名高級(jí)安全架構(gòu)師突然任命為代理首席信息安全官，那么其他同事可能需要接手一些他的工作。

企業(yè)可以考慮制定備用計(jì)劃，以防首席信息安全官突然離職而需要內(nèi)部員工進(jìn)行緊急調(diào)整，使他們無(wú)法履行日常職責(zé)。這可能意味著將一些安全任務(wù)外包給第三方提供商，或者從外部招募以尋求具有關(guān)鍵技能的臨時(shí)或永久人才。

7、定期審查首席信息安全官繼任計(jì)劃

首席信息安全官、首席執(zhí)行官、企業(yè)董事會(huì)和其他相關(guān)高管利益相關(guān)者應(yīng)至少每年重新審視繼任計(jì)劃。以下是企業(yè)內(nèi)部應(yīng)觸發(fā)審查的主要變化：

• 不斷變化的經(jīng)濟(jì)狀況。
• 并購(gòu)。
• 重大安全事件。
• 副安全領(lǐng)導(dǎo)層的更替。
• 安全人員績(jī)效問題。

有一件事是肯定的：變化將會(huì)發(fā)生。企業(yè)需要采取積極措施來(lái)塑造未來(lái)，而不僅僅是對(duì)未來(lái)的變化做出反應(yīng)，這將讓企業(yè)處于更有利的地位。首席信息安全官繼任計(jì)劃可以幫助企業(yè)為不可避免的意外事件做好準(zhǔn)備。