是什么原因造成了CISO的不滿?研究人員、顧問和 CISO 們本身列舉了一系列當(dāng)前不滿的原因，從缺乏高層支持到由最近實施的安全法規(guī)(如美國證券交易委員會(SEC)最近實施的法規(guī))帶來的責(zé)任增加。

在幾起近期事件中，CISOs 被法律個人追究處理和報告安全漏洞的責(zé)任，這一點也無濟(jì)于事，特別是前 Uber CISO Joe Sullivan 的高調(diào)案例，他因未報告 2016 年的一次數(shù)據(jù)泄露而被判處三年緩刑，罪名是重罪妨礙司法公正和未履行職責(zé)。

擁有 25 年網(wǎng)絡(luò)安全、IT、數(shù)據(jù)隱私和風(fēng)險管理經(jīng)驗的高管 Nick Shevelyov 表示：“今天這個角色的設(shè)定注定失敗?！彼F(xiàn)在提供網(wǎng)絡(luò)安全咨詢和顧問服務(wù)。

但Shevelyov 和其他人表示，情況并非非得如此。高管、董事和 CISO 們本身可以推動角色范圍的改進(jìn)，使這一職位為成功做好準(zhǔn)備，這反過來將意味著更高的工作滿意度，而且或許更重要的是，更安全的組織。

“這是一個充滿挑戰(zhàn)的時期，也是一個充滿機(jī)會的時期，”招聘公司 Artico Search 的合伙人 Steven Martano 說。

CISO 的不滿、職業(yè)倦怠及其后果

來自 IANS Research 和 Artico Search 的《2023-2024年 CISO 狀況報告》發(fā)現(xiàn)，CISO 的工作滿意度為64%，較2022年的74%和2021年的69%有所下降。愿意換工作的 CISO 比例為75%。安全軟件公司 Proofpoint 的《2023年 CISO 之聲報告》也揭示了一些令人不安的數(shù)據(jù)，顯示73%的美國 CISO 在過去一年經(jīng)歷了職業(yè)倦怠。

同時，代表安全軟件制造商 Devo Technology 的 Wakefield Research 進(jìn)行的《網(wǎng)絡(luò)安全職業(yè)倦怠調(diào)查：快速閱讀報告》發(fā)現(xiàn)，83%的受訪安全專業(yè)人員表示，他們或他們部門中的某人因職業(yè)倦怠在其角色中犯了錯誤，導(dǎo)致了安全漏洞。約77%的人表示，工作中的壓力水平直接影響了保護(hù)私人客戶數(shù)據(jù)的安全。還有85%的人承認(rèn)，由于職業(yè)倦怠，他們將不得不在未來一年內(nèi)更換工作角色、離開公司或同時離開公司并更換職業(yè)。

專家們表示，所有這些因素都在導(dǎo)致人員流動。根據(jù)《2023年CISO人力和人數(shù)報告》顯示，CISO的平均任期只有18到26個月(遠(yuǎn)低于一般C級高管的4.9年任期)，該報告由Cybersecurity Ventures發(fā)布。

此外，研究公司Gartner估計，到2025年將近一半的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者將更換角色，其中25%因工作相關(guān)壓力轉(zhuǎn)向不同職位。

是什么驅(qū)動了CISO的不滿?

僅將這些數(shù)字歸咎于安全工作的壓力性質(zhì)似乎很容易，尤其是隨著威脅的數(shù)量和速度增加，需要保護(hù)的基礎(chǔ)設(shè)施和數(shù)據(jù)量也在擴(kuò)大。

但這種說法過于簡化了問題，Gartner的副總裁兼分析師Chris Mixter表示。畢竟，典型的CISO在安全行業(yè)工作多年后才晉升為最高安全職位，他們已經(jīng)習(xí)慣了壓力、長時間工作和全員出動的時刻。他們是以使命為驅(qū)動的，并且非常清楚其中的高風(fēng)險。

相反，CISO們最常指出的是組織問題是他們不滿的原因，Mixter和其他消息來源說。

其中一個問題與CISO在其組織中的位置有關(guān)。許多人繼續(xù)爭取在執(zhí)行層或董事會中占有一席之地，他們表示在戰(zhàn)略決策中尚未得到平等的包含，也沒有與最高級別的執(zhí)行官和董事會進(jìn)行他們認(rèn)為必需的可見性和溝通。

因此，許多CISO表示，他們沒有得到高層對安全措施、風(fēng)險緩解努力和提供所需資金的支持和認(rèn)可。這導(dǎo)致CISO被拉向太多方向，而且在適當(dāng)優(yōu)先安排他們的時間和資源方面能力有限。

缺乏C級支持可能令人沮喪

ISSQUARED的CISO Nikolay Chernavsky說：“不滿的原因是缺乏執(zhí)行管理層的支持?！? ISSQUARED提供管理的IT和安全服務(wù)以及軟件產(chǎn)品。他表示，當(dāng)CISO們的關(guān)于所需安全措施和可接受風(fēng)險的觀點被忽視時，他們會表達(dá)挫敗感;當(dāng)董事會和CEO沒有明確他們對這些問題的立場時;或者當(dāng)這些領(lǐng)導(dǎo)人不承認(rèn)CISO在降低風(fēng)險方面的工作時——尤其是當(dāng)CISO面臨更多問責(zé)和責(zé)任時。

可以理解的是，CISO們避免接受采訪公開分享他們對這些問題的挫敗感。然而，IANS Research的報告提到了這些問題，例如，只有36%的CISO表示他們從董事會那里獲得了明確的風(fēng)險容忍度指導(dǎo)。

如今，增加了CISO所面臨的責(zé)任，這是因為美國證券交易委員會(SEC)新的網(wǎng)絡(luò)披露規(guī)則以及其他監(jiān)管和法律要求。這種增加的責(zé)任與許多CISO不被其組織的董事及高管(D&O)責(zé)任保險所覆蓋的事實相結(jié)合。(盡管他們的頭銜中有“高管”部分，但許多公司并不將CISO視為公司高管。)

這些動態(tài)加劇了安全決策的責(zé)任與CISO實際執(zhí)行這些決策的權(quán)力之間的差距，Shevelyov說，他是《網(wǎng)絡(luò)戰(zhàn)爭與和平：以歷史為我們的向?qū)?，今天?gòu)建數(shù)字信任》一書的作者。

長期的安全領(lǐng)導(dǎo)者表示，這些動態(tài)以及責(zé)任與權(quán)力之間的差距，正驅(qū)動著市場上的不滿、職業(yè)倦怠和人員流動?！昂诵膯栴}是CISO感受到缺乏支持，特別是缺乏有意義的支持，”IANS Research的高級研究總監(jiān)Nick Kakolowski說?！癈ISO們感覺自己像是在一個孤島上操作，而當(dāng)出現(xiàn)問題時，他們成了替罪羊?！?/p>

組織需要變革以保持CISO的滿意度

安全領(lǐng)導(dǎo)者表示，首席執(zhí)行官、董事和其他C級高管需要聽到這一信息，然后進(jìn)行調(diào)整，如果他們想保留他們的CISO并確保其安全姿態(tài)符合應(yīng)有的標(biāo)準(zhǔn)。

Shevelyov表示，這些調(diào)整必須縮小CISO目前擁有的高度責(zé)任與他們在許多組織中持有的較低權(quán)力水平之間的差距?？s小這一差距將有助于CISO在執(zhí)行層獲得一個完整的席位，同時讓其他“各種利益相關(guān)者在[安全]游戲中有所投入”。

他補充說，這也有助于確保CISO的信息能夠準(zhǔn)確地呈現(xiàn)給CEO和董事會，Shevelyov和其他人表示，多個消息來源強調(diào)這是改善CISO如何看待其職位和其在角色中的效果的首要任務(wù)。

“有效的CISO需要與董事會直接對話，”Mixter說，他解釋稱這種直接的聯(lián)系使CISO和董事會能夠發(fā)展并對齊他們對風(fēng)險、安全需求以及滿足這些共同目標(biāo)所需資源的理解。

Kakolowski同意這一點，他說：“我們看到，當(dāng)CISO定期與董事會接觸時，董事會開始更加意識到安全問題，并對CISO提供更多支持。”

CISO應(yīng)從其組織尋求什么

CISO可以——也應(yīng)該——為特定的做法辯護(hù)，包括他們被納入D&O保險政策，美國國家網(wǎng)絡(luò)安全中心網(wǎng)絡(luò)委員會主席及NCC 2023年報告《偉大的CISO辭職》的共同作者Rick Crandall說。

Crandall表示，他和NCC還認(rèn)為，CISO應(yīng)該與董事會有直接的聯(lián)系，包括與董事會(或其某個委員會)至少每年舉行一次的執(zhí)行會議。(他們指出，其他高管，特別是首席財務(wù)官，有這樣的執(zhí)行會議，其中只有該高管與董事會一起，以鼓勵開放和坦率的討論。)

Crandall補充說：“應(yīng)該有機(jī)會讓CISO被提問并直接回答，無需任何策劃，這應(yīng)該得到[所有其他高管的]認(rèn)可。”Crandall同時也是Aspen Ventures的管理合伙人，同時擔(dān)任多個董事會成員。

分離安全和IT預(yù)算，繼任計劃可以提供幫助

此外，Crandall表示，CISO應(yīng)要求擁有獨立的安全預(yù)算，而不是從IT等其他部門的預(yù)算中劃撥資金，這有助于使責(zé)任與權(quán)力對齊。

Mixter還建議CISO“對自己的時間無情”，意味著他們需要優(yōu)先考慮對他們關(guān)注的需求和他們與組織中其他人的關(guān)系。正如Mixter所指出的，“現(xiàn)在每個人都希望CISO出現(xiàn)在他們的桌子旁，但CISO不能面面俱到，也不是所有的關(guān)系都同等重要?！?/p>

他進(jìn)一步建議CISO創(chuàng)建繼任計劃。他解釋說，這使CISO能夠培養(yǎng)所需的后備力量，從而更有信心地委派更關(guān)鍵的工作。這一舉措有助于CISO工作更高效、更有效，通常也會使他們在職位上更加滿意。

“CISO需要一個世界級的團(tuán)隊才能有效工作，”Mixter說，并補充說研究證實“有繼任計劃的團(tuán)隊表現(xiàn)更好、更強”。但研究顯示，只有大約一半的CISO實施了這些計劃。

有希望——一些組織正在關(guān)注和解決CISO面臨的問題

CISO、高級執(zhí)行官和董事會正在不同程度上解決這些問題。PwC專業(yè)服務(wù)公司網(wǎng)絡(luò)風(fēng)險和監(jiān)管實踐的負(fù)責(zé)人Joe Nocera表示，他看到越來越多的CISO在培養(yǎng)人際關(guān)系和商業(yè)敏感性，這使他們在執(zhí)行桌上獲得了平等的席位。他還看到越來越多的CISO尋求D&O保險覆蓋和與董事會的執(zhí)行會議。

一些董事也在采取行動。國家公司董事協(xié)會(NACD)數(shù)字和網(wǎng)絡(luò)內(nèi)容發(fā)展高級經(jīng)理Katie Swafford在一份準(zhǔn)備好的聲明中表示，NACD 2023年的董事會實踐和監(jiān)督調(diào)查發(fā)現(xiàn)，CISO是最頻繁向公共和私營公司董事會報告網(wǎng)絡(luò)安全情況的高管之一。

Swafford指出，“在需要技術(shù)監(jiān)督的公司中，CISO將發(fā)現(xiàn)董事會愿意幫助他們增長其業(yè)務(wù)、戰(zhàn)略和財務(wù)知識?！?/p>

然而，許多CISO繼續(xù)表示他們爭取所需的支持和資源感到困難。

Nocera說：“我們接觸的CISO提到了職位的壓力、責(zé)任以及他們的個人責(zé)任如何發(fā)生了顯著變化?！彼a充說，“與五年或十年前相比，今天這個角色承擔(dān)的責(zé)任要多得多。雖然我看到越來越多的CISO在桌子旁邊有了一席之地，但其他人[只是]在房間里，坐在后排?！?/p>

Mixter表示，CISO不必接受這種狀況，他解釋說，那些對董事會和執(zhí)行團(tuán)隊對安全給予的關(guān)注和支持水平不滿意的人可以選擇離開。正如他所指出的，“供需關(guān)系今天對CISO有利。”