CSO,即首席安全官,主要负责信息安全、企业安全运行状态或同时兼顾两者。这是对“什么是首席安全官?”这个问题最简单的回答。但是,当然,没有任何一份工作仅通过一句话就能概括其复杂性,而且也并非每个拥有CSO头衔的人都承担相同的职责。在不同的公司,CSO有不同的含义。有的负责保护物理安全,例如保护公司数据中心各种设备的安全;有些负责数字信息安全,例如防止公司网络遭到黑客的攻击等等。

首席安全官(CSO)的头衔首先主要用于信息技术职能部门,负责监控、协调公司内部的安全工作,包括信息技术、人力资源、通信、设备管理以及其他组织。在很多公司中,CSO这一角色仍然以这种方式发挥着作用。但是,对于现今社会而言,首席信息安全官(CISO)一职可能是对该职位更为准确的描述,且正日益流行起来。

同时,一些企业也将CSO的头衔用于描述承担“企业安全”职能的领导者,其主要负责员工、设施以及资产的物理安全等。更常见的是,这类人通常拥有诸如企业副总裁或企业安全总监之类的头衔。历史上,企业安全和信息安全是分别由单独的部门负责处理的。

不过,渐渐地,CSO的含义得到了扩展:CSO主要负责整个企业的安全运行态势,包括物理和数字安全。CSO还负责制定公司安全措施和安全标准。此外,CSO还需要经常举办或参加相关领域的活动,例如:参与跟业务连续性、预防损失、诈骗预防和保护隐私等议题的相关活动。

当然,在现实世界中也存在很多拥有官方CSO头衔,却并不承担上述职责的人员。但是,正如首席执行官(CEO)在遇到财务问题时,会希望“首席财务官”(CFO)能够快速给出答案一样,首席执行官也希望CSO们能够全面了解企业的运营情况,并在遇到安全问题时,能够快速做出响应,而不是用“哦,那不是我的问题”、或“那是其他人的职责范畴”来搪塞问题。

通过与正在从事这项工作的人员,以及一些负责招聘此类人员的专家进行交流后,下面让我们来深入了解一下这个职位的实际情况。

首席安全官(CSO)定义

对于首席安全官需要具备什么能力,Amanda Fennell给出了更高层次的观点。她认为,“现代CSO是企业的探索者和解决问题的人,他们需要与各种IT和工程团队紧密合作,以便在快速变化的合规和治范围内设计、制定策略,并执行全方位的计划。”

这种观点很有趣,但不免有些抽象。实际上,CSO的工作职责究竟包含哪些呢?或者,更简洁地说:CSO需要做什么呢?Sungard AS公司CSO Shawn Burke表示,“我主要负责制定保护人员、信息资产和技术的企业愿景、战略和计划。最终目标是,保护能够为企业提供价值的安全功能安全运行。”

我们都明白,对于CSO而言,最重要的一点是要为企业创造一种方式,让企业将安全视为其战略资产和其使命的一部分,而不仅仅是发挥事后弥补或破坏控制的功能。LaSalle Network公司技术团队招聘负责人Paul Wallenberg,主要负责为从未有过CSO的企业招聘相关人员,其从企业管理层的角度看出了设置CSO一职的目的和意义。

如今,频发的网络攻击和泄漏事件让公司意识到了重视网络安全问题的迫切性。对于企业而言,更主动的方法是要考虑自身拥有的数据,以及这些数据一旦发生泄露将以何种方式对其客户和业务开展造成重大威胁。如果在没有制定合适战略的情况下遭遇泄露,又将造成何种后果?一旦意识到上述问题,必将驱动公司董事会和高管层雇佣一名CSO的决策。

如何成为一名首席安全官(CSO)?

LaSalle Network公司的Wallenberg对于客户企业在招聘CSO时所要求的职业资格进行了如下概述,“企业在招聘CSO时,最看重的一点是其需要具备娴熟的安全技术和广泛的实践经验。CSO的技术背景可以是来自之前的工作经验,如担任工程师、架构师,或从事涉及SIEM、身份管理以及威胁情报等方面的工作;也可以是来自功能性的技术背景,如亲自参与管理、风险和合规性任务的经验等。”

另外,某些行业对于那些具备白帽子或道德黑客经验的CSO也充满兴趣。简单来说,想要入主C级管理层一定需要具备很多的经验,而且既然是作为安全部门的高管层,一定要有丰富的技能和实践经验,例如在大型组织中参与制定过影响应用程序、基础架构以及外部威胁的安全计划和举措。此外,还需要与行业供应商、情报界以及学术界保持亲密联系等。

除此之外, CSO还需要证明其超出具体技术能力和工作轨迹的资质。CSO必须了解复杂的战术目标如何有助于全面保障组织的战略执行,同时还要尊重内部利益相关者的隐私和信任。虽然强大的技术背景对于做出明智抉择具有很大的帮助,但是热情/激情对于解决信息安全领域不断涌现的新问题也是至关重要的。

最近,我们发现安全领导者开始从只专注技术细节向更注重商业导向方面转变。虽然,CSO首先应该能在技术上胜任,但是他们也需要能够向利益相关者解释清楚其各方面的工作,例如其风险管理方法等。从本质上讲,CSO需要成为高级领导层值得信赖的安全顾问。因为只有当CSO具备良好的人际关系和领导才能时,其才能更好地实现工作职能。

目前,很多企业也仍然没有设置首席安全官(CSO)一职,当然,这也为内部员工创造了一条行政级别晋升路径。在IT环境中,安全是整个部门内部的能力而非专属于该部门的能力,担任CSO角色的人员应该是整个企业中对于安全性了解最为深入的人。就外部候选者而言,他们通常都是安全架构师方面的专业人员,或是在安全项目或基础架构上担任总监或副总裁级别的人员,他们通常并没有企业内部相关人员对于企业安全现状了解得更为透彻。

CSO负责向谁报告?

根据《2018年全球信息安全状况调查》报告显示,多达40%的CSO和CISO向公司的首席执行官报告;27%的直接向董事会报告;而只有24%的向CIO(首席信息官)报告。将CSO置于CIO之下有助于确保与技术交付模式的紧密结合,但是也可能存在指责分割的问题。以“一款应用程序即将推出但存在已知安全漏洞”为例,CIO的业绩奖金可能与按时交付应用程序有关;而CSO的业绩奖金却与安全漏洞和数据泄露有关。在这种情况下,做出什么决策就成了值得商榷的问题:是要延迟应用程序发布日期并推出修复程序;还是接受风险,并继续推出带有已知漏洞的应用程序,日后再进行修复。

如果CSO直接向首席执行官报告,其主要好处是,CSO能够在推动变革方面发挥更高程度的影响力。而另一方面,由于首席执行官职责甚广,可能与CSO沟通的时间有限。虽然在CSO应该向谁报告的问题上存在很多不同的意见,但是不可否认的是,直接向CSO报告显然具有更多优势,因为这使得CSO能够有效地消除障碍,并与整个公司的战略保持一致。

但是,无论CSO最终会向谁报告,高管团队都应该参与整个决策过程。因为与CSO交互最深的就是企业的首席运营官(COO)和首席信息官(CIO),所以他们应该亲自参与面试和选拔。

CSO工作描述

CSO将负责监督和协调整个组织的安全工作,包括信息技术、人力资源、通信、法律、设施管理以及其他团队等,此外,CSO还要帮助企业确定安全战略和标准。其具体工作职责如下所示:

  • 领导操作风险管理活动以提升公司和品牌的价值;

  • 对负责保护企业资产、知识产权和计算机系统安全的安全机构和服务提供商进行监控;

  • 监控保护员工和访客的物理安全;

  • 确定保护目标和保护制度与公司的战略计划保持一致;

  • 制订及执行区域以及全球的安全政策、安全标准、指导方针和执行程序,以保证持续解决安全问题;

  • 物理保护职责包括资产保护、工作场所暴力防御、访问控制系统以及视频监控等等;信息保护职责包括网络安全结构、网络访问和政策监控以及员工培训等等;

  • 像调查安全缺口那样全面监控事件响应计划,如有必要必须帮助安全缺口部门完善培训计划和法律方面的事宜;

  • 像独立安全审计顾问那样,与外部安全顾问一起工作;制订全面的风险管理策略,并确保策略的执行;

  • 了解当前以及未来可能存在的风险,并且在必要时根据风险和威胁的变化及时调整策略;

  • 全面监控产品的内部使用,并且确保工程小组与操作小组保持沟通,在产品出现问题时以便及时发现并解决问题;

  • 进一步完善灾难恢复/业务连续性策略,通过每一个业务单元的共同努力,确保我们拥有一个整合性良好的计划和策略。

任职资格

  • CSO必须是一名聪明、沟通能力强且具有说服力的领导者,他可以担任高级管理团队的有效成员,并且能够将安全相关概念传达给广泛的技术和非技术人员;

  • CSO应该具有业务连续性规划、审计和风险管理以及合同和供应商谈判等方面的经验;

  • CSO必须深度了解相关法律和执法部门工作流程;

  • CSO必须对信息技术和信息安全具有深入的了解。

首席安全官(CSO)薪资待遇

根据行业、企业以及候选人自身的相关经验和任职期限不同,C级高管的薪酬也可能会大不相同。但是我们提供一个粗略的薪酬水平进行参考:

根据Payscale.com的一项调查结果显示,CSO的薪酬范围在68,208 美元至201,789 美元之间不等,平均薪酬为131,314美元。此外,还有奖金和利润分红,这部分资金可以高达80,000美元。而根据Salary.com的调查数据显示,CISO的薪酬范围通常在188,510美元至249,063美元之间,平均薪酬也高达215,739美元。

CSO vs. CISO

接下来我们将继续讨论首席安全官(CSO)和首席信息安全官(CISO)之间的差异,以帮助我们更好地明确CSO的职位描述。

如果有一套严格而明确的规则来区分CSO和CISO的职能差异就再好不过了,但事实却并非如此,因为在实践中,执行人员的确切职责是根据他们自身的经验,以及其公司的具体需求而量身定制的。

对于该问题,Niall Browne非常具有发言权,因为他是Domo公司的CISO,同时还在其他公司担任CSO一职。他表示,“传统意义上,CSO主要负责员工、资产以及设施的物理安全,并且可能还需要有一定的执法背景;而CISO则主要负责数据保护工作,并且可能还需要具备IT、系统以及工程方面的技术背景。”

Relativity公司的Fennell也对此表示认同,她说,根据定义,CSO的角色更具包容性,其主要责任包括保护公司的物理、网络和产品安全;而CISO在传统意义上则侧重于负责保护公司重要信息的角色。但是不得不承认,区分这两者的界限非常模糊。事实上,CSO和CISO的头衔经常互换使用,而公司具体使用哪种头衔更多地是说明该公司的关注重点,而不是明确地定义角色责任。

正如威胁场景正在不断演变,同样地,安全角色也在随之发生变化。如今,通过设施/工具来管理物理安全已经变得更为典型,这些负责管理物理安全的人员也被冠以企业安全总监的头衔,而CISO/CSO职位则特指那些负责网络安全的个人。这种演变很有意义,因为管理物理安全和网络安全的技能在很大程度上是不同的。行业中大多数CISO/CSO都不愿意管理物理安全,或者坚信只要专注于网络安全,他们就能为企业实现最大的收益。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。