文│ 奇安信虎符智库、安全内参负责人 李建平

近期,“300 万年薪招不到胜任首席安全官” 的话题成为刷屏热点。随着信息安全事件频繁、国家监管的加强,“首席安全官”(CSO),这一知名度并不高的职位,逐步得到更多关注。伴随着身价持续暴增、职责不断扩大,首席安全官自身也在经历巨大的转变。

一、首席安全官的起源和职能

“首席安全官”一词主要用于描述机构中负责 IT安全的主管,信息时代下有的机构也将之称为“首席信息安全官”(CISO),常常与首席技术官、首席安全官和首席数据官等技术领导职位并列。

但首席安全官职位在机构中常处于边缘地位,在管理层中的发言权与首席信息官等高管完全不可同日而语。甚至由于其对业务发展的“掣肘”或“负面影响”,而被视为麻烦制造者。直到今天,多数机构一直没有设立这一职位,在董事会为首席安全官设置席位,更是一种奢望。

当前,重大数据泄露与勒索攻击日益频繁,网络安全防护合规需求日益加强,推动更多机构设立这一职位。同时,这一职位也被赋予更多职责与期望。首席安全官正在由谙熟安全技术与工具的领导,转变为倡导安全文化、具备良好的沟通与领导能力,赋能业务发展的商业领导。首席安全官的职能与角色正在被重新定义。

1995 年,一名黑客闯入了花旗银行的计算机系统,窃取了超过 1000 万美元。随后,信息安全专家斯蒂夫·凯茨(Steve Katz)加入花旗银行,并被任命为首席信息安全官,被公认为全球第一个首席信息安全官。企业和机构从此引入了一个新职位,以应对维护技术基础设施的信息和运营安全的不断增长需求。在时任首席执行官的支持下,斯蒂夫帮助花旗银行建立起了安全团队,全球专兼职安全人员超过 600 人。

1999 年,美国通过“格雷姆 - 里奇 - 比利雷法案”(GLB Act),即金融现代化法案,要求金融企业的董事会任命一名首席信息安全官,并每年让首席信息安全官向董事会报告安全状况。这一法案再次推动了首席信息安全官的设立与普及。

目前在上市公司中,我们会看到首席信息安全官(CISO)、首席安全官(CSO)或首席信息官(CIO)等不同的头衔。很多人对这些技术领导职位之间的关系和职能划分感到困惑。

实际上,首席信息安全官(CISO)、首席安全官(CSO)或首席信息官(CIO)三者存在着某种交叉关系。

作为最重要的 IT 负责人,首席信息官主要负责战略 IT 投资、领导数字化转型计划、管理 IT 运营等。首席信息安全官则负责制定和实施机构的网络安全计划、与安全供应商合作、对员工进行安全培训等。最初设立首席信息安全官这个职位是为了应对针对金融机构的网络攻击。在某些机构中,安全主管需要监督网络安全政策,负责保护人员、产品和流程的安全,其职责大大超过“信息安全”的范畴,因而会被称为首席安全官(CSO )。

根据工作和性格类型,研究机构 Forrester 认为首席安全官可以分为六种类型:

1. 变革型:通常“活力四射”,积极推动变革计划,乐于推动实现扭转的项目。

2. 救火队型:负责重建安全团队,在后台默默努力降低损失和应对公关危机,在动荡中实现成长。

3. 合规专家型:通常在监管严格的行业,谙熟监管机构和合规要求。

4. 战术 / 运营型:可以轻松应对技术复杂性的行动派。

5. 稳定型:通常服务于不需要立即转型的机构。

6. 直面客户的布道者:愿意成为网络安全代言人,可以凭借自身魅力获得支持。科技企业此类首席安全官较多。

二、首席安全官认可度有待提升

随着信息技术的发展,越来越多的机构设立了首席安全官。根据调查,2018 年至 2019 年期间,拥有首席安全官的全球机构数量增加了 6%。根据 Gartner的数据,到 2025 年,40% 的公司将拥有一个由董事会成员监督的专门网络安全委员会——今天这个数字是 10%。

出色的信息安全主管可以提升机构安全战略,降低安全事件的负面影响。

但现实情况是:首席安全官并未获得所需的资源和认可。

10 多年前,首席安全官还是职级较低的安全负责人,大部分工作内容可能是简单的病毒查杀。今天,机构负责人在碰到网络入侵问题时都要向首席安全官求助,要求实施安全响应,降低影响和经济损失。

根据 Forrester 公司 2020 年的研究报告,只有13% 的首席安全官被认为是最高层管理人员,尽管这一数字已经远远高于几年前的 5% 或 6%。这种状况导致首席安全官很难扩大其在机构内的影响力。大多数受访者(56%)承认:在机构管理层进行战略决策时,并不会咨询网络安全团队,或者咨询得太晚。网络安全也经常缺席职能部门的重要评估。约六成(58%)受访者表示,在实施新技术时并未留出足够的时间进行适当的网络安全评估或监督。

首席安全官向谁直接汇报工作,这往往被视为判断在机构地位的最简单方式:如果向首席执行官(CEO)汇报,则表明该职位属于高管;如果向财务、风险或合规部门报告,则意味着其不属于高管之列。

自首席安全官职位设立以来,大多数都向首席信息官 (CIO) 汇报工作,目前多数机构仍是这种情况。这种架构有其优点:首席信息官是最了解网络安全问题的高管,并且大部分网络安全支出都与 IT 有关。

但这种设置也带来多种内在冲突:安全负责人与技术负责人并没有处于平等地位,首席安全官无权从安全角度影响首席信息官推动但存在安全问题的创新项目;此外,如果首席信息官不得不减少企业 IT 支出,重要的安全项目往往会首当其冲。

首席信息官与首席安全官之间有着诸多不同:首席信息官关注确保使用正确的数字工具,最大限度提高效率,并不断寻找和使用更好的数字技术。首席安全官则负责保护数据安全性、完整性;首席信息官往往是是经验丰富的职场老手和领导者,而首席安全官更年轻、更专业。首席信息官主要是考虑 IT 相关的工作,首席安全官则需要领导团队应对实时威胁和缓解攻击,构建安全架构与开展基础设施保护,实施和管理安全策略,以及开展安全意识培训和建设安全文化。向首席信息官汇报,可能会令首席安全官专注于技术解决方案,而牺牲了更全面的安全视角和思考。

网络安全在机构中的重要性日渐提升,成为作出任何重大决策前都需要考虑的第一因素,这也进一步影响了首席信息官与首席安全官的关系。

为了将首席安全官的职位独立出来,美国纽约市在 2017 年设立了“网络安全指挥部”,负责制定信息安全政策和标准、开展网络防御和应急响应,以及提供网络防御和风险管理指导。负责领导这一部门的纽约市首席安全官,由原来的向 CIO 汇报,改为直接向第一副市长汇报。这一设置提高了纽约市各部门对网络安全的认知,同时为纽约各相关机构打造了更加便于沟通联系的中心点。

在专业的安全人士看来,对于金融、医疗、公共事业等对网络安全具有严重依赖的行业,直接向诸如 CEO此类的最高业务领导汇报工作可能是最有效的架构,这有助于安全主管获取所需的影响力和支持。一旦遭受网络攻击或出现数据泄露,首席安全官与 CEO 直接沟通,可以加快决策流程,更快地解决网络安全问题。

近年来,已经出现了将安全治理与安全运营分离的趋势。将基础运营职责转给其他主管,首席安全官可以更多关注治理和战略工作,真正承担起安全治理的角色。

三、高危职位:流动率高得惊人

与其他技术主管相比,首席安全官的流动率仍然高得惊人。根据 Cybersecurity Ventures 对财富 500 强的统计,大约 24% 的首席安全官的任职时间仅仅为 1年。而根据 ZDNet 的统计数据,首席安全官的平均任期仅为 26 个月。与此相对照的是,美国前 1000 家大型公司 CIO 的平均任期为 54 个月。

传统观点认为,首席安全官离职的主要原因,是他们往往成为数据泄露事件的替罪羊。在 IBM 的调查中,近一半的受访者认为 CISO 是对任何数据泄露“最负责任”的人。因此,在一些知名的安全事件被披露后,均出现安全高管遭解职的现象,包括第一资本、Equifax、优步、脸书、塔吉特百货(Target)、摩根大通和旧金山州立大学等。因安全事件导致首席安全官被解雇的真实数量还有待统计,因为大部分安全事件都会低调处理,更多细节不会被披露。

但有的时候,对首席安全官来说,发生安全事件可能是一件好事。事件会促使企业负责人开始重视安全工作,安全团队会获得更多的资源和支持。

但首席安全官面临的职业倦怠、工作与生活的平衡、不断增加的压力、持续恶化的网络环境、人际关系,都让其每天面临巨大的挑战,而很容易选择离职。

数据显示,工作压力对首席安全官人群造成了巨大负面影响,甚至引发了精神和身体健康问题、人际关系问题,在某些情况下导致职业倦怠,平均在 26个月任期之后,首席安全官就选择会选择新工作。

安全公司 Nominet 对 800 位首席安全官、企业高管进行了调查,得出以下数据:88%的首席安全官称面临“中度或极大压力”;48%的首席安全官表示,工作压力对心理健康造成了不利影响。现阶段的首席安全官仍然普遍遭遇安全预算低、工作时间长、缺乏足够权力等问题,面临的压力持续不断。

首席安全官也会因为积极的因素而选择离开,比如,离职实现经济回报和其他职业空间的提升。作为炙手可热的人选,安全主管获得的新工作机会远超其他高管。与网络安全事件可能造成的巨大经济损失与合规风险相比,首席安全官个人的薪水就不算什么了。“300 万年薪招不到胜任首席安全官”的现象出现,代表着在巨大需求与人才匮乏之间的落差。

频繁的离职率对安全团队带来负面影响,就类似专业运动队教练的变化,可能会影响团队的士气和成绩。因此,即使是“好的离职理由”也可能导致内部权力争夺和增加安全团队组织的不稳定性。

四、不断转变:从风险防御到业务赋能

从 1995 到现在的 20 多年来,首席安全官的职责与要求也在不断发生变化。

作为全球首位首席安全官,斯蒂夫从 1995 年到2001 年在花旗公司任职六年。与斯蒂夫当年面临的情况相比,今天的世界已经大不相同,安全态势已经发生了根本性变化。数字技术和互联网渗透到业务的方方面面,导致攻击面急剧扩大。同时,攻击者掌握着更加先进的工具,网络攻击的技能显著增长。

20 年前,首席安全官通常只需具有 IT 背景、掌握良好技术,知道哪种技术解决方案最能阻止攻击者,而不必非常了解要保护的对象。

过去十年见证了首席安全官的职责从保护 IT 系统,到保护数据和信息的转变。除了纯粹的数字威胁,首席安全官的角色跨越到了物理安全领域,负责保护物联网、工控和关键系统,甚至保护远程操作人员。从安全运营、风险管理到合规要求,以及其他方面,首席安全官需要全面考虑和应对各种各样的问题。

随着数字化转型的深入,首席安全官目前正面临一大关键时刻:如果能够支撑数字化转型,首席安全官将真正成为企业发展战略的重要推动者。根据《安永 2021 年首席执行官研究报告》的数字,68% 的首席执行官正规划未来 12 个月内在数据和技术方面进行重大投资。

对首席安全官在数字化转型中的角色而言,安全不再仅仅是风险问题,它与业务密切相关,事关企业的竞争力:打造稳定可靠的数字业务,无疑是在数字化日益加深的商业环境中赢得先机的保障。

其实,作为全球第一个首席安全官,斯蒂夫至少有一半的时间是承担安全布道者角色:倡导网络安全,将安全知识文化嵌入到业务线中。斯蒂夫这种将安全视为业务问题,而非技术问题的想法到现在来看都非常重要。定期与业务领导会面,建立一定程度的可信度,有助于首席安全官赢得更多的支持和合作。

这种对安全本身的认识变化,无疑会推动首席安全官的职责发生根本改变。首席安全官的职责范围比以往任何时候都广泛,必须将自己定位为业务推动者,需要熟悉业务基本活动,使用业务语言进行沟通。一个出色的首席安全官,除了具有技术背景和能力,还需要了解业务、掌握沟通能力,了解隐私保护,包括法律法规。

在复杂的网络安全形势下,首席安全官被赋予了太多期望与需求。首席安全官需要学会用商业语言来说明,安全团队是企业的价值中心,以及风险管理战略的重要组成部分,而不是成本中心。对一些只热衷于技术的首席安全官来说,这样可能有些强人所难,但却可以有助于其获得更多的话语权和资源。

长远来看,随着信息技术和数字社会的深入发展,首席安全官的职责可能还会发生变化。

五、艰难探索:呼唤国内首席安全官

自 2015 年开始,国内信息安全产业界就持续呼吁建立首席安全官制度,但至今为止,国内首席安全官制度尚未走向成熟。

根据 2018 年的《中国首席安全官(CSO)调研报告》,仅有 30.2% 的政企机构设立了 CSO 或相应级别岗位。近一半的机构,在当时从未考虑过设置这一岗位。

业内人士认为,首席安全官这一人群规模仍然相对较小,目前多存在于外资企业和机构,以及数据安全和隐私合规要求较高的互联网公司中。在大型企业中虽然已经有专门负责信息安全的部门,但其管理者的角色尚未上升到首席安全官这个高度。

2021 年,我国的《数据安全法》《关键信息基础设施安全保护条例》和《个人信息保护法》相继落地实施,加上此前的《网络安全法》、网络安全等级保护制度,网络安全法律体系日臻完善,给企业带来的安全合规压力剧增,相关处罚案例屡见不鲜。“滴滴出行”受网络安全审查,众多过度收集个人信息 App遭下架。网络安全与隐私保护问题已经直接影响到企业业务运行,高薪寻求合格的信息安全负责人成为市场热点,这必将推动更多机构重视并设立首席安全官岗位。

作为一个新兴的群体,首席安全官的培养与成长显然不会一蹴而就,也不能苛求候选人具备技术、沟通、管理、法律等面面俱到的专业素养,如前所述,首席安全官本身分为多个类型,机构选择设置适合自己的信息安全主管才是最现实的选择。

(本文刊登于《中国信息安全》杂志2021年第11期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。