CISO这一职位仅有 29 年的历史。世界上首位CISO史蒂夫・卡茨(1942 - 2023)是在 1995 年被花旗集团任命担任这一新增设的职位。从一开始,这个职位就充满危险且错综复杂。花旗集团设立这一职位并非是因为意识到需要技术的安全保障,而是在 1994 年左右,有传言称公司遭到了黑客攻击,当时没人知道这传言是真是假。结果表明,花旗集团的系统确实遭到了入侵,俄罗斯黑客从该银行窃取了 1000 多万美元。
从一开始,安全领导这一角色就一直在不断变化。在这篇文章中,我将着眼于三个方面,我认为在我们迈向未来的过程中,这三个方面对于CISO角色的演变是必不可少的,它们分别是:服务式领导、双轨职业发展路径以及允许失败。
服务式领导
服务式领导的概念
服务式领导是这样一种理念,它倡导领导者应专注于识别人才,帮助团队成员发挥出他们真正的潜能,在提升成员技能和能力的同时,赋予他们在组织中有所作为的权力。换句话说,领导者是在打造高绩效团队、为成员清除障碍,让他们能够把自己最擅长的事情做到做好这一方面发挥作用,而不是凭借自己是团队中资历最老、知识最渊博或职位最高的人来强加对应的影响力。
虽然服务式领导的理念已经深入人心,但如果说我们不仅在安全领域,而且在其他业务领域也已经在实践中广泛成功地践行了这一理念,那就言过其实了。造成这种情况的原因有很多,但在我看来,最重要的一点在于它要求管理人员进行思维转变。通常,人们晋升是来自诸如发现并解决恰当问题、执行任务以及推动变革等能力因素。这自然会让他们对自己的能力和才干更有信心,而伴随着这种信心,往往会形成一种强调个人的领导风格。
服务式领导要求人们把赌注押在团队身上,而不是仅仅依靠自身能力。从某种程度上来说,这意味着个人必须放弃一定程度的控制权,将许多具有重大影响的决策委托给团队来做。
网络安全领域迟迟未能接纳服务式领导理念
网络安全领域在接纳服务式领导理念方面一直较为滞后。之所以出现这种情况,存在几方面原因。
首先也是最重要的一点,安全领导者常常被当作替罪羊,要为影响安全团队的任何错误、误判,甚至纯粹的运气不佳等情况负责。这一因素自然使得他们更有可能对实际发生的情况实施高度管控。如果他们要为每一项决策负责,那他们最好确保是由自己来做这些决策,或者至少要密切监督这些决策的制定。
其次,作为一个行业,我们从军事、情报以及执法机构借鉴了诸多领导力和组织设计方面的方法。由于许多安全从业人员和安全领导者恰恰就来自这些背景,所以我们将他们在那些领域的做事方式引入本行业也就不足为奇了。安全运营中心分析师的分级系统(一级分析师、二级分析师、三级分析师等等)以及安全运营的升级流程,就是层级环境转化到安全团队中的一个很好的例子。这些方法本身并没有什么问题,只是自这些(方法、体系等)建立以来,我们已经学到了许多新技术,如今我们可以利用这些新技术来为我们谋利。
服务式领导理念对于安全领域来说仍然比较新颖的另一个原因是,大多数安全领导者现在才刚刚开始更深入地接触其他业务领域。与工程领域的同行相比,从历史上看,很少有CISO受邀参与战略性业务决策,也没有那么多的CISO接受过人员领导力方面的正规培训,或者拥有工商管理硕士学位(MBA)。
未来几年的服务式领导与安全领域趋势
尽管安全领域迟迟未能接纳服务式领导理念,但该行业正在迅速转型。越来越多的安全领导者开始首先将自己视为业务领导者,其次才是安全专业人员。CISO们意识到,组织环境已经变得过于复杂,他们不可能成为所有事务的专家,正是这种认识促使他们聘用最优秀的人才,并下放更多权力。随着安全从业人员变得越来越专业化,我预计这一趋势将会持续下去。不能再指望CISO对每一个问题都能给出最佳答案,他们必须依靠自己的团队去识别关键问题、确定问题的优先级,并推荐最合适的安全解决方案。
此外,由于网络安全已成为董事会层面所关注的问题,越来越多的安全领导者有望成为业务风险的管理者,而不只是信息安全风险的管理者。绝大多数CISO有能力且已准备好迎接这一挑战,并乐于抓住机会助力塑造公司的发展方向。那些对超越CISO传统职责范围不感兴趣的人,可能会发现在未来十年的竞争中举步维艰。
这些变化对采购流程产生了影响。虽然在未来几年里,安全措施仍将主要以自上而下的方式推行,但我认为安全从业人员在采购流程中所发挥的作用将会持续增强。
我们目前正在努力、且预计未来仍将继续努力的一个领域是人才培养。从理论上讲,我们应该能够招聘初级安全从业人员,并帮助他们成长和积累经验。然而在实际操作中,情况却有所不同。安全团队规模较小,而且由于安全被视为成本中心,CISO很难增加人员编制。当他们取得成功时,他们必须做出对业务最有利的决策,这意味着需要招聘有合适经验且能迅速上手工作的人员。
作为一名产品负责人,我在产品管理中也看到了同样的情况:由于产品团队规模较小,且该角色的影响非常大,因此不可能招聘初级产品经理。许多人误解了这种情况,将整个问题过度简化为 “把关人”,这在社交媒体上当然能获得点赞,但并不能真正解决问题。作为一个行业,我们必须做得更好,但这需要时间和持续的努力。
双轨职业发展路径
职业双轨概念
双轨职业发展路径的概念起源于软件工程。其前提很简单:为了让软件工程师能够成长并达到职业巅峰,不应强迫他们成为人事管理者。并非每个杰出的技术人员都有志于招聘、领导和管理工程团队,而且人们不应该为了获得更高的薪酬或者为了得到同行和组织对自己贡献的认可,而被迫去做自己不擅长的事情。
尽管这一概念起源于软件工程,但它肯定不再局限于此了。我认为,网络安全领域若能效仿并采用类似的做法,也将会受益匪浅。
网络安全领域迟迟未能接纳双轨职业发展路径
网络安全领域在接纳双轨职业发展路径这一理念方面进展缓慢,这导致了诸多挑战。
首先,有大量的CISO如果可以选择的话,他们原本不会走上人员和业务领导这条路。问题在于,进入人事管理领域往往是提高个人薪酬和职业地位的唯一途径。有许多优秀的技术型安全从业人员,如果他们能够在不进入管理层的情况下继续拓展自身职责并提高薪酬,可能会过得更开心。遗憾的是,许多组织都没有为技术型安全从业人员设立任何职业晋升阶梯,这反过来迫使他们去考虑从事人员领导工作。
安全领域没有双轨职业发展路径这一情况给我们整个行业带来了各种各样的挑战。遗憾的是,解决这个问题并非易事。由于安全团队规模较小,从业人员通常没什么成长空间。虽然一些以工程为核心的组织已经引入了首席 / 资深安全工程师之类的职位,但仍然不存在杰出安全工程师这样的岗位。那些不属于传统意义上成熟的、有风险投资支持的企业以及云原生的硅谷初创企业的组织机构,往往甚至都没有设立主管 / 资深级别岗位。
未来几年安全领域的双轨职业发展路径
安全领导的形态正在发生变化,对CISO这一角色的要求也同样在改变。如今,CISO需要组建团队、制定网络安全战略、监督并指导执行工作、负责治理、风险管理以及合规事宜,还要应对不断变化的监管环境,同时确保组织的管控措施能够抵御攻击者的入侵。
CISO要承担的事务如此之多,现在是时候认识到单靠一个人根本无法包揽一切了。尤其是,一个人不可能同时既是业务领导者,又是能立刻掌握每一种新攻击向量和攻击方法的技术专家。作为一个行业,我们若能开辟双轨职业发展路径,将会受益匪浅。在这样的路径下,那些在各自领域表现出色的技术型安全从业人员能够晋升为杰出工程师或架构师,负责安全工作中的技术层面事务,而无需管理下属或获得CISO的头衔。这也应该能让他们获得与CISO相近或同等水平的薪酬待遇。
虽然我相当确信,像微软、谷歌和亚马逊等(仅举几例)大型基础设施提供商最终(或已经)会接纳这种做法,但我怀疑行业内的其他企业短期内能否做到这一点。一个简单的事实是,安全是一门非常年轻的学科,我们仍处于使其专业化的最早期阶段。即便如此,我们无疑正朝着正确的方向前进。
允许失败
允许失败的概念
“允许失败” 这一概念很简单:人都会犯错,既然没有人是完美的,那就应该给他们留出空间去经历失败、从失败中恢复并吸取教训。当公司遭遇安全漏洞时,企业不应寻求解雇相关高管,除非涉事的CISO明显存在疏忽或能力不足的情况,并且对该事件负有直接责任。幸运的是,在绝大多数情况下,我们都看不到上述那种需要解雇高管的情况。
允许网络安全失败
在允许人们失败这方面,网络安全领域的名声一直很差。这一点根本不公平,因为没有哪种技术是万无一失的,一个组织遭遇安全事件只是时间问题。无论人们付出了多少努力,在工作中倾注了多少心血,最终总会出些问题,而一旦出事,他们就会受到指责。
我们已经认识到软件工程并非完美无缺,我们所能做的最佳做法就是建立系统和流程,捕捉大多数关键漏洞。然而,尽管我们竭尽全力,但我们知道,最终还是会有一些客户遇到问题;有时候是严重的阻碍性问题,而在其他时候,只是些让人烦恼、带来不便的小问题。这就是我们要进行漏洞分类处理流程的原因,也是为什么当有人遇到优先级为 0(P0)的问题时,工程负责人不会被解雇的原因。
网络安全领域的情况则并非如此。不知为何,每个组织都期望自家的安全团队做到完美无缺,要比任何攻击者都聪明,无论是那些向数千家公司随意发起攻击的脚本小子,还是针对特定组织的国家级别的攻击者。安全工作始终是一场必败之局,因为有犯罪集团和国家级行为体,它们能斥资数百万美元购置最新的工具、网罗最优秀的人才,而且如果它们决心十足,甚至会让其特工长途飞行数千英里,去贿赂当地的任何员工,或者更妙的是,设法让这些特工受雇于某家公司,进而从内部获取最敏感的机密信息。然而,安全团队却不被允许犯哪怕一个错误。
在不久的将来,网络安全领域中 “允许失败” 的情况
从事安全工作意味着要预见失败并对其心怀恐惧。作为一个行业,我们别无选择,只能改变对失败含义的认知。
在安全领域,导致安全漏洞的大多数细节与高层管理人员的决策关系不大。错误配置、软件漏洞、安全隐患以及潜在攻击方法的数量如此之多,以至于无论安全团队做什么,都永远不够。并没有规定不法分子只会利用那些被工具标记为 “高优先级” 的漏洞,而且攻击者永远都不会停止寻找新的途径来入侵我们的基础设施。我们不能仅仅根据即便CISO有着坚定不移的投入、付出了最大努力且辛勤工作却仍发生的安全事件,来评判其工作成效。此外,履历中有处理过安全事件的经历应该被视为一种优势,而非劣势(当然,前提是这些事件并非轻易就能预防的)。偶尔不可避免地会出现有人不够尽责或没有能力担任领导的情况,但这些都是极为罕见的例外,并非普遍规则。
综上所述,我认为改变我们对待安全问题的方式需要时间。我们必然需要重新审视何为失败,以及何时人们即便永远无法做到完美,也应当因其辛勤工作而得到实际的奖励和认可。
好消息是,这些变化正在发生。在过去几年里,我们已经看到了很多这样的案例:在发生重大安全事件后,安全负责人并没有被解雇,相反,他们得到了晋升,或者被赋予了更广泛的职责。越来越多的组织明白,安全工作是复杂的,而且如果团队中有能够应对这种复杂性,且不用时刻担心自己工作的人员,组织将会从中获益匪浅。
CISO的角色正在发生转变
CISO这一角色正在发生转变,而且这种转变就发生在我们眼前。几周前,美国参议院财政委员会主席、俄勒冈州民主党人罗恩・怀登以及弗吉尼亚州民主党参议员马克・华纳提出了一项法案,旨在为美国医疗保健系统设定严格的网络安全标准。
正如该法案的一页摘要所阐述的那样,这项立法:
通过为医疗服务提供者、医疗计划、票据交换所和业务合作伙伴制定强制性的最低网络安全标准,实现《健康保险流通与责任法案》(HIPAA)安全要求的现代化。
强化后的标准适用于具有系统重要性的实体以及对国家安全至关重要的实体。
要求受监管实体及业务合作伙伴每年提交由独立机构进行的网络安全审计报告,以及开展压力测试,以确定它们在发生安全事件后是否有能力迅速恢复服务,不过美国卫生与公众服务部(HHS)可为小型服务提供商豁免这些要求。
要求美国卫生与公众服务部(HHS)每年主动对至少 20 家受监管实体的数据安全措施进行审计,重点关注具有系统重要性的服务提供商。。
通过要求高层管理人员每年对合规情况进行认证,强化企业责任。国会已经要求高管们签署财务报表(作为《萨班斯 - 奥克斯利(Sarbanes-Oxley)法案》的一部分),而且向政府撒谎属于重罪。
取消美国卫生与公众服务部(HHS)罚款权限的法定上限,以便大型企业面临足够高额的罚款,从而对松懈的网络安全行为起到威慑作用。
通过向所有受监管实体收取使用费,为(美国卫生与公众服务部的)安全监督及执法工作提供支持。
为农村及城市安全网医院提供 8 亿美元的前期投资款项,并为所有医院提供 5 亿美元资金,以促使它们采用强化后的网络安全标准
将卫生与公众服务部部长在医疗系统遭遇网络安全干扰时(正如在康哲医疗(Change Healthcare)受攻击期间有必要做的那样)提供预支和加速医疗保险支付的权力编入法典。"。
如果这项法案获得通过,它有可能围绕网络安全责任建立起一个框架,并像《萨班斯 - 奥克斯利法案》改变CFO这一角色那样改变CISO的角色。正如Chenxi Wang在她的领英(LinkedIn)页面上所解释的那样:“对于如今的上市公司而言,CFO和CEO必须每个季度对公司的财务报表进行认证。这项法案将要求CISO(想必还有CEO)每年公开认证其公司网络安全合规情况。这一举措将使CISO能够获得相应的资源,承担恰当的责任,同时其工作也能得到急需的保护。
这些变革如果在医疗保健行业得以施行,日后也可能会被其他行业采用,从而改变我们已知的、未来几十年里CISO这一角色的状况。
结束语
网络安全在不断发展,安全领导职能亦是如此。自 1995 年以来,CISO这一角色随着行业的变化而发生了改变。该角色确实变得更加复杂了,但相较于三十年前,它也得到了更多的认可与理解。正如我对网络安全的未来持乐观态度一样,我对CISO这一角色的未来以及它在未来数年将如何持续演变也充满乐观。
如今,人们已经期望CISO首先是企业领导者,其次才是安全从业者。他们需要负责企业中一些最复杂且影响重大的领域,而大多数CISO也已准备好迎接这一挑战。在未来几年里,CISO将继续需要像过去 30 年那样不断重塑自我。随着这一情况的发生,我希望服务型领导、双重职业发展轨道以及允许失败的理念能够成为该行业的常态。
原文链接:
https://ventureinsecurity.net/p/evolving-the-ciso-role-servant-leadership
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。