首席信息安全官(CISO)超难聘到,因为商业头脑与技术背景协调融合的高管级人才真的太少太少了。另外,公司企业也不确定到底该给CISO年薪几何。
近期的网络安全报道指出,公司企业长期处于网络威胁之下,而且情况正随着勒索软件和钓鲸欺骗的兴起而越来越糟。而经验老道的CISO的短缺,薪资策略的不一致,以及恰当度量标准的欠缺,意味着一些公司在网络安全上其实投入过少了。
几位高级猎头就企业对CISO的需求,以及他们在招聘和留住CISO时遇到的障碍发表了各自的看法。
如果你已经注意到了CISO招聘中的抢椅子游戏状态,那你必然明白这是因为市场实在发展太快。与可用关键业绩指标(KPI)、成本节约和其他衡量标准来评价的首席信息官(CIO)不同,评估CISO表现的标准几乎没有。企业不会以自身是否遭遇数据泄露事件(很多情况下是泄露了还不知道)作为评价CISO的基准。因此,大多数公司尚未找到CISO的合理薪酬,CISO们的薪资水准在50万到200万美元之间浮动。
海德思哲国际咨询公司合作伙伴马特·艾罗称,一些为大公司承担重大责任的CISO,挣的还不如在小公司担负责任不大的同行多。当然,这些CISO中终会有人因为还有更好的选择而离职。
艾罗说,最好的CISO是设计策略将网络安全防御嵌入到注入数字转换之类的新举措基础之中。这意味着他们得与CIO合作以确保新举措在合适的安全规程指引下得以推行。“最开明的安全官找寻的,不仅仅是业务友好的东西,他们是在推荐业务需求发展,帮助公司赢得市场。”
然而,这一切尚未发生,“我们仍然固步自封,还处于防御为主的状态。”
大多数公司在网络安全上的投入还是少了
罗盛咨询公司全球网络安全实践负责人马特·康敏斯说,公司总是大谈特谈网络安全威胁处理,但鉴于受政治动荡和油价波动影响的糟糕全球经济形势,很多公司依然对此投入过少。
“企业锁紧预算,各出奇招节省开支。”康敏斯称,“他们也想创新,想做到所有这些超棒的事,但他们试图以小搏大,用小投资获得大收益,这对网络安全投入而言可不太好。我见过公司企业持续耸肩以对,说自己已经比以前重视多了,说董事会在讨论,高管们也经常谈论此事,但只能小步前进,随着时间推移一点点改善。而我的回复则是,‘我不确定这是个好主意,因为威胁环境已经变得更糟了’”。
威胁环境变糟这一点是毫无疑问的。从威瑞森的《2016数据泄露调查报告》来看,今年,被打开的钓鱼邮件数量已经高达30%,比去年的23%上升了7%。而且,突破防线耗时和发现数据泄露耗时之间的时间差也从去年的62%上升到了84%。
但是,大多数公司还是在收紧钱袋,赌自己不会遭遇数据泄露。康敏斯称,典型的招聘过程是这样的:一些高管会说他们需要满足以下10个条件的CISO。他们会询问CISO的市场价值是多少,而当他们听到超过100万美元的年薪报价时,他们就会说,“不用招这么强力的人,我们玩的是弓箭,不是火箭炮。我可不想让将对我们的改变速度不满的人感受到挫败”。康敏斯对此的回应是,“我的鼓励是,在更困难的经济时期,招聘过程可能会陷入停滞。”
对CISO的期盼是什么
亿康先达国际咨询公司 全球CIO实践总监克里斯·帕特里克说,公司企业应该招聘能平衡好公司领袖和风险评估者角色的CISO。你需要的是一位既能铺陈出全面安全架构,又能在需要的时候向董事会清楚阐明这一架构的人。当然,响应网络事件时,能周旋于高管层、法律顾问、媒体和其他相关方之间进行沟通,也是CISO必备能力之一。
亿康先达顾问卡尔·毕天达说,CISO必须了解情况,知道哪些数据是重要而需要保护的,但他们未必就是最精通科技的那位——熟悉所有最新检测分析方法和其他新兴技术。毕天达认为,最好是聘用那种有能力影响到公司关键战略领导者,而身边又围绕有知晓该用哪种工具以及怎么应用的技术大牛的人作为CISO。
挑选合适的CISO也是个文化契合问题。CISO原型有两种:防火型和救火型。一些CISO喜欢从头开始构建一个网络安全项目,然后在此基础上稳步前行。其他则喜欢在数据泄露事件之后进驻,因为他们更享受网络安全投入及自身影响力逐渐增大的过程。
安全领导角色需求如此之高,身价自然水涨船高,流动性也会随之加大。因此,公司企业也得在内部培养网络安全领导者。“这就像是军备竞赛,你得增强自身实力。外聘不能解决全部问题。”
本文转自d1net(转载)