许多关于黑客,民族国家的间谍和其他不满者的诱惑力的信息保持企业部门仍然在否认的马特Comyns,全球网络安全实践主管招聘主管罗盛说。尽管在Target的后果,看到的CEO和CIO失去他们的工作,并在2014年令人尴尬的索尼影业电子邮件的灾难性启示,企业问题,即是否他们的资产法院相同风险的那些品牌。
高管猎头公司Russell Reynolds Associates的全球网络安全实践负责人马特·科米恩斯(Matt Comyns)说
Comyns表示,大多数公司都不是黑客的目标,他们不会窃取数据或泄露信息,从而导致公关噩梦,但这种“我担心什么”的立场大错特错。只需要一次重大的黑客攻击,一家公司就会变成这样目标,或Sonyed。“很多公司在寻找CISO时,总会有人说:‘谁会追我们呢?我们不是目标,我们不是索尼。’”’但我对自己说:‘我不确定这是不是正确的问题’。”
Comyns表示,约有三分之一的公司打电话给罗素•雷诺兹(Russell Reynolds)进行CISO搜索,他们刻意淡化自己数据的价值。这可能是压低CISOs价格的一种讨价还价策略。它也可能是包裹在天真之中的一厢情愿的想法。Comyns表示,他预计今年自己的网络安全搜索量将翻一番,他最近向CIO.com谈到了网络安全的现状。
网络安全漏洞不断,尽管更多的认识
CIO.com:为什么要像塔吉特公司(Target)或索尼公司(Sony)那样大肆宣传,以暴露网络安全防御的严重性?
马特Comyns:许多公司都一无所知,他们已经被突破,尤其是那些没有信用卡的信息。公司了解到,他们已经攻破,因为联邦调查局对他们敲门,并告诉他们,他们有一个问题,他们已经追踪被盗信用卡信息反馈给家得宝,塔吉特或其他地方的点。但是,如果你没有大量的信用卡信息,你将如何知道?你不知道。
[相关阅读:8个秘诀招聘网络安全人才]
现在看来那么明显,所以当我们回头看,我们要问:你怎么可以在方向盘睡觉?你在想什么?但当时它不是那么明显。它临到每个人都具有这样的力量,现在每个人都在反应模式和起床的速度。在2016年,如果你不现在做正确的事,可耻的是你。但我仍然感到震惊的一些心态和信息安全缺乏在这里成熟。
CIO.com:按照你的说法,违规行为还在继续,喜达屋、凯悦和希尔顿等酒店都将在2015年底宣布违规行为。
Comyns:我知道另一家酒店公司,500家在美国,他们有一个CISO谁是一个信息安全组。他甚至没有一个支持的副手。他乞求,借用,并从IT和CIO偷帮助。
CIO.com:当你问首席执行官他(她)想从CIO那里得到什么时,他们想要的是一个在IT方面有扎实基础的人,同时还能与企业进行沟通和联系。cio或其他高级主管在CISO中寻找什么?
Comyns:这与CIO的职位没有什么不同。你必须了解技术并与业务部门进行沟通。作为一名招聘人员,你需要一个非常精通技术的CISO,他/她知道自己要保护的是什么,他/她还能让董事会和c级主管们为之惊叹。明智地沟通、影响和透明地管理业务风险。这要求太多了……但这是每个人都想要的。市场上有什么?规模不是那么大。所以多找一个技术专家,他有点粗鲁,在会议室里不完美,但足够好。也许我们可以给他们一些管理培训,或者找个能帮忙的人作为侧翼。
[相关阅读:8个秘诀招聘网络安全人才]
或者,我遇到了一位企业风险经理,他对技术很在行,但在任何时候都不会成为首席信息官。也许他们来自普华永道(PwC),很有悟性,对控制和技术都很了解,我还会给他们配备一个IT安全专家。人们没有预算。他们说:我想要30万美元。去年,我以150万美元及以上的价格签下了三个超级球员。你可以在那里发挥创造力……市场上有隐藏的宝石,但这是一项艰巨的任务,特别是如果你说你需要它们重新安置。
CISOs为什么需要副手
CIO.com:CIO们往往有一个CIO在训练,基本上是一个副谁处理一天到一天的IT运营。如果首席信息安全官有这样的中尉?
Comyns:前几天我和一家大型有线电视网络公司谈过,他们有六个人负责信息安全,今年他们刚刚获准招聘24名新员工。另一个网络的infosec团队有30到50人。他们在自己的团队中需要首席运营官吗?也许不是。但是你把银行从400年到500年网络安全的员工和你说绝对,他们需要一个网络的首席运营官,尤其是CISO给董事会上脱离并去华盛顿特区政府或监管机构,或参与招聘或保留项目。大项目绝对需要一个副首席信息官。
CIO.com:大部分CISOs都向谁汇报?
Comyns:首席信息官,但我看到越来越多的人向总法律顾问或首席风险官报告。如果有良好的沟通和信任,我认为CISO向CIO报告没有问题。只要它能工作。但如果你有太多的摩擦,大量的冲突,竞争的预算,不一致,这是一个问题,然后它必须报告给GC或风险官。
CIO.com:有网络安全已经成熟到一个地方,我们至少有一个如何保卫公司财产的想法?
Comyns:它变得更好。但坦率地说我继续在市场看到的是一个缺乏信息安全的理解周围投资的一致性和。我们仍然在如何解决这个一致的市场看法需要几年的时间。我们如何到达正确的答案,保护企业和消费者这是经济的,可扩展的?这一切都在地图上。我可以告诉你$ 50十亿的公司,将支付$ 540,000的所有功能于一个CISO。而且我可以告诉你A $ 1十亿市值的公司,将支付$ 1百万的所有功能于一个CISO。我可以告诉你一个数十亿的公司,将支付$ 250,000对信息安全的负责人。
[相关阅读:关闭网络安全人才缺口,一个女人在一个时间]
在这样的市场中,它从来都不是板来支撑他们的专业知识和理解,使他们可以驱动的网络安全风险议程更重要。他们必须接受它,得到的深刻理解和连接它,然后开车变更,在他们的公司,使他们能够作出适当的投资。因为它是一个显著的投资,和你的文化和预算一个显著的变化是真的很难从下往上推动。它有来自自上而下。这是一个多年的过程,我们无处终点线附近。
这篇文章《商业领袖仍在否认网络安全威胁》最初发表于CIO 。