今天的首席信息安全官(CISO)的生活越来越不稳定。自20世纪90年代末职称出现以来,CISO的工作变得越来越复杂,要求也越来越高。
以前,这是一项主要专注于修复防火墙和修补漏洞的技术工作,而今天的安全主管们被期望做这些工作,以及更多的工作。他们负责应付安全团队的日常运作,以满足董事会的期望,同时还要跟上不断变化的威胁格局和定期的监管变化。
因此,人们可能会说,CISO的工作是一个有毒的圣杯:这份工作薪水高、受人尊敬,而且越来越多的人来自各种背景(由于广为人知的信息安全公司(InfoSec)技能短缺),但平均一份工作可以持续18个月甚至更短。一个CISO可以因为很多事情被解雇,从漏洞泄露或遗漏的漏洞到未能使安全行动与委员会的商业目标保持一致。
InfoSec的一位前负责人谈到了安全主管们在工作上的成功——甚至是生存——所面临的挑战。
“CISOs有一个难以置信的困难的工作,因为他们负责的事情,他们永远不能提供100%的保证,例如,确保企业。它所需要的只是一个遗漏的弱点、一个内部人员或一个偶然的“不安全”过程。
[更多关于CISOs的资料:作为一个新CISO,什么时候该掐死自己]
“当他们完全理解这一点,并能恰当地管理相关的期望时,他们是无价的。”问题是,这不仅需要完全理解如何正确管理短期和长期项目,按规模和预算完成,还需要技术知识和安全理解,以确保正确的优先级得到处理。
“这个职位就像一只独角兽——技术上的,但人际交往能力很强。执行级别,但具有项目管理能力。重点突出优先顺序,但要有广泛的概况知识和理解。”
考虑到这一点,以及对西索是如何被解雇的不断猜测,社会网络采访了三名被解雇的首席信息官、一名被解雇的首席信息官和一群其他信息安全专家,以找出首席信息官被解雇的原因、他们的下场……其他人读这篇文章的方式可以避免同样的壮举。
解雇很少成为头条新闻
如今,数据泄露成了新闻头条,而且在信息安全社区中,这常常导致人们围绕CISO及其安全团队的位置展开大量讨论。记者和安全供应商的营销团队都迅速发出警告,如果不是在什么时候,数据泄露之后可能会发生什么。
然而,尽管如此,CISO的解雇在媒体中还是闻所未闻的。
美国的数据泄露通知法律(很快欧洲也会出台数据保护一般规定)会给你提供一个公2020欧洲杯夺冠热门司被攻破的记录,你可以猜测安全主管的遭遇。然而,到目前为止,媒体上大多数解雇CISO的故事都是古怪和古怪的,或者是非常高调的。
摩根大通首席财务官吉姆•卡明斯(Jim Cummings)就是重新分配一年前,在一场社会工程运动的支持下,8300万份记录被泄露。世行首席信息官Greg Rattray被要求离职,负责全球网络伙伴关系和政府战略。
但这些都是罕见的例子,而且往往是由企业高管承担责任。4000万信用卡信息丢失(超过1亿数据记录被破坏)Target失去了它的CIO2013年末,该零售商任命了第一位CISO首席执行官。2007年,服装零售商TJX遭遇黑客攻击,一位董事和高级副总裁跳槽。在英国,TalkTalk去年有15.7万份记录被泄露,其中包括1.5万名客户的财务信息。
虽然这可能会让一些人感到惊讶,但也有人认为,这归结于问责制、报告线和安全成熟度。例如,如果CISO向IT部门报告,CIO可能会承担责任,而其他利益相关者可能会推动董事会成员离开这艘正在下沉的船。
BH Consulting董事总经理布莱恩•霍南(Brian Honan)表示,要衡量一个CISO是被解雇了,还是仅仅找到了另一份工作,也很困难。
“如今,超级球员的动作如此之多,很难知道他们是跳涨了,还是受到了逼迫——尤其是在没有任何关于违规的公开信息的情况下。”
为什么CISOs会被解雇
可能没有启动CISOs的记录,但是——在我与许多CISOs、CIO和其他InfoSec专家的讨论中——很明显,这种情况是相当经常发生的。
CISOs可能会因为组织遭受破坏而离开,但也可能因为未能发现或报告错误、糟糕的采购决策或与高级管理人员意见不合而离开。
一位曾在美国媒体行业工作的信息治理负责人告诉我,她曾两次看到自己的CISO被要求离职。她说,这两次解雇“主要集中在无法以经济的方式解决使国家满意的风险。”
其他匿名的消息来源回忆说,他们公司的CISO曾因为糟糕的报告、超出预算、不遵守商业策略甚至传播FUD(恐惧、不确定和怀疑)而被解雇,而不是为这些问题提供切实可行的解决方案。正如一位首席信息官所说,这是CISO“只说不做”的一个例子。
一位英国的渗透测试员回忆了另一个例子,他的同事pen测试员在客户的IT基础设施中发现了各种缺陷(使他可以远程接管网络服务器),并向CISO报告了这些缺陷,CISO承诺给他4000英镑,作为泄露漏洞的回报。
然而,两个月后,由于没有收到任何付款,该笔测试机构联系了该公司的首席执行官。这一行为给CISO带来了可怕的后果。
“大约两个月的电话,什么都没有。测试公司对被忽视感到很恼火。他们找到了首席执行官,给了他们一口,他真的是一个健全的人。
“他道歉了,告诉他们由于之前的合同,他们不能录用他们,付了钱,并当场解雇了那个家伙(CISO),因为他没有将调查结果报告给上级。”
然而,尽管与高级管理层的冲突经常被认为是导致CISO离职的原因,这或许并不令人意外,但长期以来的观点——他们应该因违反协议而被解雇——仍然存在争议。
SANS研究所的埃里克·科尔最近谈到了这一点推特“让我们消除误会,妥协不是坏事;如果一个CISO疏忽大意,他们应该被解雇,但不是因为发生了妥协。”
显然,这是一个有待讨论的问题。2014年12月,NTT Com安全公司的一项研究显示,高管们认为信息安全是“别人的问题”,而雷神公司的一项研究显示,在伦敦举行的eCrime大会上,70%的安全专家认为ceo们应该承担责任。只有13%的受访者认为应该是CISO。
被解雇的西斯科把一切都说出来
两名被解雇的CISOs描述了被解雇的经历和他们学到的教训。
一位曾在英国金融服务行业工作的首席信息官表示,他被解雇的最终原因是他和首席信息官之间存在“意见分歧”。
信息安全预算是总体IT预算的一部分,CIO必须降低成本。虽然信息安全仍然需要节省预算,但这增加了某些领域的风险。”
他继续说,在向高级管理层解释了潜在的损害之后,首席信息官的态度发生了令人不快的转变。“首席信息官不喜欢这样,尽管他同意企业应该对此负责,这是一个按我说的做而不是按我做的做的例子。”
他说,他觉得自己对离职处理得不错,但相信自己从这次经历中学到了很多。最好不要直接向技术部门汇报,让首席信息官控制你的预算,他正承受着巨大的压力,要大幅削减成本。此外,企业领导人也不喜欢听到真相或透明度,即使他们公开声明这一点。”
不幸的是,其他地方的情况也类似。一家管理服务提供商的infosec主管也提到了IT团队的困难,这最终为他自己的离职铺平了道路。
IT主管经常忽视信息安全方面的建议,认为自己更懂行。他一边告诉董事会我们应该改进,一边告诉我的同事让我失败,因为他不喜欢我所做的事情,这样削弱了我的地位。
“此事导致我向人力资源部投诉我的董事,因为他的行为不符合董事身份,也违反了公司的道德准则。”HR对这件事轻描淡写。在我两年的雇佣期前一个月,我被解雇了,雇佣法本可以保护我不公平解雇。”
另一位在美国制药行业工作的CISO解释了他辞职的原因吹口哨并购后的内部欺诈。
“我们与另一家规模更大、业务遍及全球的美国公司进行了合并和收购,因为这是一家上市公司,我们有《萨班斯·奥克斯利法》(Sarbanes Oxley)和美国证券交易委员会(SEC)的合规规定,这在我的职权范围内,因为母公司的信息安全功能不如我们成熟。”
“全年发生了一些金融违规行为,在进行一些数据丢失预防分析时,发现了欺诈和内幕交易。”其中一位是地区首席财务官,我和他相处得很好。
“这些信息并不是结论性的,在自己思考了一周该怎么做之后,我按照我们自己的政策(道德和检举),将这些信息秘密地交给了新任CEO。”然后,CEO把我的机密邮件转发给了我的汇报对象,询问发生了什么事,我立刻收到了针对我的报复行动。
第二天,他辞职了,但四个月后公司申请破产,去年晚些时候,这位前任首席执行官和首席财务官接受了美国证券交易委员会的调查。
那么,CISOs如何避免被解雇呢?这里有三个建议:
- “明确了解你的范围和界限,以及你可以在哪里打破(业务),在哪里可以增加价值。”
- “了解业务并清楚业务的优先级是什么”
- “试着让高管们明白这一点。如果他们能理解,而且这对他们来说是一种挑战,那么你被解雇的可能性就更小了。”
这篇文章,“这些首席执行官解释他们为什么被解雇”最初是由方案 。