曾幾何時,這份工作的內(nèi)容僅僅只是需要把工作重點集中在固定的防火墻建設(shè)和修補安全漏洞方面的技術(shù)性的工作。但到了今天,企業(yè)的安全主管們不僅需要做到這一點,還需要處理更多的工作內(nèi)容。他們不僅需要負責(zé)管理自己的安全團隊的日常運作以滿足企業(yè)董事會的預(yù)期,同時還需對當(dāng)前這樣一個不斷發(fā)展的企業(yè)安全威脅環(huán)境進行掌握,并定期對安全形勢的變化進行監(jiān)管。
這樣一來,企業(yè)組織的首席信息安全官們的工作無疑成為了一杯誘人的毒酒:其工作是高薪的;并日益受到所有各種背景人的尊重(感謝廣為人知的信息安全技能型人才的緊缺);同時平均工作經(jīng)驗要求可以持續(xù)在18個月以下的水平。但一名CISO也可能因一系列各種不同的原因而被企業(yè)組織開除解聘:其中包括了發(fā)生安全違規(guī)行為;或遺漏了對安全漏洞的修補;未能使得企業(yè)的安全運營達到企業(yè)董事會高層的業(yè)務(wù)預(yù)期目標。
InfoSec公司的一名前負責(zé)人在談到企業(yè)組織的安全負責(zé)人在當(dāng)前的工作中所面臨的不斷增加的各種挑戰(zhàn)時,甚至用到了艱難生存這一詞眼。
“企業(yè)組織的首席信息安全官們有著非常艱難的工作,他們需要為自己根本無法提供百分百保障確認的事情負責(zé),即保護企業(yè)安全。而僅僅只需要一個未被發(fā)現(xiàn)或未及時修補的安全漏洞;一個來自企業(yè)內(nèi)部或一個偶然意外的“不安全”進程,就可能葬送掉他們的全部工作努力。
“當(dāng)他們能夠完全理解這一點,并能妥善正確地管理相關(guān)的期望時,他們對于企業(yè)的價值將是非常寶貴的。但問題就在于,這不僅需要對于如何管理短期和長期項目有著完全正確的理解,需要對于企業(yè)規(guī)模和項目預(yù)算的掌握和管理,而且需要對技術(shù)知識和安全方面有充分的了解,以確保按照正確的優(yōu)先級次序,來使得相關(guān)的事項得到解決。
“這一職位角色幾乎可以說是需要具備多方面的能力,不僅要有技術(shù)能力,同時還要具備與人溝通的技能;不僅需要具備執(zhí)行能力,還需要具備項目管理能力。能夠把工作焦點聚焦在優(yōu)先級高的工作領(lǐng)域,同時又要對于相關(guān)的概述知識又著廣泛的理解。
鑒于上述因素,以及不斷的傳出關(guān)于某家企業(yè)的首席信息安全官被解雇的新聞報道的炒作,CSO Online網(wǎng)站的記者專程采訪了三位被解聘過的首席信息安全官、一名CIO以及其他的一些資訊安全方面的專家,試圖找出首席信息安全官們被解雇的真正原因,并希望能夠幫助其他相關(guān)人員能夠避免重蹈他們的覆轍。
企業(yè)高管被解雇很少成為頭條新聞
今天,企業(yè)的數(shù)據(jù)泄露事件往往很容易成為各種媒體報道以及資訊安全的頭條新聞——而這往往會引發(fā)人們更多的關(guān)于企業(yè)的CISO的責(zé)任及其所管理的安全團隊的相關(guān)思考和討論。新聞報道的記者和安全供應(yīng)商的營銷團隊很快便會就數(shù)據(jù)泄露后會發(fā)生什么狀況發(fā)出相應(yīng)的警告。
然而,圍繞著這一切,CISO被解雇的新聞幾乎很少見諸于媒體。
根據(jù)美國的數(shù)據(jù)泄露通知法令(類似法令很快也將在歐洲頒布,即一般性數(shù)據(jù)保護條例)能夠讓您了解哪些企業(yè)組織的數(shù)據(jù)遭到了泄露的相關(guān)記錄。由此,您可以大膽的進行一個猜測:在這些發(fā)生過數(shù)據(jù)泄露事故的企業(yè)的安全管理負責(zé)人的身上又發(fā)生了什么呢。然而,迄今為止,大多數(shù)關(guān)于企業(yè)CISO被解雇的新聞報道要么是神秘而古怪的,要么就是異常高調(diào)的。
在因一次違規(guī)事件導(dǎo)致了大約8300萬條業(yè)務(wù)記錄在社會工程項目中受損的一年后,摩根大通的CSO吉姆·卡明斯被重新任命了該職位,而該銀行之前的CISO格雷格·拉特雷則被要求離開其職位,并接受該公司全球網(wǎng)絡(luò)合作伙伴和政府戰(zhàn)略管理的職位。
但這些都是較為罕見的例子,更多的情況則往往是高級業(yè)務(wù)成為了主管替罪羊。在2013年,當(dāng)Target公司發(fā)生了約4000萬條信用卡信息丟失(超過1億的數(shù)據(jù)記錄受損)的嚴重數(shù)據(jù)泄露事故后,該公司解雇了其CIO和CEO(盡管該零售商在彼時并沒有任命其第一位CISO);而在2007年,服裝零售商TJX公司所發(fā)生的違約行為則導(dǎo)致了該公司的一名導(dǎo)演兼高級副總裁的跳槽。在英國,TalkTalk公司的Dido Harding在去年所發(fā)生的安全事故導(dǎo)致約157000條業(yè)務(wù)記錄受到影響,其中甚至包括15,000家客戶的財務(wù)細節(jié)被泄露后,勉強保住了自己的工作。
盡管這可能會讓一些人感到意外,但也有人可能會認為,這其實應(yīng)該歸結(jié)于問責(zé)制、報告程序和安全管理的成熟度。例如,如果企業(yè)的首席信息安全官需要向IT匯報工作,那么CIO將成為替罪羊,而其他利益相關(guān)者可能推動董事會成員離開正在下沉的船。
BH咨詢公司的董事總經(jīng)理Brian Honan表示說,其實很難衡量一名CISO是被企業(yè)組織所解雇了,或者自己干脆另謀高就,找到了另一份新的工作。
“今天,首席信息安全官們工作的變動是如此的頻繁,故而很難知道他們主動的跳槽或是源于自身的原因,特別是由于公共信息的違規(guī)行為而被企業(yè)解聘。”
為什么首席信息安全官會被解雇
可能目前尚未有關(guān)于企業(yè)的首席信息安全官被解雇的正式記錄,但通過我們的記者與許多首席信息安全官、CIO和其他信息安全專家的討論記錄可以看出,很明顯,這種事件的發(fā)生,是基于一個相當(dāng)明確的規(guī)律的。
企業(yè)組織的首席信息安全官們離開他們之前所服務(wù)的組織,或許是源于某些安全破壞違約事故的原因,但也可能是韻味未能發(fā)現(xiàn)某些安全故障點或未能報告錯誤事件、做出了錯誤的采購決定或因為與企業(yè)的高級管理層發(fā)生了分歧。
一名此前曾就職于美國媒體部門的信息管理負責(zé)人告訴我說,她曾經(jīng)兩次看見過她的首席信息安全官要求離職。她說,“而兩次申請離職的主要原因,都是圍繞著其不能以一種經(jīng)濟的方式來解決企業(yè)的安全風(fēng)險,達到一個令人滿意的安全狀態(tài)。”
而關(guān)于企業(yè)CISO被解聘的其他原因,根據(jù)一些接受采訪的匿名受訪者回想他們所在的公司的具體情況則包括:CISO的報告不佳被駁回;項目超出他們的預(yù)算;不按商業(yè)策略行事;甚至散布FUD(恐懼,不確定和懷疑), 而不是針對這些問題提供切實可行的解決方案。正如一位??CIO所說,這類首席信息安全官只會耍耍嘴皮子功夫,卻不知道“喊破嗓子不如甩開膀子”。
一位英國的穿透性安全測試受訪者回顧了自己所經(jīng)歷的另一個例子,他的一位同事在測試中發(fā)現(xiàn)一家客戶的IT基礎(chǔ)設(shè)施的各種缺陷(能夠讓他遠程接管Web服務(wù)器),并將該狀況報道給了該公司的首席信息安全官,而改首席信息安全官答應(yīng)以4000英鎊為回報,以幫助該企業(yè)組織披露和解決這些安全漏洞。
但是,兩個月的事件過去了,其同事并沒有收到付款,便聯(lián)系了該客戶公司的CEO。這一舉動無疑為這名CISO帶來了可怕的后果。
大約兩個月的電話聯(lián)系沒有收到答復(fù)。使得這家穿透性安全測試公司感覺是被忽略了,故而相當(dāng)惱火。于是,他們聯(lián)系了該企業(yè)客戶公司的CEO,并向其詳細介紹了相關(guān)的情況。
“他道了歉,并告訴他們不能繼續(xù)之前的合同了,向他們支付了費用,并立即解聘了其首席信息安全官,因為他沒有及時就該測試報告結(jié)果向其上級匯報。”
然而,雖然企業(yè)的高級管理層與首席信息安全官的沖突往往導(dǎo)致了后者的離職也許并不足為奇,但長期持有的觀點是,他們究竟是否應(yīng)該為安全違約事故而被解雇仍存在爭議。
SANS研究所的埃里克·科爾最近在Twitter上發(fā)布的一則推文談到:“讓我們來理清一下吧,發(fā)生安全違規(guī)并不是一件壞事;如果是由于企業(yè)CISO的疏忽,那么,他們應(yīng)該被解雇;但他們不應(yīng)該是因為其所在企業(yè)發(fā)生安全違規(guī)而被解雇。”
顯然,這是一個覺有爭論性的話題。在2014年12月,一份來自NTT Com Security所發(fā)布的調(diào)研報告透露,企業(yè)組織的高管們認為信息安全是一個外行的術(shù)語,“是屬于別人的問題”,而Raytheon 公司的研究顯示,參與了倫敦eCrime大會的70%的安全專家認為,CEO應(yīng)該對此承擔(dān)責(zé)任。只有13%的受訪者認為企業(yè)的首席信息安全官應(yīng)承擔(dān)責(zé)任。
受解雇的首席信息安全官們是如何說的
兩名被解雇首席信息安全官描述了自己曾經(jīng)被解雇的經(jīng)歷,及他們從中所汲取到的經(jīng)驗教訓(xùn)。
一位曾在英國金融服務(wù)部門工作過的首席信息安全官說,他被解雇的最終原因,是源自于自己和企業(yè)CIO之間的“意見分歧”。
“信息安全預(yù)算是企業(yè)總的IT預(yù)算的一部分,而企業(yè)的CIO不得不努力降低IT成本。盡管信息安全仍然也需要盡量在預(yù)算中進行節(jié)省,但這無異也增加了在某些領(lǐng)域的安全風(fēng)險。”
他繼續(xù)說,當(dāng)在向企業(yè)的高級管理人員們解釋了潛在的安全危害可能造成的損失之后,CIO采取了急轉(zhuǎn)彎的態(tài)度。 “該名CIO不喜歡我的論點,雖然一致認為,企業(yè)IT部門應(yīng)該對與安全管理負責(zé),但實際的情況則是,我們所執(zhí)行的工作并不是如我所說的那樣。”
他說,他覺得自己很好的處理了自己的離職,但他相信他也這次經(jīng)歷中學(xué)到了很多。“最好不要直接匯報技術(shù)問題,把您的預(yù)算交由您企業(yè)的CIO來控制,畢竟,他們在節(jié)約企業(yè)IT部門的成本方面承擔(dān)了很大的壓力。同樣,企業(yè)的業(yè)務(wù)領(lǐng)導(dǎo)人們也不喜歡聽到真相或了解進一步的透明度,即使他們曾對此有過公開的表示。”
不幸的是,這類故事在企業(yè)組織也經(jīng)常發(fā)生。一家托管服務(wù)提供商的信息安全負責(zé)人也談到了與IT團隊處理這方面問題的困難,而這也最終導(dǎo)致了他自己的離職。
“IT主管經(jīng)常忽視來自信息安全方面的建議,認為他自己知道得更好,同時又告訴我們的董事會說企業(yè)應(yīng)該進行完善,含沙射影的告訴我的同事說我的工作失敗,而其實僅僅是因為他不喜歡我所做的工作。”
“這導(dǎo)致了有人開始向人力資源部門投訴我的主管,認為不相稱的行為導(dǎo)致了管理不當(dāng),也違反我們企業(yè)的管理政策。 HR部門于是采取了措施。就在我兩年聘用期滿的前一個月,就差一個月就能受到就業(yè)法保護的我被??不公平的解雇開除了。”
另外一名在美國制藥行業(yè)工作的CISO,解釋他為什么在揭露企業(yè)完成并購時的不法行為后辭職的經(jīng)歷。
“我曾經(jīng)服務(wù)的企業(yè)與另一家規(guī)模更大的,擁有全球性影響力的公司有過并購交易,鑒于這是一次公開收購交易,我們在我的職權(quán)范圍內(nèi)遵循了薩班斯-奧克斯利法案和SEC的相關(guān)合規(guī),因為上級機構(gòu)的信息安全功能沒有我們成熟。”
這一年里,發(fā)生了許多財務(wù)違規(guī)行為,在預(yù)防數(shù)據(jù)丟失,并對數(shù)據(jù)進行分析的同時,我們也遇到了類似欺詐和內(nèi)幕交易的問題。其中就涉及到一名地區(qū)性的首席財務(wù)官,我和他原本相處得很好。
“這些信息是沒有定論的,而在與自己進行了長達一個星期的辯論抗爭后,我按照我們自己的管理政策(舉報揭發(fā))將相關(guān)的信息報告給了公司新任的首席執(zhí)行官。然后該公司的首席執(zhí)行官向我所舉報的人轉(zhuǎn)發(fā)了我的機密電子郵件,并詢問發(fā)生了什么事情,這直接導(dǎo)致了我受到了報復(fù)性起訴。
他在第二天就提交了辭職報告,而四個月后,該公司申請了破產(chǎn)。此后的下一年,該公司的首席執(zhí)行官和首席財務(wù)官均遭到了美國證券交易委員會的調(diào)查。
因此,關(guān)于企業(yè)組織的首席信息安全官們應(yīng)該如何避免被解聘?這里有三個秘訣:
1 清楚的了解您自己的工作范圍,您的界限,同時了解在哪些業(yè)務(wù)領(lǐng)域,您是可以打破的,而在哪些領(lǐng)域您可以增加價值
2 了解業(yè)務(wù),并明確相關(guān)業(yè)務(wù)事項的優(yōu)先級順序。
3 嘗試與真正的管理人員進行解釋和溝通。如果他們理解了,并對他們構(gòu)成了挑戰(zhàn),那么您就不太可能被解雇了。