曾几何时,这份工作的内容仅仅只是需要把工作重点集中在固定的防火墙建设和修补安全漏洞方面的技术性的工作。但到了今天,企业的安全主管们不仅需要做到这一点,还需要处理更多的工作内容。他们不仅需要负责管理自己的安全团队的日常运作以满足企业董事会的预期,同时还需对当前这样一个不断发展的企业安全威胁环境进行掌握,并定期对安全形势的变化进行监管。
这样一来,企业组织的首席信息安全官们的工作无疑成为了一杯诱人的毒酒:其工作是高薪的;并日益受到所有各种背景人的尊重(感谢广为人知的信息安全技能型人才的紧缺);同时平均工作经验要求可以持续在18个月以下的水平。但一名CISO也可能因一系列各种不同的原因而被企业组织开除解聘:其中包括了发生安全违规行为;或遗漏了对安全漏洞的修补;未能使得企业的安全运营达到企业董事会高层的业务预期目标。
InfoSec公司的一名前负责人在谈到企业组织的安全负责人在当前的工作中所面临的不断增加的各种挑战时,甚至用到了艰难生存这一词眼。
“企业组织的首席信息安全官们有着非常艰难的工作,他们需要为自己根本无法提供百分百保障确认的事情负责,即保护企业安全。而仅仅只需要一个未被发现或未及时修补的安全漏洞;一个来自企业内部或一个偶然意外的“不安全”进程,就可能葬送掉他们的全部工作努力。
“当他们能够完全理解这一点,并能妥善正确地管理相关的期望时,他们对于企业的价值将是非常宝贵的。但问题就在于,这不仅需要对于如何管理短期和长期项目有着完全正确的理解,需要对于企业规模和项目预算的掌握和管理,而且需要对技术知识和安全方面有充分的了解,以确保按照正确的优先级次序,来使得相关的事项得到解决。
“这一职位角色几乎可以说是需要具备多方面的能力,不仅要有技术能力,同时还要具备与人沟通的技能;不仅需要具备执行能力,还需要具备项目管理能力。能够把工作焦点聚焦在优先级高的工作领域,同时又要对于相关的概述知识又着广泛的理解。
鉴于上述因素,以及不断的传出关于某家企业的首席信息安全官被解雇的新闻报道的炒作,CSO Online网站的记者专程采访了三位被解聘过的首席信息安全官、一名CIO以及其他的一些资讯安全方面的专家,试图找出首席信息安全官们被解雇的真正原因,并希望能够帮助其他相关人员能够避免重蹈他们的覆辙。
企业高管被解雇很少成为头条新闻
今天,企业的数据泄露事件往往很容易成为各种媒体报道以及资讯安全的头条新闻——而这往往会引发人们更多的关于企业的CISO的责任及其所管理的安全团队的相关思考和讨论。新闻报道的记者和安全供应商的营销团队很快便会就数据泄露后会发生什么状况发出相应的警告。
然而,围绕着这一切,CISO被解雇的新闻几乎很少见诸于媒体。
根据美国的数据泄露通知法令(类似法令很快也将在欧洲颁布,即一般性数据保护条例)能够让您了解哪些企业组织的数据遭到了泄露的相关记录。由此,您可以大胆的进行一个猜测:在这些发生过数据泄露事故的企业的安全管理负责人的身上又发生了什么呢。然而,迄今为止,大多数关于企业CISO被解雇的新闻报道要么是神秘而古怪的,要么就是异常高调的。
在因一次违规事件导致了大约8300万条业务记录在社会工程项目中受损的一年后,摩根大通的CSO吉姆·卡明斯被重新任命了该职位,而该银行之前的CISO格雷格·拉特雷则被要求离开其职位,并接受该公司全球网络合作伙伴和政府战略管理的职位。
但这些都是较为罕见的例子,更多的情况则往往是高级业务成为了主管替罪羊。在2013年,当Target公司发生了约4000万条信用卡信息丢失(超过1亿的数据记录受损)的严重数据泄露事故后,该公司解雇了其CIO和CEO(尽管该零售商在彼时并没有任命其第一位CISO);而在2007年,服装零售商TJX公司所发生的违约行为则导致了该公司的一名导演兼高级副总裁的跳槽。在英国,TalkTalk公司的Dido Harding在去年所发生的安全事故导致约157000条业务记录受到影响,其中甚至包括15,000家客户的财务细节被泄露后,勉强保住了自己的工作。
尽管这可能会让一些人感到意外,但也有人可能会认为,这其实应该归结于问责制、报告程序和安全管理的成熟度。例如,如果企业的首席信息安全官需要向IT汇报工作,那么CIO将成为替罪羊,而其他利益相关者可能推动董事会成员离开正在下沉的船。
BH咨询公司的董事总经理Brian Honan表示说,其实很难衡量一名CISO是被企业组织所解雇了,或者自己干脆另谋高就,找到了另一份新的工作。
“今天,首席信息安全官们工作的变动是如此的频繁,故而很难知道他们主动的跳槽或是源于自身的原因,特别是由于公共信息的违规行为而被企业解聘。”
为什么首席信息安全官会被解雇
可能目前尚未有关于企业的首席信息安全官被解雇的正式记录,但通过我们的记者与许多首席信息安全官、CIO和其他信息安全专家的讨论记录可以看出,很明显,这种事件的发生,是基于一个相当明确的规律的。
企业组织的首席信息安全官们离开他们之前所服务的组织,或许是源于某些安全破坏违约事故的原因,但也可能是韵味未能发现某些安全故障点或未能报告错误事件、做出了错误的采购决定或因为与企业的高级管理层发生了分歧。
一名此前曾就职于美国媒体部门的信息管理负责人告诉我说,她曾经两次看见过她的首席信息安全官要求离职。她说,“而两次申请离职的主要原因,都是围绕着其不能以一种经济的方式来解决企业的安全风险,达到一个令人满意的安全状态。”
而关于企业CISO被解聘的其他原因,根据一些接受采访的匿名受访者回想他们所在的公司的具体情况则包括:CISO的报告不佳被驳回;项目超出他们的预算;不按商业策略行事;甚至散布FUD(恐惧,不确定和怀疑), 而不是针对这些问题提供切实可行的解决方案。正如一位CIO所说,这类首席信息安全官只会耍耍嘴皮子功夫,却不知道“喊破嗓子不如甩开膀子”。
一位英国的穿透性安全测试受访者回顾了自己所经历的另一个例子,他的一位同事在测试中发现一家客户的IT基础设施的各种缺陷(能够让他远程接管Web服务器),并将该状况报道给了该公司的首席信息安全官,而改首席信息安全官答应以4000英镑为回报,以帮助该企业组织披露和解决这些安全漏洞。
但是,两个月的事件过去了,其同事并没有收到付款,便联系了该客户公司的CEO。这一举动无疑为这名CISO带来了可怕的后果。
大约两个月的电话联系没有收到答复。使得这家穿透性安全测试公司感觉是被忽略了,故而相当恼火。于是,他们联系了该企业客户公司的CEO,并向其详细介绍了相关的情况。
“他道了歉,并告诉他们不能继续之前的合同了,向他们支付了费用,并立即解聘了其首席信息安全官,因为他没有及时就该测试报告结果向其上级汇报。”
然而,虽然企业的高级管理层与首席信息安全官的冲突往往导致了后者的离职也许并不足为奇,但长期持有的观点是,他们究竟是否应该为安全违约事故而被解雇仍存在争议。
SANS研究所的埃里克·科尔最近在Twitter上发布的一则推文谈到:“让我们来理清一下吧,发生安全违规并不是一件坏事;如果是由于企业CISO的疏忽,那么,他们应该被解雇;但他们不应该是因为其所在企业发生安全违规而被解雇。”
显然,这是一个觉有争论性的话题。在2014年12月,一份来自NTT Com Security所发布的调研报告透露,企业组织的高管们认为信息安全是一个外行的术语,“是属于别人的问题”,而Raytheon 公司的研究显示,参与了伦敦eCrime大会的70%的安全专家认为,CEO应该对此承担责任。只有13%的受访者认为企业的首席信息安全官应承担责任。
受解雇的首席信息安全官们是如何说的
两名被解雇首席信息安全官描述了自己曾经被解雇的经历,及他们从中所汲取到的经验教训。
一位曾在英国金融服务部门工作过的首席信息安全官说,他被解雇的最终原因,是源自于自己和企业CIO之间的“意见分歧”。
“信息安全预算是企业总的IT预算的一部分,而企业的CIO不得不努力降低IT成本。尽管信息安全仍然也需要尽量在预算中进行节省,但这无异也增加了在某些领域的安全风险。”
他继续说,当在向企业的高级管理人员们解释了潜在的安全危害可能造成的损失之后,CIO采取了急转弯的态度。 “该名CIO不喜欢我的论点,虽然一致认为,企业IT部门应该对与安全管理负责,但实际的情况则是,我们所执行的工作并不是如我所说的那样。”
他说,他觉得自己很好的处理了自己的离职,但他相信他也这次经历中学到了很多。“最好不要直接汇报技术问题,把您的预算交由您企业的CIO来控制,毕竟,他们在节约企业IT部门的成本方面承担了很大的压力。同样,企业的业务领导人们也不喜欢听到真相或了解进一步的透明度,即使他们曾对此有过公开的表示。”
不幸的是,这类故事在企业组织也经常发生。一家托管服务提供商的信息安全负责人也谈到了与IT团队处理这方面问题的困难,而这也最终导致了他自己的离职。
“IT主管经常忽视来自信息安全方面的建议,认为他自己知道得更好,同时又告诉我们的董事会说企业应该进行完善,含沙射影的告诉我的同事说我的工作失败,而其实仅仅是因为他不喜欢我所做的工作。”
“这导致了有人开始向人力资源部门投诉我的主管,认为不相称的行为导致了管理不当,也违反我们企业的管理政策。 HR部门于是采取了措施。就在我两年聘用期满的前一个月,就差一个月就能受到就业法保护的我被不公平的解雇开除了。”
另外一名在美国制药行业工作的CISO,解释他为什么在揭露企业完成并购时的不法行为后辞职的经历。
“我曾经服务的企业与另一家规模更大的,拥有全球性影响力的公司有过并购交易,鉴于这是一次公开收购交易,我们在我的职权范围内遵循了萨班斯-奥克斯利法案和SEC的相关合规,因为上级机构的信息安全功能没有我们成熟。”
这一年里,发生了许多财务违规行为,在预防数据丢失,并对数据进行分析的同时,我们也遇到了类似欺诈和内幕交易的问题。其中就涉及到一名地区性的首席财务官,我和他原本相处得很好。
“这些信息是没有定论的,而在与自己进行了长达一个星期的辩论抗争后,我按照我们自己的管理政策(举报揭发)将相关的信息报告给了公司新任的首席执行官。然后该公司的首席执行官向我所举报的人转发了我的机密电子邮件,并询问发生了什么事情,这直接导致了我受到了报复性起诉。
他在第二天就提交了辞职报告,而四个月后,该公司申请了破产。此后的下一年,该公司的首席执行官和首席财务官均遭到了美国证券交易委员会的调查。
因此,关于企业组织的首席信息安全官们应该如何避免被解聘?这里有三个秘诀:
1 清楚的了解您自己的工作范围,您的界限,同时了解在哪些业务领域,您是可以打破的,而在哪些领域您可以增加价值
2 了解业务,并明确相关业务事项的优先级顺序。
3 尝试与真正的管理人员进行解释和沟通。如果他们理解了,并对他们构成了挑战,那么您就不太可能被解雇了。