高管招聘公司Russell Reynolds Associates的全球网络安全实践负责人马特·科姆尼斯(Matt Comyns)表示,大部分企业部门仍然否认他们的信息对黑客、民族国家间谍和其他恶意分子的吸引力。尽管塔吉特的CEO和CIO在2014年丢掉了工作,索尼影业(Sony Pictures)在2014年发布了令人尴尬的电子邮件,但公司仍质疑其资产是否与这些品牌面临同样的风险。
Matt Comyns,行政招聘人员罗素雷诺斯伙伴的全球网络安全练习领导者
大多数公司都没有针对寻求窃取数据或溢出导致公共关系噩梦的信息的攻击,但是在康米尔斯说,这是我担心的立场错过了这一点。所有所需要的是一个公司成为一个重要的黑客有针对性的, 或者索尼德。"I still walk in the door of companies searching for a CISO who say: ’Who would come after us, we’re not Target, we’re not Sony?’But I think to myself: ‘I'm not so sure that's the right question’."
Comyns表示,大约三分之一的公司称之为Ciso搜索的Russell Reynolds,使他们的数据价值下降。推动Cisos价格可能是一个讨价还价的策略。它也可以在Naiveté包裹的一厢情愿思维。康乃末说,他希望他的网络安全搜索今年的加倍,最近与Cio.com关于当前的网络安全状态。
网络安全漏洞仍在继续,尽管人们的意识有所提高
Cio.com:为什么它在目标或索尼的规模上宣传,使网络安全防御的重力亮起?
马特·科曼斯:许多公司幸灾乐祸地没有意识到自己被侵犯了,尤其是那些没有信用卡信息的公司。这些公司知道自己被侵犯是因为FBI敲了他们的门,告诉他们有问题,他们已经从被盗的信用卡信息追踪到家得宝、塔吉特或其他地方如果你没有很多信用卡信息,你怎么会知道呢?你不知道。
[相关:招聘网络安全人才的8个技巧]
现在看起来很明显,所以当我们回头看时,我们会问:你怎么会睡在方向盘上?你在想什么?但那时候情况并不那么明显。它以如此强大的力量降临到每个人身上,现在每个人都处于反应模式,并开始加速。在2016年,如果你现在没有做正确的事情,那你该感到羞耻了。但我仍然对这里的一些心态和信息安全方面的不成熟感到震惊。
Cio.com:到目前为止,违规行为仍在继续,酒店如喜达屋,凯悦和希尔顿等酒店所有宣布违反2015年底。
康马斯:我知道另一家酒店公司在美国有500家酒店,他们有一个CISO,他是一个信息安全小组的成员。他甚至没有一个支持代理。他必须向IT和CIO乞求、借用和窃取帮助。
Cio.com:当你问一个首席执行官他或她在一个CIO中寻找什么时,他们希望有一个拥有强大基础的人,但也可以沟通和与业务有关。CIO或其他高级管理人员在CISO中寻找什么?
康马斯:它与CIO位置不同。您必须了解技术并与业务沟通。作为招聘人员,您想要一个超级技术上精明的CISO,一个了解他或她正在保护的人,谁也可以涉及董事会和C级高管。并智能地谈论并影响和透明地管理业务风险。这是很多要求......但那是每个人想要的东西。什么是市场?不是在规模。所以,更多的是一个有点粗糙的技术人员在边缘左右,并不完美在董事会中,但足够好。也许我们可以让他们一些exec训练,或者与可以提供帮助的人侧翼。
[相关:招聘网络安全人才的8个技巧]
或者也许我获得了一个在技术的体面处理的企业风险经理,但不会成为CIO任何时间浣熊。也许他们从普华永道出来,足够精明,理解控制和技术足够好,我用更多的IT安全专家侧翼。然后人们没有预算。他们说:我想要300,000美元的所有这些。我去年放了三个Cisos,以150万美元及以上。你可以在那里创造出来......市场上有隐藏的宝石,但这是一个高大的任务,特别是如果你说你需要他们搬迁。
为什么Cisos需要代表
CIO.com:首席信息官通常会有一名接受培训的首席信息官,基本上是一名负责日常IT运营的副手。CISO应该有这样一个中尉吗?
康马斯:我第二天正在与大型电缆网络交谈,他们有六个人信息安全,他们刚刚今年雇用24个新的。另一个网络在其Infosec团队中有30到50人。他们在自己的团队中需要合唱团吗?也许不吧。But then you take a bank going from 400 to 500 [cybersecurity employees] and you say absolutely, they need a COO of cyber, especially with CISO pulled away to present to the board and go to D.C. to deal with the government or regulators, or to participate in recruiting or retention programs. The bigger programs absolutely need a deputy CISO.
Cio.com:谁做了大多数Cisos报告?
康马斯:CIO,但越来越多地看到更多向普通律师或首席风险官员的报告。如果有很好的沟通和信任,我对CIO的CISO没有问题。只要它有效。但是,如果您有太多的摩擦,大量冲突,竞争预算,不合要,那是一个问题,那么它必须向GC或风险官报告。
CIO.com:网络安全已经成熟到我们至少知道如何保护公司资产的地步了吗?
康马斯:情况好转了。但坦率地说,我在市场上继续看到的是,对信息安全计划的理解和投资缺乏一致性。在如何解决这一问题上,我们离一致的市场观点还有几年的时间。我们如何找到正确的答案来保护经济且可扩展的公司和消费者?地图上到处都是。我可以向你展示一家500亿美元的公司,它将为CISO支付54万美元。我可以向你们展示一家市值10亿美元的公司,它将为CISO支付100万美元。我可以向你展示一家数十亿美元的公司,它将为一位信息安全主管支付25万美元。
[相关:填补网络安全人才缺口,一次一名女性]
在这样的市场中,董事会加强其专业知识和理解力以推动网络安全风险议程变得前所未有的重要。他们必须接受网络安全风险议程,深入了解并与之建立联系,然后推动公司的变革,以便进行适当的投资。因为这是一个重要的问题巨大的投资,以及对你的文化和预算的重大改变,这真的很难自下而上推动。它必须自上而下。这是一个多年的过程,我们离终点还很远。
这个故事,“商业领袖仍然拒绝网络安全威胁”最初发表首席信息主管 。