今天的首席信息安全官(CISO)过着越来越不稳定的生活。自上世纪90年代末出现CISO这个头衔以来,CISO的工作变得越来越复杂,要求也越来越高。
以前,这是一项主要专注于修复防火墙和修补漏洞的技术工作,而如今,安全主管们期望做这些,甚至更多。他们的任务是兼顾安全团队的日常运营,满足董事会的期望,同时跟上不断变化的威胁形势和定期的监管变化。
因此,有人可能会说CISO的工作是一个有毒的圣杯:这份工作报酬丰厚,受人尊敬,而且越来越多的人可以得到这份工作(由于众所周知的信息安全技术短缺),然而这份工作的平均时间可能只有18个月甚至更短。CISO可能会因为很多事情而被解雇,从漏洞被攻破或漏洞被遗漏,到未能使安全操作与董事会的业务目标保持一致。
一位前信息安全主管谈到了安全主管在工作中面临的挑战。
“首席信息官的工作非常困难,因为他们要负责的事情,他们永远不能提供百分之百的保证,比如确保企业的安全。它所需要的只是一个漏洞,一个内部漏洞或一个意外的“不安全”进程。
[关于ciso的更多信息:作为新首席信息官,什么时候该勒死自己]
“当他们完全理解这一点,并能够恰当地管理相关预期时,他们是无价的。问题是,这不仅需要完全理解如何适当管理短期和长期项目,以规模和预算完成,而且还需要技术知识和安全理解,以确保处理正确的优先事项。
“这个职位几乎是独角兽——技术上的,但有交际能力。执行级,但具有项目管理能力。以激光为重点,但要有广泛的概览知识和理解。”
鉴于这一点,以及对ciso如何被解雇的不断猜测,社会网络采访了三次被解雇的CISO,一个射击CIO和一系列其他INFOSEC专家,以了解为什么CISOS被解雇,在那里他们最终获得了......以及别人如何阅读这可以避免同样的壮举。
解雇很少成为头条新闻
今天,数据泄露成为头条新闻——在信息安全社区中——这通常会导致大量关于CISO及其安全团队的位置的讨论。记者和安全厂商营销团队都迅速警告说,在数据泄露“如果不”发生之后可能会发生什么。
然而,尽管如此,CISO被解雇在媒体上几乎是闻所未闻的。
美国的数据泄露通知法(很快也会在欧洲出台《通用数据保护条例》)会给你一份被雷竞技比分入侵公司的记录,你可以猜测安全主管的遭遇。然而,迄今为止,媒体报道的大多数CISO被解雇的故事都是离奇古怪的,或者是非常高调的。
摩根大通首席财务官吉姆•卡明斯(Jim Cummings)就是其中之一重新分配违约后的一年,在社会工程竞选活动的后面看到了8300万条记录。被要求银行的CISO Greg Rattray留下他的立场并占据全球网络伙伴关系和政府战略。
但这些都是罕见的例子,而且往往是企业高管承担责任。4000万信用卡信息丢失(超过1亿的数据记录泄露)目标失去了它的cio在2013年底违约后,首席执行官(虽然零售商确实委任其第一个CISO),而2007年在服装零售商TJX突破一名董事长和高级副总裁跳船。在英国,谈论哈丁(Dido Harding)在去年的黑客事件后保住了职位。在那次事件中,有15.7万份记录被泄露,其中包括1.5万名客户的财务细节。
虽然这可能会让一些人感到惊讶,但可以认为这归结于问责制、报告线和安全成熟度。例如,如果CISO向IT部门报告,CIO可能会承担责任,而其他利益相关者可能会推动董事会成员离开这艘正在下沉的船。
BH咨询总经理Brian Honan说,它也很难衡量CISO已被解雇 - 或只是找到另一份工作。
“如今,ciso的行动如此之多,很难知道他们是主动出击,还是被迫出击——尤其是在没有任何关于泄密的公开信息的情况下。”
为什么首席信息官会被解雇
可能没有关于CIO被启动的记录,但是——在我与一些CIO、CIO和其他信息安全专家的讨论中——很明显这种情况经常发生。
ciso可能会因组织遭受破坏性破坏而离职,但也可能在未能发现或报告漏洞、糟糕的采购决策或与高级管理层意见不合的情况下离职。
以前在美国媒体部门工作的信息治理主管告诉我,有两次她看到她的CISO要求离开。她说,“大多数是[AN]无法应对令人满意的国家的风险,并以经济的方式地归咎于。”
其他匿名的消息来源回忆说,他们公司的首席信息官因为报告不准确、超出预算、不遵循商业战略甚至散播FUD(恐惧、不确定和怀疑)而被解雇,而不是为同样的问题提供实际的解决方案。正如一位CIO所说,这是CISO“说到做到”的一个例子。
一位英国的渗透测试员回忆起另一个例子,一位笔测试员同事在客户的IT基础设施中发现了各种漏洞(允许他远程控制网络服务器),并向CISO报告了这些漏洞,后者承诺给他4000英镑,作为披露漏洞的回报。
然而,两个月内,没有收到付款,笔测试服联系了该公司的首席执行官。这一行动对CISO来说有可怕的后果。
“大约两个月来我一直在打电话,什么都没有。测试公司对被忽视感到非常恼火。他们找到了首席执行官,给了他们一顿丰盛的饭,而他真的是一个健全的人。
“他道歉了,告诉他们,由于之前的合同,他们不能雇用他们,支付了他们的工资,并当场解雇了那个家伙(CISO),因为他没有向上级报告调查结果。”
然而,虽然CISO与高管之间的冲突经常被认为是导致CISO离职的原因,这或许并不令人意外,但长期以来认为他们应该因违规而被解雇的观点仍然存在争议。
SANS Institute的Eric Cole最近谈到了这一点推特“让我们消除误会,妥协并不是一件坏事;如果CISO有过失,就应该解雇他们,而不是因为出现了妥协。”
清楚地,这是辩论。A December 2014 study from NTT Com Security revealed that senior execs thought information security was, in layman’s term, ‘someone’s else’s problem’, while a Raytheon study revealed that 70 percent of security pros at the eCrime Congress in London thought that CEOs should take the blame. Only 13 percent of those polled thought it should be the CISO.
被解雇的cisos告诉全部
两名被解雇的首席信息官描述了被解雇的经历和他们学到的教训。
一位曾在英国金融服务业工作的首席信息官表示,他被解雇的最终原因是他与首席信息官之间存在“意见分歧”。
“信息安全预算是整个IT预算的一部分,CIO必须降低成本。虽然信息安全仍然需要节省预算,但这在某些领域增加了风险。”
他继续说,在向高级管理人员解释了潜在的损害后,首席信息官的态度发生了令人不快的转变。“首席信息官不喜欢这样,尽管他同意企业应该负责任,这是一个按我说的做而不是按我做的情况。”
他说,他觉得自己处理得很好,但相信自己从这次经历中学到了很多。“最好不要直接向技术部门报告,而是让首席信息官控制你的预算,因为他承受着大幅节省成本的压力。此外,企业领导人不喜欢听到真相或保持透明度,即使他们公开声明这一点。”
不幸的是,这个故事在其他地方相似。托管服务提供商处的Infosec负责人也引用了IT团队的困难,这最终为自己的出口铺平了道路。
“那位IT主管总是无视信息安全方面的建议,认为自己更懂行,在告诉董事会我们应该改进的同时,还让我的同事让我失败,以此削弱我的地位,因为他就是不喜欢我做的事。”
“这导致人力资源投诉对董事,以便不介绍董事,也违反了我们的企业道德政策。人力资源刷在地毯下。在我的两年就业期前一个月,就业法将用不公平的解雇保护我,我被驳回了。“
另一位在美国制药行业工作的CISO解释了他辞职的原因吹哨子在并购后的内幕欺诈。
“我们与另一家规模更大、业务范围更广的美国公司进行了合并和收购,因为这是一家上市公司,我们遵守了《萨班斯-奥克斯利法》(Sarbanes - Oxley)和美国证券交易委员会(SEC)的规定,这在我的职权范围内,因为母公司的信息安全功能不如我们成熟。
“今年发生了多起金融违规行为,在对数据丢失预防进行一些分析时,遇到了欺诈和内幕交易。其中一位是地区首席财务官,我和他相处得很好。
这个信息并不是决定性的,在我自己思考了一周之后,我按照我们自己的政策(道德和检举),秘密地将这个信息传递给了新首席执行官。然后,CEO把我的机密邮件转发给了我报告的那个人,问我发生了什么事,我立刻收到了针对我的报复。
他在后一天辞职,但四个月后,公司提起破产,去年晚些时候,旧首席执行官和首席财务官被证券调查。
那么,ciso如何避免被解雇呢?这里有三条建议:
- “明确了解你的范围和界限,以及你可以在哪里打破(业务)、在哪里增加价值。”
- “了解业务,清楚业务的优先级是什么”
- “试着让高管们真正明白这一点。如果他们理解了,这对他们来说是一种挑战,那么你被解雇的可能性就更小了!”
这篇文章"这些首席信息官解释他们为什么被解雇"最初是由CSO .