为什么CISO是最难填补的技术职位

公司不断受到网络攻击的威胁，情况只会越来越糟上升的ransomware捕鲸诈骗是网络钓鱼的变种最近网络安全报告．然而，缺乏经验丰富的首席信息官、薪酬政策前后不一以及缺乏适当的衡量标准，都意味着一些公司在网络安全方面投资不足。

最近，CIO.com采访了几位高管招聘人员，了解公司在寻找首席信息官方面的需求，以及他们在招聘和留住员工方面面临的障碍．

如果你注意到最近CISO的“抢椅子”游戏，那是因为市场正在迅速发展——也许发展得太快了。CIO通常根据kpi、成本节约和其他基准来判断，与CIO不同的是，几乎没有衡量CISO性能的指标。公司不会以他们的公司是否被入侵为基准来衡量ciso(很有可能，他们有，但不知道)。因此，大多数公司还没有弄清楚如何公平地支付首席信息官的工资，这些首席信息官的工资在50万美元到200万美元之间。

[相关:为什么需要CSO/CISO］

Heidrick & Struggles合伙人Matt Aiello他说，一些在大企业工作、承担大量责任的首席信息官比在小公司工作、承担较少责任的首席信息官收入更少。一些首席信息官离开是因为他们在其他地方得到了更好的待遇。

Aiello说，最好的ciso正在设计战略，将网络安全防御嵌入数字转型等新举措的基础。这意味着他们必须与首席信息官(cio)合作，以确保创新的进展，但要有适当的安全程序。艾洛表示:“我们所见过的最先进的安全官员搜索不仅对企业有利，它们还促进了企业的需求，帮助企业赢得了市场。”

然而，他说这还没有发生。“我们仍在锁定形势，我们仍处于主要的防御姿态。”

大多数公司在网络安全方面的投资仍然不足

罗盛咨询公司(Russell Reynolds Associates)全球网络安全业务主管马特•科米恩斯(Matt Comyns)说，企业可能会谈论如何应对网络安全威胁，但许多企业仍在这方面投资不足，原因是全球经济受到政治动荡和油价波动的打击，面临挑战。

Comyns说:“公司紧缩预算，寻找省钱的方法。”“他们想要创新，做所有这些美妙的事情，但他们试图用更少的钱做更多的事，这不利于投资网络安全。我看到公司继续耸耸肩，说‘我更关心它，我们比过去更关注它。我们的董事会正在讨论这一问题，我们的高管也在讨论这一问题，但我们将采取一小步一小步的行动，逐步实现这一目标。我的反馈是，‘我不确定这是不是一个好主意，因为威胁环境已经变得更糟了。’”

[相关:如何成为一名CISO］

这是毫无疑问的。被打开的钓鱼邮件数量达到30%在根据威瑞森2016年的泄密报告，今年的比例从去年的23%上升。此外，妥协时间和发现时间之间的差距从去年的62%上升到今年的84%。

但大多数公司都勒紧了裤腰带，并两面下注，确保自己不会被攻破。Comyns说典型的招聘是这样的:一些高管会说他们需要符合要求的CISO。他们会问公司的市场价值是多少，当他们听到超过100万美元的薪酬范围时，他们会说，“不要招那些权力太大的人，我们只是在玩弓和箭，而不是火箭筒。”我不想让那些对我们的变化速度不满意的人感到失望。”当Comyns听到这句话时，他停顿了一下，“我担心的是，在更困难的经济时期，进步会受到阻碍。”

你想让CISO做什么

亿康先达(Egon Zehnder)全球首席信息官业务主管克里斯•帕特里克(Chris Patrick)表示，公司应该聘用在业务领袖和风险评估者之间取得正确平衡的首席信息官。您希望有人能够构建一个全面的安全架构，并在被要求时向董事会清楚地解释它。帕特里克说，在应对网络事件时，你需要一个能够协调最高管理层、法律总顾问、媒体关系和其他必要方之间的沟通的人。

Egon Zhender顾问Kal Bittianda表示，CISO必须了解问题，知道哪些数据是需要保护的，但他们不必是最精通技术的员工领导者——他们熟悉所有最新的检测分析和其他新兴技术。Bittianda说，最好聘用一位有能力影响公司关键战略领导人的强有力的高管，并在他或她周围配备知道该应用什么工具以及如何使用的技术奇才。

选择合适的首席信息官是一个文化契合的问题。Bittianda说有两种CISO原型:一种是跑向火场的，另一种是跑出火场的。一些首席信息官更喜欢从头开始构建一个网络安全程序，然后继续前进。其他人则更愿意在网络安全遭到破坏后进入，因为他们更有可能对网络安全投资和影响力有更大的胃口。

帕特里克说，由于对安全领导职位的需求如此之高，价格也在上涨，人们的活动也相当频繁。因此，企业也必须在内部培养网络安全领导者，以帮助自己。“这是一场军备竞赛，你也必须在内部建立能力，”帕特里克说。“你不能用雇佣来解决这个问题。”

这篇题为“为什么CISO是最难填补的技术职位”的文章最初发表于首席信息官 ．