因此,CISO的工作满意度下降,许多人呼吁分拆这一角色,这也就不足为奇了。
然而,可能有一项任务比担任企业CISO更困难:招聘一位企业CISO。
Atefeh “Atti” Riazi是媒体企业Hearst的CIO,该公司去年报告收入为120亿美元。在她的企业中,CISO向CIO报告并由CIO招聘。Riazi对现代企业CISO招聘困难的描述生动且准确:“CISO职位需要一个介于圣母特蕾莎和神风特攻队员之间的人。”
演变中的CISO角色解析
挑战的一大部分在于,今天的企业CISO需要担任多个角色,其中许多角色需要截然不同的技能、才能和经验。可以这样看,CISO有一个内部角色和一个外部角色。
CISO的内部角色较容易解释,它涉及管理IT安全部门并为企业做出广泛的网络安全决策,它是一个业务线(LOB)高管,而外部角色则是许多CISO遇到麻烦的地方,这个角色包括与每个其他LOB高管互动并说服他们接受CISO的安全政策,这还包括向客户和客户解释政策并为失误道歉。同时,它还需要与其他高级管理人员互动,包括CIO、CFO、COO、首席法律顾问、投资者关系、合规官、CEO和董事会,这也需要与网络保险公司官员、SEC以及任何对公司网络安全政策感兴趣的人进行对接。
但是对于招聘主管来说,这个挑战会变得更糟。招聘主管首先需要确定CISO在处理内部与外部任务方面的时间分配比例,大多数招聘主管希望CISO将大部分时间(通常高达80%)花在外部角色上,这意味着CISO必须雇用许多高级副手来管理IT安全部门的日常运营。
技能问题:几乎不可能的组合
鉴于此,今天成为理想的企业CISO需要什么技能?CISO候选人必须对所有网络安全事务有足够的掌握,以做出正确的决策并雇用合适的人才,毕竟,他们要设定网络安全议程。
但对于CISO角色的外部部分,候选人必须具备出色的说服和沟通能力,并对业务及每个LOB的运作有深刻理解。CISO还必须对网络安全细节有足够的掌握,能够将一个概念简化后向董事会解释,但要做到精准和准确,以简洁、可理解的方式传达所有必要的信息。
Riazi招聘CISO的优先事项是领导能力、说服董事会的能力以及在网络安全政策上的强大执行力。“我不会寻找拥有所有证书的人。为此,他们可以雇用合适的人,”她说,“简历只是过程中的一小部分。我需要知道他们如何理解风险。”
不幸的是,许多企业仅将CISO视为网络安全技术专家,忽略了更重要的外交说服角色。
5月30日,在Change Healthcare灾难之后,美国参议员Ron Wyden向美国联邦贸易委员会和证券交易委员会的负责人发出了一封正式信函,他在信中点名批评United Health Group的CISO,质疑该高管胜任这一职位的资格。
“UHG疏忽的一个可能原因,以及公司未能采用行业标准的网络防御措施,是公司的首席网络安全官似乎不具备胜任这一工作的资格。[姓名省略]在2023年6月被提升为UHG的首席网络安全官之前,从未全职担任过网络安全职位,而是在UHG和Change Healthcare担任其他职务。虽然[该CISO]在技术岗位上有数十年的经验,但网络安全是一个需要特定专业知识的专业领域,”参议员写道,“就像不能让心脏外科医生做脑外科手术一样,世界上最大的医疗公司网络安全负责人不应该是某人的第一个网络安全工作。”
无论对错,这封信表明许多官员错误地将CISO角色视为安全运营中心的负责人或负责监督加密策略的人。事实上,这一角色已经演变得更加广泛,其大部分价值来自于说服技巧。技术技能是必要的,但如果招聘高管在招聘CISO时必须做出权衡,应该如何取舍?
“我们已经到了没有人能充分胜任CISO的地步。我们要求这些人是网络安全、信息技术、数据隐私、人工智能、治理、风险、合规和业务的专家。虽然他们很少是律师,但我们希望他们能够解释并遵守无数框架、行业标准、州、联邦和国际法规,”Ernst & Young负责网络安全的总监Brian Levine说,“虽然我们没有给他们足够的时间去阅读,但我们希望他们跟上每天都在变化的技术。虽然他们是技术专家,我们也需要他们是出色的管理者——能够管理全球供应商、员工、承包商、顾问、高管和董事会成员。CISO们已经尽力了,但没有人能真正达到这些标准。”
网络安全顾问Michael Hasse也认为这个问题几乎是无法解决的,他见过一些公司过于依赖证书而忽视了深厚的实地经验。
“这导致了网络安全‘专家’能够复述答案以通过测试,但实际上并不真正理解他们在做什么,”Hasse说,“这就像一个每天开着本田思域上班而没有发生事故的人认为自己是一个很棒的司机,但完全不知道驾驶大卡车、一级方程式赛车或火车需要什么。”
Immuta的CISO Mike Scott此前在Wendy’s担任CISO七年,他说,今天CISO的双重内部/外部角色意味着招聘高管必须在简历上寻找尽可能多的多样化经验,这可能意味着在很多不同的部门工作,或者在不同的行业、不同的地理位置等。
“了解每个业务部门[LOB]的运作及其面临的挑战是至关重要的,”Scott说,并补充说,嵌入业务单元的DevSecOps经验是一个绝对的优势。“CISO们不愿意了解整个业务是非常愚蠢的。”
平衡与适应
今天寻求CISO职位的候选人应该准备好解释他们如何说服业务部门同事接受他们的企业安全议程。
几位专家表示,一个强有力的技巧是不专注于网络安全,而是在与他们会面之前了解业务部门高管的奖金补偿计划。不是具体数字,而是目标和目的,或许还有百分比,然后CISO可以在会议中讨论业务部门负责人的目标,并说明CISO的安全提案如何帮助他们实现奖金,这是了解该高管优先事项的关键。
招聘时最难评估的技能之一是候选人向董事会、其他高级管理人员、监管机构和客户解释复杂概念的能力,并且要确保准确性不丢失。
Immuta的Scott建议招聘主管让CISO候选人解释一个特定的概念,然后再要求他们向几乎没有网络安全背景的董事会成员和监管机构解释,这是一项重要的技能,而且几乎不可能在面试中假装出来。
Scott谈到他曾经招聘了一位才华横溢且经验丰富的安全工程师,但后来发现这位工程师“无法推销解决方案,甚至无法从客户那里承受批评。”
为什么?因为这位工程师的专业知识使他习惯于成为房间里最懂技术的人。“他们一直是专家,他们无法理解为什么人们——董事会成员、CFO、监管机构等——不直接相信他们,”Scott说,“我告诉工程师,‘你必须让他们明白为什么你有最好的答案。你如何把一个概念解释得让每个人都理解?’”
BeyondTrust的首席安全顾问Morey Haber同意CISO必须在客户面对面的沟通技能上接受测试。“我的一些同事在面对其他人时表现很好,但当他们面对客户时,他们就崩溃了。”Haber说。
Haber还建议招聘主管让CISO候选人不仅列出他们通过网络安全改善业务的方法,还要看看他们是否使用业务术语或安全术语来解释。
接受采访的各位专家质疑认证项目的价值,特别是对于企业CISO而言。“我不相信证书,”Haber说,“有20到25年的经验比任何纸上谈兵都更重要。”
尽管如此,对许多招聘主管来说,技术能力仍然是CISO角色的重要组成部分,然而,招聘主管面临的关键挑战之一是为企业在网络安全知识和成为优秀的安全大使之间找到适当的平衡。
“近年来,我们看到向以业务为中心的CISO角色的显著转变,我观察到一些大公司任命了几乎没有安全或技术背景的CISO,结果是一个‘MBA式的CISO角色’,技术要求较少。”资深网络安全顾问Dave Venable说。
尽管“作为大使的技能在领导和建立一个有效的安全计划中极其重要——在CISO职位的早期常常缺乏——但忽视今天对技术安全的基本理解是失误的。”他补充道。
企业网D1net(www.d1net.com):
国内主流的to B IT门户,旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号