CISO跳槽頻繁為哪般

當好首席信息安全官（CISO）并不容易，時常要周旋于業務、技術和監管合規要求之間，規范員工行為，處理惡意攻擊等。或許你能一時風頭無兩，制定世界一流的網絡安全計劃，遵循業界最佳實踐，為企業提供卓越的防御。但武功再高，也怕菜刀，某個員工要是點了惡意網頁鏈接、共享了密碼，或者錯誤配置了某項資產，攻擊者就能踩著你的名譽大擺慶功宴了。

沒錯，CISO職責重大。那他們挑此重擔的表現如何呢？根據企業戰略集團（ESG）和美國信息系統安全協會（ISSA）的調查研究結果，CISO的表現不是太好。數據顯示，57%的受訪網絡安全專業人員認為其公司的CISO只是有點用、不是很有用，或者根本沒用。

CISO的表現取決于所處環境

調研報告的字里行間透露出，CISO表現平平通常與所處情境有關，于是我們就看到了如此之高的CISO離職率。解讀ESG/ISSA的調研報告，我們可以進一步挖掘CISO表現不佳和人才出走的深層次原因。被問及為什么CISO傾向于每兩到四年就換工作時，安全專業人員的回答如下：

· 33%的受訪者認為，CISO會在別家企業提供更高薪酬時考慮換個工作。很多情況下就是錢給得到不到位的事兒，與工作表現和工作滿意度無關。CISO換個老板就能漲薪40%以上，何樂而不為呢？所以，首席執行官（CEO）、董事會和人力資源（HR）主管務必謹記，強力CISO是最誘人的獵物。而誘人的獵物總不乏追求者，高管們必須緊盯招聘市場，不斷評估該如何讓成功的CISO滿意，進而留住他。

· 31%的受訪者認為，如果目前所屬企業的文化不重視網絡安全，CISO會考慮跳槽。很明顯，CISO的工作表現與網絡安全文化高度相關。如果企業缺乏網絡安全文化，員工就會肆意操作，安全在生產部署時才貼到應用程序上，而安全團隊將化身救火隊總在四處撲火，這可不是什么健康的工作環境。CISO或許可以影響企業文化，但CEO（和HR）必須推動文化轉變。如果CEO和HR對此毫無動作，CISO就做不好自己的工作，轉而另尋出路。

· 29%的受訪者認為，拿不到與企業規模相稱的網絡安全預算時，CISO會想跳槽。錢財買不來真愛，但只要花得明智，還是能助推網絡安全防護的。別誤會，CISO當然可以，也應該管理和充分利用這項開銷，但他們能做的有限。如果安全計劃長期資金短缺，那就表明溝通存在不足（即CISO沒能充分解釋自己需要什么，也沒講清楚為什么需要），或者更大的可能是觀念上存在差距（即CEO和董事會不認為自家企業是攻擊目標）。無論如何，CISO巧婦難為無米之炊，自然傾向于尋找在預算和環境方面更加“水草豐茂”的牧場。

· 27%的受訪者認為，如果不能積極參與高級管理層和董事會，CISO就會換工作。其中蘊含著一種典型的情況。高管層和董事會如果沒納入CISO，業務決策就會避開網絡風險管理或威脅建模之類的事情。CISO被視為大反派，無法充分保護業務，而網絡安全團隊也處在總是在四處救火的狀態。拿著這種“反派必須輸”的劇本，CISO想換下家無可厚非。

· 25%的受訪者認為，看到所屬企業將網絡安全視為監管合規，CISO也會想跳槽。醒醒，現在已經不是2006年了。大多數企業已經了解良好網絡安全與照單打鉤式合規之間的差別。可惜，有些反應慢的還沒醒悟過來。觀念沒跟上形勢是潛在的職業殺手，所以聰明的CISO會迅速逃離以合規為中心的公司。

CISO求職警兆

顯而易見，CISO的業績和任期與所屬企業的高管層決策高度相關。獵頭、HR經理和高管當然會在面試過程中給CISO許下美好前景，但經驗老道的安全主管入職幾周就能看出自己有沒有成功的機會。屆時，疑慮過后往往就伴隨著更新簡歷和規劃職業發展了。

求職過程中，CISO還應該注意幾個示警信號。如果公司在過去五年里換了幾個CISO，那可能是因為這幾位前任在別的地方尋到了更高的薪酬。又或者，文化、預算和管理方面的阻礙導致公司成了CISO“無人區”。貨物出門概不退換，買者自行小心。