网络攻击的威胁愈发严峻,在损失和合规的双重压力下,部分企业重视网络安全方面的建设。然而,在大洋彼岸,只有一半的美国CEO拥有1名CISO来保障企业的网络安全。在Conference Board的2024年CEO调查中,网络攻击被列为第二大地缘政治问题。然而,根据Navisite在2021年进行的一项民意调查,只有45%的美国公司设有CISO。
在国内,持有CISP证书(注册信息安全专业人员)的总人数已达10万余人,但随着中国网络安全产业的迅速增长,预计到2027年,中国网络安全人员的缺口将达到327万。
这些数字表明,很多企业都没有CISO,这一方面与企业自身相关,另一方面也与CISO的人才匮乏相关。在这篇文章中,我们将讨论为什么这么多公司没有CISO、没有CISO的企业是如何管理网络安全以及公司需要CISO的九个关键迹象。
在聘用CISO时,规模很重要。规模较小的公司可能根本不需要或无法吸引CISO。
“想象一下,你是一家 200 人的公司,只有一条并不复杂的业务线。你真的需要一个全职的 CISO 吗?他们整天要做什么?”Fractional CISO(波士顿一家为企业提供虚拟和兼职 CISO 服务的公司)的首席执行官Rob Black表示:“如果这是一家 200 人的小部件制造商,会有 CISO 愿意为这家公司工作吗?”
Black表示,除了公司规模小无法获得CISO以外,那些拥有大量员工的企业也会选择放弃CISO这一职位。“我们经常遇到规模在1000人以上的公司没有CISO,甚至规模更大的公司也没有CISO。”
聘请和留住CISO的成本是一些企业的主要阻碍。即使从内部提拔一个人担任新设立的CISO职位,费用也会很高:目前,美国全职CISO的总薪酬平均为每年565,000美元,这还不包括填补该职位所需的其他费用。
Riviera Partners(旧金山的猎头公司)的英国负责人Sistla Vaishnavi表示:“如果是一家规模较大的企业,那么他们就需要在(CISO)背后雇佣一个团队。他们需要架构师、SOC、工程师等等。这样一来,资源成本就会增加。”
Navisite的调查表明,企业在招聘CISO时还面临另一个障碍:永无止境的人才缺口。公司往往会重视并需要网络安全方面的领导人才,但要找到并留住这些人才却越来越难。换言之,全球网络人才的匮乏让许多公司望而却步,即便付出了资源和心力去寻找优秀的CISO,也可能无功而返。
没有CISO的企业由谁来管理网络安全?Navisite的调查显示,60%的公司依靠组织的其他部门来管理网络安全,如IT、行政领导或合规人员。
在大多数情况下,可能是CSO。网络安全风险投资公司(Cyber security Ventures)2023年的一份报告显示,在没有CISO的公司中,CSO最有可能负责管理网络。该研究估计,约90%有全职CSO的企业没有聘用全职CISO。
Info-Tech Research Group网络安全和数据隐私咨询负责人Cameron Smith表示,对于一些CSO来说,在自己的职责之外管理网络安全可能是一种棘手的平衡行为。“CSO有很多与安全无关目标,但在实现安全目标时,很有可能会发生冲突。因此,CSO需要CISO来促进安全目标的推进。”
虽然将网络安全工作委托给组织中的其他人员——首席信息官、首席技术官、IT总监或合规经理——比聘请CISO更快、更省钱。但Vaishnavi警告,这种权宜之计有潜在的弊端:
CSO或CIO可能不具备CISO所具备的网络安全认证和专业知识。
CSOHE1CIO如果将网络安全添加到他们超负荷的工作中,就会面临“过于分散”的风险。
网络安全可能无法在董事会中获得自己的独立席位。
董事会席位上没有CISO可能会带来危险。
一旦发生漏洞或黑客事件,缺乏直接进入董事会的机会可能会带来灾难性后果。
虚拟CISO(也称兼职CISO)是企业在没有全职CISO的情况下加强网络安全的一种选择。Black表示,对于那些试图减轻首席信息官或首席技术官过重负担的公司,以及那些规模、预算或复杂性不足以配备长期首席信息官的公司来说,可以采用这种方式。大多数虚拟或兼职CISO往往具备以下特点:
经验丰富的前CISO。
远程工作或混合工作。
同时为不同客户兼职。
以临时或可续约合同的形式工作。
虽然有些人将“虚拟CISO”定义为远程工作,将“兼职CISO”定义为现场工作,但Black的公司Fractional CISO可以互换使用这两个术语。以下是他的公司如何帮助那些没有全职CISO的公司:
每个客户都有一名虚拟CISO和一名网络安全分析师。
虚拟CISO履行面向董事会的职责(制定网络安全路线图、与高层领导沟通)。
分析师进行风险评估和差距评估,对供应商进行审查,并编辑安全政策。
成本可能比全职CISO低得多,特别是因为每个客户都可以使用兼职CISO和分析师。
Black表示,其拥有大量客户,但这些客户的平均年支出只增加了10万美元,换句话说,采用虚拟CISO或许是小规模企业的首选。
但如果所有这些选择都还不够呢?有哪些迹象证明企业确实需要一名全职CISO呢?
Vaishnavi表示,金融服务、医疗、保健、法律等,这些行业总是需要CISO。Black进一步拓展了范围,他认为,如果企业为联邦政府做任何事情,或者是一家上市公司,这些(情况)都是合理的。
围绕网络事件的高管和企业责任的立法环境不断收紧,也促使非监管部门的公司考虑聘用CISO。“当欧盟和英国引入GDPR时,你可以看到人们在谈论整体安全方面的转变或增加。”Vaishnavi表示:“这种情况会对招聘趋势产生非常直接的连锁反应。”
风险投资公司Andreessen Horowitz在其网站上建议:“所有准备首次公开募股的公司……指定一名CISO,负责实施正确的IT控制、风险评估、合规性测试、审计跟踪和报告功能,以符合《萨班斯-奥克斯利法案》的规定。”
发生网络安全事件是绝大部分企业决定建立CISO一职的主要原因。这些企业会试图寻找发生事件的原因,而CISO能够帮助他们找到并解决问题。Black表示:“当企业遇到可怕的漏洞或事件时,就会说,‘嘿,这让我们损失了1千万美元。如果我们每年只花其中的一小部分(在CISO上),情况会好得多’”
有些公司更具前瞻性。当他们看到同行业的企业出了问题,会尝试去弥补自身的不足。
为什么现在设立CISO对一些组织来说很重要?这是因为当前的环境严重威胁着企业的安全。当越来越多的威胁行为者从欺诈、攻击中获利,就会吸引更多人加入其中。不降低这种风险是非常不明智的。
网络安全高管辅导公司The Blueprint创始人Joe Head表示:“随着规模的扩大——为你工作的员工人数、用户数量、数据量、营业收入——所有这些都会对你是否需要聘请CISO起到很大的决定作用。”
Black表示:“我们见过一些规模较小的(公司),董事会中有人直接表示,现在就必须(聘请一名)CISO。”
没有CISO可能会让公司失去与现有客户或潜在客户的业务往来,因为这些客户在受监管的行业开展业务,希望其合作伙伴或供应商拥有严格的安全框架,或对某些高级项目有此要求。
Black表示:“如果你正在销售IT,而大型企业(客户)却说‘你的安全计划还不够好,无法符合这件事或做这件事’,你就知道他们显然非常关注安全问题,而你只是没有一个非常强大的(网络安全)计划。”
“如果你正在经历一轮融资,而且你所处的环境需要处理大量数据或大量个人信息,通常你会在这个时候请一位CISO加入。”Vaishnavi表示:“我认为,A轮或更高轮融资通常是时候了。”
Head见过一些公司根据风险投资或私募股权基金的建议聘用CISO。但他认为,必须把这一角色视为一个技术经理,而不是为了在融资交易中打钩而聘用的。“如果一家公司愿意在安全方面投资并认真对待网络安全问题,就应该聘用CISO。他们应该明白,他们雇用的是另一位业务领导者。但是,如果你聘用了CISO,却没有赋予他们这一职位的责任和复杂性,那么我认为,也许你还没有准备好聘用CISO。”
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...