CISO须知：找工作之前要问清楚4个问题！

IANS Research和Artico Search的最新研究表明，每四位CISO中就有三位准备跳槽。《2023-2024 年首席信息安全官状况报告》显示，75% 的首席信息安全官愿意更换工作，比上一报告期增加了8个百分点。该报告基于对美国和加拿大不同行业和公司类型的663 名CISO的调查和对另外 100 名CISO的非结构化访谈。报告还发现，在过去 12个月中，对自己的工作和公司表示满意的CISO下降了10个百分点，降至 64%。报告称，对新的和不断扩大的工作要求以及日益增长的焦虑使许多 CISO 正在考虑跳槽。

那么，那些跳槽的CISO应该怎么选择新的工作机会呢？对此，本文作者给出了建议，CISO 在招聘过程中必须提出的四个首要问题：

Michael Page 澳大利亚地区总监 George Kauye 认为，CISO 应该问的一个重要问题是：公司为什么要招聘新的 CISO？对于这个问题的回答多种多样，有些是因为前任 CISO 离开了公司，有些则是因为公司发生了违规事件，不得不被动地聘用新的 CISO，甚至有些公司以前从未设立过 CISO。Kauye表示，公司对这一问题的回答可以说明公司的安全能力成熟度以及如何处理网络安全问题。

基于不同的回答得出企业对于网络安全的不同看法，而围绕这些看法我们就可以对其进行更多的探究。理想中的企业应该对这一问题如此回答：“我们很高兴你能来担任我们的 CISO 并推动我们的网络安全议程。”对于这样的公司，相信绝大多数CISO都会选择加入。而如果是这样：“我们不太清楚你为什么会在这里。我们被告知需要招聘，但不确定你的职责是什么。”那么CISO就需要做出谨慎的选择。

网络安全专家Julie Chatman的履历包括麦肯锡公司、德勤公司和葛兰素史克公司，她告诫CISO们要警惕那些在招聘时对网络安全口惠而实不至的公司。根据 ESG 和信息系统安全协会（ISSA）的研究，25% 的 CISO 认为，当他们的组织将网络安全视为监管合规时，CISO就会跳槽。

Chatman认为，CISO在选择之前，应该对企业的网络安全和信息安全事故历史进行一些调查，并研究他们是如何处理这种情况的。她建议CISO们要看看他们在新闻中说了些什么，要读懂字里行间的意思。

CISO 的网络安全战略和态度可能与公司的完全不同，Kuaye 认为，面试过程是CISO发现网络安全意识形态和观点之间是否存在脱节的机会。他表示，了解这些差异可以看到未来工作中可能面临的潜在挑战。

鉴于新的法规使 CISO 的工作变得更加艰难，现在能够识别CISO和公司之间的这些意识形态差异变得更加重要。

例如，华尔街的最高监管机构——美国证券交易委员会（SEC）去年表决通过了一套新规则，要求公司在发生网络事件时披露管理层在评估和管理来自网络安全威胁重大风险方面的作用和专业知识。欧盟即将出台的 NIS2 指令将对企业提出额外的网络安全要求，其中包括董事会和高管的责任。

澳大利亚的情况与此类似，该国企业监管机构澳大利亚证券和投资委员会主席Joe Longo此前曾表示，如果公司受到威胁，而网络高管和董事会没有采取足够措施保护客户和基础设施免受黑客攻击，他将追究其责任。

数字董事网络（Digital Directors Network）的创始人兼首席执行官Bob Zukis认为，要了解一家公司在网络安全方面的立场和方法，一个好办法就是考察董事会，看看他们的网络专业知识水平如何，包括董事会中是否有网络专家。他表示：“董事会有网络专家吗？谁来管理董事会层面的网络安全，并确保CISO不会在无意中或公然成为替罪羊。”如果CISO没有一个在这些问题上提供支持的董事会或领导团队，那么CISO就只能孤军奋战。对此，Zukis的建议是远离没有网络专业知识的董事会。

Zukis认为，从某种程度上讲，如今的公司必须更加努力地推销自己，才能让 CISO 进门。优秀的 CISO 有更多的机会，随着合规监管力度的增大，企业想要设法提高安全水平并试图将其作为企业的竞争力之一，就应该寻求更为优秀的CISO。考虑到利害关系，谈判的力量是在CISO一边的。

在Chatman看来，确定一家公司的网络安全方法是否与 CISO 匹配，对于长期工作满意度至关重要。“公司的目标是否让你感到兴奋？你与它有共鸣吗？CISO需要对这些问题有一个准确的回答，因为这个角色可能极具挑战性，你必须感觉自己在为某些事情做贡献，才能坚持下去。”

除了寻求有关公司如何处理网络安全的答案外，CISO 还应该深入了解有关团队的问题。Zukis 表示，CISO应该意识到，他们不可能是一座孤岛，也不可能单打独斗，他们必须审视公司的团队和系统，并变得更加谨慎且彻底。

Chatman对此表示赞同，他认为，了解网络安全团队的组成人员可以帮助 CISO 评估兼容性、协作和沟通效率以及可以获得哪些支持和资源，并了解相对于组织的规模和使命而言是否有发展空间。

你想知道团队的成熟度如何？团队的能力如何？团队中是否既有可以培养和训练的新手，也有经验丰富的中层人员？通常情况下，CISO的安全团队中不应该全时候经验丰富的人，因为他们工作时间太久可能会倦怠。也不应该全是新人，因为他们没有处理问题的经验。想要合适的团队成员就需要CISO自己来争取。

尽管全球对网络安全的关注度不断提高，但 CISO 仍难以在高管会议上占有一席之地。ESG 和 ISSA 的数据显示，27% 的人认为，如果 CISO 不能积极参与高管层和董事会的工作，他们就会跳槽。

同样，IANS Research 和 Artico Search 的《CISO 现状》报告发现，虽然 CISO 肩负着 C 级职责，但他们很难在组织内获得这种认可。研究表明，只有 20% 的 CISO 和 15% 的上市公司 CISO 被视为 C 级高管，只有 50% 的 CISO 每季度与董事会进行一次接触。

实际上，很多CISO也不认为自己应该加入董事会。有人表示：“CISO是负责公司安全体系建设和管理的，对于保障公司业务的正常运行起到关键性的作用，但也没有必要进董事会吧。”然而，CISO不应该是所有安全从业者的职业重点，随着业务与安全的联系日益紧密，CISO需要站出来以安全的视角来左右业务的发展。

Chatman表示，CISO 角色的独特之处在于，它的头衔中虽有“首席”二字，但在大多数组织中，它并不是一个真正的C级角色，因此要向另一位C级高管汇报工作。“这就像家庭聚餐时，CISO坐小孩那座。”

知乎用户Da Pang表示，CISO是个有前途的行业，也是个压力远大于平常的行业。话说CISO和安全人员还是不一样的，目前来说，国内能叫CISO的群体，人数并不多。但却可以视为除了体制内之外，信息安全行业生态链的顶端。当之无愧，原因很简单：他们是甲方，决定安全预算和市场方向的一群人。

CISO换工作的原因不外乎下面几个：

某安全从业者表示，显而易见的是，CISO的成功和任期与所在企业的执行管理决策高度相关。虽然我确信CISO在面试过程中从猎头、人力资源经理和高管那里得到了一个美好的承诺，但精明的安全高管可能知道他们在前几周是否有成功的机会。在这个时候，质疑过后，往往是更新简历和职业发展计划。

在找工作的过程中，CISO也应该注意危险信号。如果一个企业在过去五年中更换了多位CISO，那么前任CISO可能在其他地方获得了更多的薪资，或者，可能是文化、预算和管理障碍使企业成为CISO的“无人区”，入职需谨慎。

我们能够看到安全环境正在发生变化，有一部分的CISO在吐槽说当前的工作不好做，纷纷开始求职。对企业来说，这其实是一个非常难得的窗口期，大量的优秀的CISO进入人才市场，企业若想利用安全能力推进发展，就要从现在开始准备。不是只提供岗位，而是需要认识到安全的价值和意义。