那些被解雇后的安全从业者都去哪了?

admin 2024年12月28日22:06:00评论12 views字数 5923阅读19分44秒阅读模式

那些被解雇后的安全从业者都去哪了?

2019 年 7 月,Capital One 宣布有攻击者获取了超过 1 亿客户的个人信息。该银行是在接到安全研究员的提示后才得知这起攻击事件。据悉,攻击者利用了配置错误的防火墙。这起事件发生后,Capital One 在 2019 年 11 月更换了自 2017 年以来的CISO Michael Johnson,由公司的 CIO Mike Eason 暂代这一职位,同时公司从那时起便开始寻找全职的替代者。

而从今年发生的大型数据泄露事件来看,比如思科公司数据泄露事件、Change Healthcare 数据泄露事件、MC2Data 数据泄露事件等,特别是以2016年Joe Sullivan优步事件的处理结果为依据,越来越多的CISO开始担心起自己的职业生涯。一项由安全厂商Portnox发布的调查报告揭示,高达77%的CISO坦言,他们极度忧虑下一次大规模数据泄露可能导致自己失业,这一发现随即引发了关于CISO在高层管理团队(C-suite)中价值认知的深入探讨。

面对无法掌控的潜在风险,CISO们是否会遭受不公正的惩罚?同时,在被离职之后,CISO们又该何去何从?

那些被解雇后的安全从业者都去哪了?

CISO们对于失业感到恐惧

Moor Insights and Strategy的副总裁兼首席分析师Will Townsend评论称,Portnox发布的调查结果深刻反映了CISO们的普遍心声,而相较于他们未来的职业安全,企业更应关注的是如何在数据泄露事件后采取有效的应对措施。CISO们对于失业的恐惧,无疑会对其行为产生深远影响,难道企业期望塑造的是一个畏首畏尾的CISO吗?

Townsend强调,企业遭遇数据泄露只是时间问题,而CISO的存在正是为了应对这一潜在危机,确保在问题出现时有人负责。他指出,历史记录表明,当重大数据泄露发生时,CISO往往成为责任追究的焦点,从而面临可能失业的挑战。

然而,在网络安全责任方面,企业文化和高层管理人员的态度必须公正且务实,以确保CISO能够充分履行职责。无论CISO直接向谁汇报工作,是CIO也好,是CFO也罢,他们都应该承担起相应的责任。Townsend进一步指出:“如果CISO发现了身份访问系统中的漏洞,其请求预算来实施控制措施,但预算请求被拒绝,那么这就不再是CISO个人的问题。这是一个需要整个高层管理团队共同面对的挑战。对此,我们不应该轻易指责CISO,而是应该改变这种心态。”

Townsend还表示:“确保适当的安全控制措施到位,需要人力资源主管、CFO和CISO的共同参与。此外,整个高层管理团队的薪酬都应该与安全控制措施的执行情况挂钩。”

相比之下,Forrester的首席分析师Jess Burn则持更为严厉的观点。她认为:“如果CISO真的担心在下一次重大数据泄露后被解雇,那么他们可能已经不再适合这份工作。”她解释说,一个能够妥善处理重大数据泄露事件的CISO,在招聘市场上是极具竞争力的。解雇这样的高管,无疑是在变相让企业的竞争对手获得更好的人才机会。

Burn指出:“对于那些经历过数据泄露的人来说,市场上充满了机遇。如果CISO在数据泄露后能够妥善处理相关事宜,那么他们将成为市场上的热门人选。其他公司一定会对这种经验趋之若鹜。”

为了加强自己的地位,CISO应该更加关注企业的收入、净利润和市场份额。他们应该将承销过程与安全控制措施相结合,并时刻提醒高层管理团队,客户的第三方风险评估正变得越来越严格。换句话说,只有在这些评估中表现出色,企业才能获得更多的客户收入。而评估失败则意味着潜在客户的流失。

职场压力正逼迫CISO离开岗位

虽然CISO们对失业感到恐惧,但各项研究数据表明,职场压力正迫使CISO离开企业,甚至迫使他们离开安全岗位。Blackfrog机构的一项独立研究显示:接近四分之一(即24%)的网络安全负责人想要离开自己的公司。而对于那些正权衡离职可能性的安全负责人来说,压力或岗位职责几乎成为了他们离职决定中的主要考量因素,其共识率高达93%。

专业招聘公司Trident Search的联合创始人兼首席运营官Charlee Ryman表示,尽管对于CISO们来说,薪酬依然优厚,但鉴于市场上寻求新岗位的高级网络安全负责人数量众多,相较于中高级管理层职位,CISO的薪酬增长受到了明显抑制。

Ryman进一步阐释道,过去两年间,网络安全自动化技术的飞速发展导致了市场上高管资源的过剩,其远远超出了实际需求。他表示:“这一现象的后果是,在通常18至24个月的任期内,一些CISO因为引入了‘可减少人力成本’的技术,竟意外地使自己也失去了原有的职位,这便导致了安全部门的人员精简。”

现实中,企业正在不断优化运营流程,削减那些被视为非核心性的职位,尤其是在可以利用新技术的情况下。此外,当前略显疲软的经济环境也加剧了这一问题的复杂性。

Ryman解释道:“许多组织在增加安全预算方面持谨慎态度,招聘活动也明显放缓。在更为活跃的市场环境中,我们本会因对职位的不满而看到更高的流动率;然而,不少高管选择了咬牙坚持,留在当前岗位,等待年终奖的到来,以及更多就业机会的涌现。”

尽管一些大型组织中的CISO职位依然提供着诱人的薪酬,但这些职位却是凤毛麟角。Ryman建议道:“对于那些尚未接触过最新技术或数字转型项目的人来说,他们将更难获得新职位;因此,提升技能和拓展人脉至关重要,因为许多CISO职位就是通过推荐或猎头公司的帮助来填补的。”

那些被解雇后的安全从业者都去哪了?

关于职业发展机会的观点

关于CISO在目前各行各业里的处境,Varghese Summersett的创始人兼管理合伙人Benson Varghese表达了自己的观点:如今,公司方面对于网络安全领导层的稳定性给予了日益增长的重视。Varghese提到:“为了留住这些核心成员,许多公司纷纷提供了留任奖金以及长期激励措施。尤其是基于股权的薪酬方案,更是因其能将CISO(首席信息安全官)的利益与公司长远发展紧密相连而备受欢迎,这无疑相当于给予了他们一份对他们所守护阵地的‘股权’。”

至于哪些因素会促使CISO去寻找新的职位,除了压力过大之外,这可能源于CISO们希望迎接新挑战、希望获得晋升,或是想要一个能够让他们发挥重要影响力的新环境。

最后,Varghese总结说:“虽然诸如留任奖金和股权方案等财务激励手段在降低人员流动方面确实起到了显著作用,但真正能够维系CISO忠诚度的,却是那些无形因素,比如职业发展机会和文化的契合度。”

全面薪酬福利方案的重要性

作为加拿大Net Speed公司的技术专家及全栈开发工程师,Tharindu Fernando表示,尽管留任奖金确实对降低员工流动率起到了一定作用,但这一现象背后的原因远不止于此。

Fernando分享道:“在我负责开发的医疗平台项目中,我深刻体会到,一个稳定且经验丰富的安全领导团队对于项目的成功至关重要。如今,越来越多的组织开始提供全面的薪酬福利方案,这些方案不仅涵盖了薪资,还包括了股权、更全面的福利待遇,甚至通过董事和高管责任险(D&O)为高管们提供个人责任保护等。”

而随着经济不确定性的因素增加,无论是公司还是CISO都在采取更为谨慎的态度。Fernando指出:“组织在启动新的CISO招聘时显得犹豫不决,而高管们在考虑跳槽时也会更加慎重。这可以说是一种必要的心态,即‘宁可选择已知的困难,也不愿面对未知的挑战’。”

报告显示:CISO跳槽后的薪酬依旧尚可

Fernando的说法并非毫无根据。IANS Research与Artico Search近期联合发布的调研结果,顶尖安全岗位的流动率已从2022年的21%滑落至2023年的12%,并进一步在2024年上半年年化至11%。

IANS Research的高级研究总监Nick Kakolowski对此表示:“宏观经济环境是导致流动率放缓的主要因素。鉴于我们已观察到经济回暖的初步迹象,且75%的CISO对职业变动持开放态度,我们预计2025年的流动率将有所反弹。”

另一方面,IANS Research指出,成功跳槽的CISO们实现了31%的薪酬增长,这一显著增幅主要得益于股权激励方案,其远超常规的功绩加薪幅度。同时,那些在多家公司或不同行业积累经验的安全负责人,其薪酬较仅在同一公司或行业工作的同行高出65%。

也就是说,尽管招聘步伐放缓且预算紧缩,但CISO的薪酬水平依然坚挺,IANS的数据显示,CISO的平均薪酬已突破50万美元。

除了安全岗位,CISO还能如何发展?

当然,CISO若能成功跳槽,这对于个人而言是皆大欢喜的事。可我们不禁要问,若是因大型数据泄漏事件而不得不离职呢?此时的CISO又该何去何从?又或者,当压力过大而使CISO不再愿意继续为网络安全奋斗时,还有什么岗位是能互相兼容的?

Kakolowski对此表示,CISO若能在工作中对企业整体业务流程有着深入理解,具备卓越的跨部门沟通协调能力以及风险管理经验,那这些优势可使他们在转型成为 COO 时具有独特的竞争力。COO 负责统筹企业的日常运营,确保各个部门高效协同工作。CISO 的战略思维和对风险的敏锐洞察力,能够帮助 COO 在运营管理中更好地应对各种挑战,提前规避潜在的运营风险。例如,在制定运营策略时,CISO 出身的 COO 能够充分考虑到信息安全因素对业务的影响,从而制定出更加全面、稳健的运营计划。

那些被解雇后的安全从业者都去哪了?

当然,凭借在网络安全领域的专业知识和对企业内部运作的熟悉,CISO还可以转型为企业顾问。Fernando表示,CISO能够为企业提供综合性的管理咨询服务,并涵盖战略规划、业务流程优化、组织效率提升等多个方面。同时,从网络安全的角度出发,CISO能为企业提供风险评估和应对策略的建议。比如,帮助企业识别在数字化转型过程中可能面临的网络安全风险,并制定相应的防范措施,确保企业在发展的同时保障自身的安全稳定。

而若CISO只是想回避网络安全所给予的压力,但对信息技术依旧有着兴趣,那么向 CIO方向发展也是一个很好的选择。CIO负责企业的信息技术战略规划、信息化项目管理以及信息技术团队的领导等工作。因此CISO的安全背景能让他们在推动企业数字化转型的过程中,更好地保障信息系统的安全和稳定。CISO能够在信息技术规划中充分考虑安全因素,确保企业的信息化建设与网络安全防护同步发展,避免因安全漏洞导致的业务损失。

另一方面,CISO通常擅长识别和评估风险,这与风险投资领域对风险的高度关注相契合。CISO可以为风险投资机构评估投资项目的网络安全风险,提供专业的见解。比如,在评估一个新兴的科技企业投资项目时,CISO 能够从网络安全的角度分析该企业的技术架构、数据管理等方面的风险状况,为投资决策提供重要参考。同时,他们也可以为企业提供投资决策方面的风险分析和建议,帮助企业在投资过程中更好地平衡风险与收益。所以,风险投资顾问对CISO而言也是不错的选择。

而除了为企业提供服务外,CISO也可以将自己的网络安全知识和经验传授给他人,成为网络安全培训师或讲师。他们可以在高校、培训机构或企业内部担任培训师,设计和讲授网络安全课程,开展安全意识培训和技能培训。通过培养更多的网络安全专业人才,为行业的发展贡献力量。

国内安全专家的建议

对于许多安全负责人会害怕因为数据泄漏而被离职,所以做起事来畏手畏脚,以及CISO真被离职了,他们还有啥可靠的出路,国内安全专家如此建议。

某电商公司安全专家杨文斌表示,安全负责人有责任保护企业数据安全,建立符合企业业务特点的数据安全保护机制,全方位合理的构建保护策略。同时,正因为害怕数据泄露影响到自身,更应该放开手脚处理各种安全隐患。无论从哪个角度分析,畏手畏脚的做法存在很大问题。

杨文斌指出,一方面数据泄漏责任重大,一旦发生,可能会对个人职业存在影响,不过过于谨慎只会导致做决策和规划时放不开手脚,也因为过度保守在技术方案和安全资源投入上严重欠缺,数据安全防护能力肯定不足,也为后续数据泄露埋下隐患。

那些被解雇后的安全从业者都去哪了?
“另一方面,安全负责人的这种心态不利于企业安全体系的可持续健康发展,有效的安全防护机制需要主动出击,否则企业安全防护就不能及时跟上外部威胁变化,一旦真正遇到安全威胁,企业更容易发生数据泄漏风险。”

至于CISO还能有何出路,杨文斌指出,能够做到CISO这个职位,能力和经验肯定有过人之处,可以凭借其专业的安全技术和管理经验转为独立的安全顾问,为企业提供安全顶层设计、策略规划、风险评估等更高级别的服务。也可以参与到安全机构或者研究所做研究员,深入研究行业技术趋势和发展态势。如果喜欢分享输出,还可以发展为培训讲师,传授安全知识和技能,建立个人IP。如果对创业感兴趣,可以加入一些新兴的科技公司担任管理层或合伙人,利用自身积累的资源和经验推动创业公司发展。

那些被解雇后的安全从业者都去哪了?

某金融科技公司安全专家蔚晨表示:“安全负责人担心数据泄露而离职,我的理解有两种可能。第一种可能,这个安全负责人绝对的外强中干,缺乏真正的掌控能力,因为管理者只有面对超过能力范围,即当自己无法掌控局面时,才会显得手足无措、畏首畏尾。第二种可能,这些个安全负责人已经认识到在当前的人力物力以及管理模式下,数据泄露已成为大概率事件且无法得到解决,此时的担心更像是一种无奈之举,让人感觉是等着被审判。”

而无论是哪一种情况,蔚晨认为,这个安全负责人其实已经名存实亡了,军官若惧怕战斗,他便不宜在前线继续指挥。所以“不惧挑战”是企业安全负责人首先应该具备的基本素质。当然不断的学习和持续的评估、检测、建设、验证是打造企业安全防线的不二法门,尽心而为也会了无遗憾。

另一方面,蔚晨指出,CISO退居二线其实并不罕见。这里的CISO应该是通常意义上的技术官员,而不是十指不沾阳春水的口嗨型领导。CISO是企业安全战略执行的直接责任人,在发生已预测风险事件时必须承担相应的责任,这个合理合规。当然离职以后能继续找到其他企业的CISO职位是最好(通常经历过实际战斗的军官更吃香),实在不济,担任安全架构专家、安全咨询师、合规/风险管理、培训师等等,都是不错的选择。“而真正负责过全面安全工作的专家,知识领域覆盖面是足够的,担任全局性IT规划工作是非常契合的。但是这样的CISO又有几个呢?”

原文地址:

Low turnover leaves job-seeking CISOs with nowhere to go | CSO Online

77% of CISOs fear next big breach will get them fired | CSO Online

作者:

那些被解雇后的安全从业者都去哪了?

CSO Online 的资深撰稿人

原文始发于微信公众号(安在):那些被解雇后的安全从业者都去哪了?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月28日22:06:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   那些被解雇后的安全从业者都去哪了?https://cn-sec.com/archives/3497083.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息