首席信息安全官的定义
首席信息安全官是负责组织信息和数据安全的主管。在过去,这个角色的定义有些狭义,而现在这个头衔经常与首席安全官和安全副总裁互换,这也表明首席信息安全官在组织中发挥的作用更加广泛。
并非每家公司都有最高级别的安全主管:根据IDG公司发布的2020年安全优先级研究报告,在接受调查的公司中,61%的组织设有首席信息安全官,大型组织的这一比例高达80%。首席信息安全官在组织中是至关重要的角色:研究发现,没有设置首席信息安全官或首席安全官职位的组织与比拥有这些安全主管职位的组织相比,在员工安全培训方面不充分,并且安全策略也不够主动。
很多安全专业人士希望担任首席信息安全官。他们需要了解可以采取哪些措施获得担任该职位的机会,以及在担任这一关键角色之后将承担哪些责任。
首席信息安全官的职责
首席信息安全官的职责是什么?也许理解首席信息安全官工作的最好方法就是了解其日常职责。上世纪90年代在花旗集团担任首席信息安全官的Stephen Katz在接受行业媒体采访时概述了首席信息安全官的职责范围。他将首席信息安全官职责分为以下几类:
- 安全操作:实时分析即时威胁,并在出现问题时进行分类。
- 网络风险和网络情报:及时了解发展中的安全威胁,并帮助组织董事会了解收购行业厂商或开展其他大型商业活动可能引起的潜在安全问题。
- 数据丢失和欺诈预防:确保内部人员不会滥用或窃取组织数据。
- 安全体系结构:规划、购买和推出安全硬件和软件,确保IT和网络基础设施的设计考虑到最佳安全实践。
- 身份和访问管理:确保只有授权人员才能访问受限的数据和系统。
- 程序管理:通过实施可减轻风险的程序或项目(例如定期的系统补丁程序)来满足安全需求。
- 调查和取证:确定违规行为中出现了什么问题,如果是内部违规行为,则处理相关责任人,并计划避免再次发生同样的危机。
- 治理:确保上述所有举措都能顺利进行,并获得所需的资金,组织领导者应了解其重要性。
另一个重要的注意事项是,这些要点大多适用于IT安全。但对许多高级安全执行官来说,他们的任务不仅仅局限于保护服务器和个人电脑的安全,还扩展到物理设施的安全,确保他们所在组织的办公室和工厂设施免受外部入侵。根据IDG公司发布的2020年安全优先权的研究报告,42%的高级安全主管表示,他们在过去三年中已经增加了物联安全职责,另有18%的高管希望在未来一年内担任这一职务。
首席信息安全官的要求
首席信息安全官这一角色需要考虑什么?一般来说,首席信息安全官需要扎实的技术基础。在通常情况下,首席信息安全官应聘者应该拥有计算机科学或相关领域的学士学位,并具有7~12年的工作经验(包括管理职位至少5年);以安全为重点的技术硕士学位也越来越流行。首席信息安全官还需要具备一系列的技术技能:除了IT技术人员都应该具备的编程和系统管理基础知识之外,还应该了解一些以安全为中心的技术,例如DNS、路由、身份验证、VPN、代理服务和DDoS抵御技术;编程实践、威胁建模;防火墙和入侵检测/预防协议。由于首席信息安全官需要帮助组织遵守一些国家和行业法规,还应该了解影响其所在行业的一系列法规,其中包括PCI DSS、HIPAA、GLBA和SOX。
具备技术和知识并不是获得首席信息安全官这一职位的唯一要求,甚至可能不是最重要的决定因素。毕竟,首席信息安全官的大部分工作都涉及管理和提倡组织领导层内部的安全性。IT研究员Larry Ponemon在SecureWorld会议上发言时说:“杰出的首席信息安全官需要具有良好的技术基础,但通常还要具备业务背景,以及与其他组织高管和董事会成员进行沟通所需的技能。”
人才中介机构LaSalle Network公司技术服务高级部门经理Paul Wallenberg表示,判断首席信息安全官应聘者的技术技能和非技术技能可能会有所不同,这具体取决于组织的要求。他说:“一般来说,在全球或国际上具有业务影响力的组织将寻找具有全面安全背景的应聘者,并采用评估领导技能的方法了解应聘者的职业发展和业绩成就。另一方面,那些专注于网络和产品业务的组织倾向于雇用拥有应用程序和网络安全性的特定技能的应聘者。”
首席信息安全官的认证和培训
当应聘或晋升到首席信息安全官的职位时,通过认证来提高简历的含金量并没有什么坏处。这些认证可以更新知识,激发新的思维,提高可信度,并且是完善的内部培训课程中必不可少的一部分。
安全网站Cyberdegrees列出了七个认证。Lasalle Network公司的Wallenberg为此选择了三个顶级的认证:
- 注册信息系统安全专家(CISSP),适用于寻求将安全作为职业重点的IT专业人员。
- 注册认证信息安全经理(CISM),适用于希望从安全技术和学科转型到领导力或计划管理的人员。
- 认证道德黑客(CEH),适用于希望对可能威胁企业安全的问题具有领先意识的安全专业人员。
首席信息安全官、首席安全官以及其他高管的职位名称
以下先了解一下职位名称,尽管在本文中的名称一直是首席信息安全官,还有一些其他的名称用于行政级别的安全人员:例如首席安全官(CSO)相当常见,还有一些人员则拥有副总裁的头衔。IDG公司的2020年安全优先研究报告发现,41%的受访者认为首席信息安全官是最常见的职位,14%的受访者认为首席安全官是最常见的职位,16%的受访者选择了其他高管职位。有趣的是,大型组织更多地将其安全主管称为首席信息安全官:在接受调查的组织中,80%的组织采用这一职位名称。如上所述,人们已经或多或少地互换使用了这些职位。在许多情况下,它们反映了特定组织中的等级架构或角色组成。而在一家公司中担任首席信息安全官的职位可能会与另一家公司中的首席安全官职位非常相似。
比职位名称更重要的是组织结构图。首席信息安全官是在组织内不可避免地与他人发生矛盾的角色,因为作为安全专家,其本职工作是监管IT系统并使它们让居心不良的人员或组织更难访问,这可能会与IT部门以无摩擦的方式提供信息和应用程序的工作相冲突。首席信息安全官与首席安全官或首席信息官在组织结构图的职责有着更多的重叠,解决这种矛盾通常取决于组织内部的报告工作方式:如果安全主管向组织领导层报告,那么可能会限制首席信息安全官的战略执行能力,因为他们的愿景最终要服从于IT部门的更大战略。
不同的报告结构有多普遍?IDG公司的2020年安全优先研究报告表明,在接受调查的组织中,46%的高级安全主管需要向首席执行官或董事会报告,而33%的高级安全主管需要向首席信息官报告。规模较小的组织可能拥有更扁平的结构,这一点不足为奇:在接受调查的中小企业中,59%的首席信息安全官直接向首席执行官报告。
将首席信息官和首席信息安全官置于平等的地位可以减少冲突,这可以向组织成员发出信息的安全性至关重要的信号。但这也意味着首席信息安全官不能简单地否决技术计划。正如杜卡迪公司首席信息官所说,“首席信息安全官帮助IT团队提供更强大的产品和服务,而不是简单地说‘不’”。战略举措的共同责任改变了这种关系的动态,这可能意味着新首席信息安全官成功与失败之间的区别。
首席信息安全官的工作描述
如果组织希望招聘出色的首席信息安全官,并为此撰写这一职位的工作描述。Lasalle Network公司的Wallenberg说:“组织首先要决定是否要聘请首席信息安全官,并确定职位的级别、报告结构和职位头衔、。在规模较小的组织中,首席信息安全官可以是副总裁或安全总监。组织还需要设定首席信息安全官的最低要求和资格,然后到市场上招聘应聘者或在组织内部招聘应聘者。”
CSO Senior 公司的Michael Nadeau对如何编写首席信息安全官职位描述进行了阐述。他指出,一件至关重要的事情是,其工作描述应该从一开始就让组织对安全的承诺非常清楚,因为这样才能吸引高素质的求职者。应该强调首席信息官在组织结构图上的最终位置,以及他们将会与组织董事会成员互动来真正明确这一点。
首席信息官的薪酬
首席信息安全官是一个高级职位,因此将获得相应的丰厚报酬。当然,预测薪资是一门艺术而不是一门科学,但是所达成的共识是,首席信息安全官的年薪通常在10万美元以上。根据ZipRecruiter公司的调查,美国首席信息安全官平均年薪为159,877美元,而在Salary.com公司调查中的标准更高,首席信息安全官平均年薪为195,000美元到257,000美元。
如果浏览求职网站Glassdoor的职位,则可以看到当前首席信息安全官职位的薪资范围,这可以帮助了解哪些部门的薪资水平更高或更低。例如通用电气电力公司空缺的首席信息安全官职位的年薪为152,000至164,000美元,而密歇根大学的一个首席信息安全官职位的年薪为259,000至279,000美元。
首席信息安全官的工作范围
首席信息安全官的工作范围一直在变化,而为了了解首席信息安全官的工作职责以及如何应对职业前景。可能从一些相关文章进行了解。
- “首席信息安全官工作寿命的6个秘诀”:对于为组织长期服务的首席安全官来说,关注业务和如何沟通是关键。
- “首席信息官需要向首席信息安全官寻求什么:协作而不指责”:可以了解如何处理这种有时令人担忧的关系。这篇文章对如何看待这两个职位与安全职能的关系,以及对首席信息安全官为什么需要与首席信息官密切合作进行了解释。
- “使首席信息安全官失去工作的7个安全事件”:当成为高层管理人员时,首席信息安全官就会发现担负着重大的责任。而他们的经验和教训将提供更多的学习机会。