几个月前,我发表了一篇深入探讨CISO辞职问题的文章。那篇文章受到了广泛关注,并引发了两场讨论,促使我撰写了这篇文章。我主要关注两个问题:

  • 大型企业中CISO角色的现状是否可以用来概括所有CISO的情况

  • 虚拟CISO(vCISO)是否有足够的资格在其头衔中使用“CISO”,因为许多vCISO从未担任过全职的安全领导者。

虽然乍一看这两个讨论似乎没有关联,但经过反复论证后,我意识到它们实际上是密切相关的。我与我网络中的几位CISO和vCISO讨论了这个话题,接下来的内容就是这些讨论的结果。

当我们谈论CISO时,大多指的是大型企业中的安全领导者。

在讨论CISO角色的现状和趋势之前,必须首先了解不同类型的安全领导者。

在深入探讨之前,我们应该认识到,作为一个行业,我们在理解多种类型的CISO方面做得并不好。造成这种情况的原因是大家都过于关注大型企业领域:

  • 行业分析公司主要面向大型企业销售,因此他们接触的CISO自然是在《财富》500强,或者最多是《财富》1000强的组织中工作。

  • 经销商和集成商的目标客户同样是《财富》1000 强企业。

  • 活动组织者喜欢邀请知名公司的安全领导者作为主题演讲嘉宾和小组讨论参与者。

风险投资公司希望在他们的顾问委员会中看到来自安全预算庞大的公司CISO。

  • 记者希望采访来自知名大品牌的CISO。

  • 监管机构最关注的是上市公司安全领导者人的工作。

类似的原因清单可以不停枚举,出于完全合理的原因,十多年来,业内大多数人都将安全领导者等同于大型企业的 CISO。我也不例外:几个月前,我决定仔细研究一下 CISO 辞职的问题,我恰好聚焦于财富 500 强企业安全领导者的名单。

鉴于行业对全球大企业的安全领导者如此多的关注,我们已经积累了关于他们需求、挑战、工作方式以及塑造CISO角色趋势的大量知识。我们甚至找到了将他们分类为不同群体的方法。Forrester的副总裁兼首席分析师Jeff Pollard识别并解释了六种类型的CISO:转型型CISO、事后应对型CISO、战术/操作专家型CISO、合规和风险大师型CISO、稳态型CISO以及面向客户的布道者型CISO。曾在Levi Strauss & Co.担任CISO的Steve Zalewski则概述了三种类型的CISO:技术型CISO、网络风险型CISO和业务风险型CISO。无论我们采用哪种分类方法(还有许多其他方法),显然大多数关于CISO角色的讨论都集中在大型企业CISO上。

我观察到CISO有很多不同的类型,并且CISO的类型在很大程度上取决于他们所服务的组织的规模。在这篇文章中,我打算探讨CISO角色在各种企业中的不同维度。

四种类型的安全领导者

不同类型的组织会根据其网络安全防护类需求分配不同数量的资源。一般来说,预算因素以及公司规模决定了组织中的安全领导者的角色特征、他们的职责范围以及他们需要承担的责任。

大型企业CISO

大多数情况下,当业内人士谈论CISO的挑战时,他们指的正是那些大型企业的安全领导者,如《财富》500强或《财富》1000强公司。这些企业的需求主要影响了大多数行业报告,尤其是行业分析师撰写的报告。

大型企业的CISO面临的挑战确实具有独特性。首先,他们需要满足的监管要求远远超过中型市场企业。其次,他们的运营规模要求解决方案能够支持跨国、混合、多云环境以及通常极其复杂的技术架构。第三,尽管每家公司愿意分配给安全的资金数额不同,挑战更多在于如何适当分配这些资源以实现最佳效果。财富1000强企业的CISO必须应对大量的政治因素、持续且复杂的攻击、频繁的监管压力,因此承受着很大的压力。

在企业中,不同安全领导者能够产生的影响程度差异很大。在一些公司中,CISO拥有执行级别的头衔,并在公司高层决策中占有一席之地,而在其他公司,CISO可能是副总裁(VP)或高级副总裁(SVP),向首席信息官(CIO)汇报。这种职位和汇报结构的差异会显著影响他们在企业中的影响力和决策能力。

正如我之前所讨论的,虽然咨询类公司和许多业内人士谈论“CISO辞职潮”,但仔细对比《财富》500强企业中CISO的流动情况似乎并不支持这一说法。尽管面临巨大压力和压力,《财富》1000强企业的CISO并没有大规模辞职,这令人印象深刻。在我看来,这证明了他们对这一职业的奉献精神、强烈的使命感和目标感,以及在困难面前完成任务的决心。最后但同样重要的是,这也表明美国大公司的CISO所享有的薪酬水平可能是一个有效的留任因素。

大型企业的安全领导者通常会选择两种途径中的一种:要么拥有一支庞大的安全团队,要么拥有一支由外包服务按需提供小型安全团队。许多公司往往非常重视满足合规性要求,因此他们要么将安全视为合规性要求的附属,或者利用合规性作为获得安全预算的理由。

在企业中成为安全领导者的人,其背景往往相当多样化。根据我的观察,许多人来自合规与治理角色、IT和基础设施管理、情报机构和执法部门。还有一些人(尽管相对较少,且通常集中在云原生科技公司)来自事件响应(IR)、软件和安全工程领域。

中型企业CISO

当我们对《财富》1000 强翻篇、关注较小的企业时,我们就进入了中端市场。这一细分市场中的公司在处理安全问题和构建安全组织(如果有的话)的方式上存在很大差异。

根据企业类型的不同,此类企业中的某些单位会直接聘用定位在公司领导层直接做贡献的 CISO,而有些单位则会让他们向首席信息官、IT 主管或工程主管汇报工作。很多中端市场企业一开始就没有专门的安全领导职位,而是将传统上属于 CISO 的职责纳入其他技术高管的职位描述中。由于这一类行业的监管审查较少(尤其是私营企业),中端市场企业的安全预算与财富 1000 强企业相比要少得多。这意味着,许多中型企业无法为安全工程师、检测工程师和顶级事件响应人员团队提供足够预算,而只能 "少花钱多办事"。

与财富1000强的CISO不同,中端市场的CISO在决策上更加灵活,并受到预算的限制,因此乐意成为安全初创公司解决方案的目标。财富1000强的CISO通常与全球最大咨询公司合作,能够接触到Gartner和Forrester等行业分析公司,并倾向于通过渠道合作伙伴购买创新类解决方案。

我认为,中型企业的 CISO 最受资源和期望之间差距的影响。首先,他们被要求和财富1000强的同行一样加强公司防御、预防攻击并有效应对事件,但预算却只有其一小部分。他们往往工作过度、资金不足,并且常常感到疲惫不堪。更糟糕的是,中端市场公司的CISO薪酬往往不高,因此不难理解为何根据我的个人观察,大部分人频繁更换工作。每当我们听说CISO离开全职工作去做兼职CISO(vCISO)时,通常是中型企业而非财富500强企业的安全领导者选择这条路。

公司规模越小,安全领导者的头衔和职责范围就越不同。在许多员工少于500人的公司中,安全工作通常由CIO负责。在员工数量在500到1000人之间的企业中,通常会有一位安全主管:一个专注于战术的人,负责购买和配置安全工具,并负责与外部服务提供商、托管服务提供商(MSP)或托管安全服务提供商(MSSP)合作。通常情况下,当公司有专门的预算并愿意让他们招聘一两名安全或IT从业者时,才会称他们的安全主管为CISO。

由于中端市场企业CISO通常需要亲自参与一线实际工作,担任这一角色的人通常具有IT背景,有时是软件工程背景(如果他们在科技初创公司工作),而在合规方面的背景则相对较少。

虚拟 CISO(vCISO)和 CISO即服务

尽管只关注大型企业的需求很有吸引力,但小型企业是美国经济的重要组成部分。根据美国小企业管理局(SBA)的定义,小型企业通常是指拥有少于500名员工的独立企业。根据SBA的定义,美国有3320万家小型企业,占所有美国公司的99.9%。小型企业在1995年至2021年间创造了不到三分之二(63%)的新工作岗位,即1730万个新工作岗位。小型企业占所有出口商的97.3%和已知出口价值的32.6%(4133亿美元)。它们还雇用了美国私营部门近一半(46%)的劳动力,并占国内生产总值的43.5%。——来源:美国商会。

3320 万家小型企业及其雇用的近一半美国私营部门劳动力也需要安全保护,这是完全合理的需求。然而,中小企业的安全状况与大型企业有很大不同。一个拥有150名员工的小公司通常没有一个全职的IT人员,更不用说负责安全的人了。许多公司他们的员工人数达到200到250人之前,只依赖于托管服务提供商(MSP),并认为这样就足够了。这是小型企业类别中的一个小子集:在3320万家小型企业中,2710万家是由单一所有者经营且没有员工的,16%的企业员工人数在1到19人之间,只有650,003家小型企业的员工人数在20到499人之间。

中小企业对安全的了解程度较低,因此绝大多数企业并不关心其合规性,更不用说网络安全状况了。在那些关注安全的小部分企业中,通常是由以下三个动机之一驱动的

  • 将合规视为销售促进因素。这可能包括 SOC2、ISO 27001 以及公司所在行业常见的日常认证。根据观察,这是迄今为止最大的激励因素,约有 80% 至 90% 占比

  • 受到客户要求提供符合各种标准的合规证明,或网络保险提供商要求提供指定安全类达标报告的压力。这是促使公司执行安全方案的第二大常见驱动力(占小型企业的10%到15%)。

  • 积极主动地从第一天起就在产品或服务中构建安全性。这是迄今为止小型企业采用安全措施最不常见的动机

值得注意的是,虽然我经常强调合规性不等于安全性,但合规性确实是促使企业投入安全工作的主要因素;这种情况不仅常见于大型企业,对小型企业尤其如此。

小型企业通常没有资源或业务理由去雇佣全职员工来处理非核心职能,如法律、市场营销、会计或网络安全。相反,他们通过专注于其主要价值主张并利用外部帮助来实现增长,这通常意味着雇佣顾问、代理机构和兼职专业人士。为满足其安全需求,小型企业依赖于虚拟首席兼职信息安全官(vCISO)或CISO 即服务。

在这个行业中,有一种普遍的观点认为,如果一个人从未担任过全职CISO,就不可能成为vCISO。然而,这种假设是错误的,主要原因在于全职CISO和vCISO是两个根本不同的角色。vCISO会根据客户的实际情况帮助他们奠定安全工作的基础。在某些案例下,要去解释为什么采用密码管理器比将凭证存储在Hubspot CRM中更安全和重要(即便CRM开启多因素认证才能登录);另外也需要决定如何分配公司能够在安全上花费的每月900美元(或每名员工30美元);有时,甚至是在客户想快速通过某类合规认证时“偷偷”加入对应所需的安全措施。vCISO可能会在最终电子表格中进行大量工作,而不是使用流行的治理、风险和合规(GRC)工具,并启用大型企业CISO可能会认为低级的配置类控制措施,但重要的是这些措施适合公司当前阶段和指定需求。总之,与行业中一些人可能认为的不同,vCISO并不是CISO的初级或“经验不足”版本,而是服务于完全不同市场的另一种类型的安全从业者。

最接近的类比是初中教师与大学教授之间的区别:虽然教授受过高等教育,专业化程度高,通常薪酬更高,但没有家长会认为初中教师对孩子的发展不重要。类似于如果没有好的初中教师,孩子可能永远无法为大学做好准备,一个公司如果没有在早期通过像vCISO这样的人的帮助来建立稳固的安全基础,可能永远无法发展到足以雇佣全职CISO的规模。两者都很重要,并且在个人(或公司)生命的不同阶段中扮演着各自的角色。

担任vCISO角色的人来自各种背景。正如我之前所讨论的,有些人是从业者(分析师、工程师或架构师),他们是兼职开始了vCISO业务;其他人则来自合规领域,而很大一部分人经历从技术相关岗位向安全专门角色的转型,例如产品经理、IT技术支持、咨询、软件工程师、解决方案架构师,甚至软件销售。通常情况下,首先vCISO 这个角色吸引的是通才。从事 vCISO 工作的人员需要具备广泛的知识和多种技能,能够处理各种不同类型的事务,而不仅仅局限于某一特定的专业领域。大型企业的 CISO 不需要亲自参与实际操作,也不必在安全的特定领域拥有深厚的专业知识。他们首先是战略领导者,其主要职责是制定整体的安全战略方向,从宏观层面规划和指导企业的安全工作。他们首先是战略领导者,因此他们有预算来建立和发展具备合适技能的高绩效团队。其次vCISO需要能够独立完成工作。他们的角色很大一部分是能力提升方面的工作,比如对客户进行安全知识教育,为客户提供指导和建议,帮助他们应对安全方面的变化,引导他们建立更好的安全意识和措施。同时,vCISO 工作中很大一部分还需要具备实际操作技能,包括根据不同企业的业务规模和具体要求,部署和配置各种合适的安全工具。

有必要简要说明一下vCISO的结构方式。虽然目前大多数 vCISO 以独立顾问的身份提供服务,但我们开始看到一些合作伙伴关系、合作企业和咨询公司的出现,比如由 Brian Haugli 经营的 SideChannel,以及由 Rob Black 创立的 Fractional CISO。vCISO 这个角色仍处于早期阶段,但很明显,它可能会朝着类似于律师事务所的方向发展,即个体从业者和较大的合伙团体在同一市场中共存,为不同类型的客户提供服务。

外勤CISO和受雇于安全厂商的CISO

有一类安全领导人值得单独提及,即受雇于网络安全厂商的CISO。担任这些职务的人员的职责范围差异很大。

一些为安全厂商工作的首席信息安全官只专注于保障所在组织的安全:制定安全战略、与公司董事会合作、选择工具并管理与公司所依赖的安全解决方案提供商的关系、招聘以及组建高效团队。在这方面,受雇于网络安全公司的安全领导者的角色与其在其他领域软件公司工作的同事并无不同。

On the other side of the spectrum are security leaders hired to perform a more sales-focused Field CISO role. In the past decade, cybersecurity companies have learned that in a world where thousands of vendors are trying to get the same several thousand CISOs into a “short 30-minute demo” to see their next-gen tool, betting on credibility and human relationships can be a winning strategy. Driven by this realization, they started to hire experienced CISOs to perform a somewhat hybrid role - a part security leader, and part marketing and brand evangelist. Some companies go as far as to assign their Field CISOs a sales quota, while others measure their performance by the number of talks given, thought leadership articles published, and customer calls held. There are also a few security companies that see their Field CISOs as first and foremost consultants capable of coming in and helping a customer or a prospect to solve their problems, regardless of whether or not the product or service offered by the vendor that pays their salaries is suitable to be offered as a solution.

另一方面,受雇于网络安全厂商的CISO担任更侧重于销售的外勤CISO(Field CISO)角色。在过去十年间,网络安全领域的市场竞争愈发激烈。众多的网络安全厂商(成千上万的厂商)都在争夺有限的客户资源,常用的手段是邀请 CISO 参加 “短短 30 分钟的演示”,试图在短时间内展示其下一代工具的优势,以吸引 CISO 选择他们的产品。单纯依靠产品演示来竞争是不够的。于是开始尝试一种新的策略,即 “押注于信誉和人际关系”。在这种认识的驱动下,他们开始聘请经验丰富的 CISO 来扮演一种混合角色:部分是安全领导者,部分是营销和品牌推广者。一些公司甚至为他们的外勤 CISO 分配销售任务,而其他公司则通过演讲次数、发表的思想领导力文章数量以及与客户通话次数来衡量他们的绩效。也有一些安全公司将他们的Field CISO首先视为能够介入并帮助客户或潜在客户解决问题的顾问,而且不在意厂商所提供的产品或服务是否适合作为解决方案。

多年来,业内许多人不公平地对待Field CISO和为安全厂商工作的CISO,质疑他们的资质、贡献,以及他们能够提供的价值。马尔科姆・哈金斯(Malcolm Harkins)几个月前在他的领英(LinkedIn)帖子中很好地总结了这个问题

Source: Malcolm Harkins

马尔科姆的帖子引发了大量的支持,这种支持是合理的、正当的。根据安全领导者(或其他任何人)在哪家公司工作来区别对待他们是不对的。

我们对厂商的定义也是错误的。通常,我们倾向于将技术提供商,无论是基础设施还是 SaaS 解决方案提供商,视为厂商,而将使用其产品的公司视为客户。这种以技术为中心的世界观是不正确的:对于想买家具的人和公司来说,宜家是厂商;对于购买日用品的人来说,沃尔玛是厂商;对于想要扩充机队的航空公司来说,波音公司也是厂商。公司在商业关系中的双重角色,每家公司在与购买其产品的客户的关系中始终是厂商,从获取运营所需资源的角度,它和提供运营业务资源的厂商和提供商的关系中则是客户。因此,每个CISO都是厂商 CISO,这也是马尔科姆在他的帖子中指出的。不同之处在于,有些人积极帮助他们的公司达成交易,而另一些人可能不必这样做。出现这种情况有多种原因,例如一些行业更倾向于将安全作为与同行竞争的一种竞争优势,或者有些人比其他人更适应面向客户的工作。

Field CISO的角色确实独特,几乎完全以销售为重点,这与受雇来建立安全控制的运营 CISO 不同。话虽如此,并非所有为网络安全公司工作的安全领导者都是外勤 CISO。此外,大多数受聘担任外勤 CISO 角色的人拥有强大的人际网络,并且在行业内享有思想领袖的声誉,他们有极大的动力去维护这些。据我所知,没有一个外勤 CISO 会在会议上把一场 30 分钟的谈话变成对其产品的推销。我注意到的一点是,在介绍安全领导者见解的报告和媒体中,外勤 CISO 和为安全厂商工作的 CISO 似乎占比过高。在我看来,主要原因是为安全公司工作的 CISO 有责任提高其公司在行业中的知名度,而那些受雇于其他领域企业(尤其是上市企业)的 CISO 通常不被鼓励与媒体交谈。

在一个几乎每天我们都能读到新的安全事件的世界里,客户希望知道他们的数据是安全的。CISO,无论他们在哪个行业工作,也无论他们为哪家公司工作,如果安全团队所做的工作足以确保客户信息的安全,他们都处于有利位置,能够向公司的客户传达这一点。外勤 CISO 类似于顾问或虚拟 CISO(vCISO),因为他们肩负双重使命:帮助公司拓展业务和获取新客户,以及帮助客户利用最佳工具和资源使其防御具备前瞻性。

CISO类别之间的转换

虽然为了简便起见,我把CISO分成了几个类别 —— 大企业 CISO、中型企业 CISO、虚拟 CISO 和外勤 CISO,但实际情况是这些类别并没有明确的界定,也不是固定不变的。安全领导者会从一个类别转到另一个类别,而且在大多数情况下,这些变动或者说职业转换遵循几种模式

企业CISO

大多数在大型企业和财富 1000 强公司任职的安全领导者会选择长期留在这个领域。当他们寻找新职位时,他们主要考虑其他大型企业。退休后或临近退休时,他们可能会加入一家大型咨询公司,成为大型企业的独立安全顾问,或者将注意力转向董事会,担任公司董事。

大型企业的安全领导者通常不会转去担任vCISO这一角色。之所以出现这种情况有几个原因。首先也是最重要的一点,他们中的大多数人觉得中小企业的问题没那么有趣。对于有机会在企业级规模工作过的安全从业者来说,诸如说服一家公司采用密码管理器之类的挑战完全没有吸引力。其次,在受雇期间,他们通常没有空闲时间来开展副业项目,而且即便有时间,大多数人也不被允许为其他实体提供安全服务。最后,企业 CISO 的薪酬丰厚,所以他们缺乏动力转去担任充满高度不确定性且薪资低得多的 vCISO 角色。企业 CISO 最接近 vCISO 类型职位的情况是,当他们选择为向多个投资组合公司提供安全服务的私募股权(PE)集团工作时。

一小部分财富 1000 强企业的安全领导为寻求更低的监管压力和较少的政治环境,会跳槽到中型市场企业。从历史上看,走这条路的安全领导人数一直不多,但鉴于近年来监管机构审查力度加大(主要影响大型上市组织),这种情况可能正在改变。

中型企业CISO

职业抱负是从中型企业跳槽到大型企业这一变动背后的主要驱动力。中型企业的CISO为寻求更大的影响力和更高的薪酬,经常会受到鼓励去大型企业谋职。对许多人来说,这是他们职业生涯顺理成章的下一步。

中型企业CISO向小型企业流动(即反向流动)的主要原因是希望降低复杂程度和压力水平。有经验的中层 CISO 在疲惫不堪但又尚未准备离开这个行业时,有时会选择从全职工作的压力中退一步,成为vCISO。

Virtual CISO

由于绝大多数vCISO和提供 CISO 即服务的人员都没有在大型企业担任安全领导的经验,所以他们通常不会被财富 1000 强企业聘为 CISO。就算他们以某种方式得到了这个职位(这种可能性极小),他们也很有可能不会成功。大多数 vCISO 会发现他们的经验不太适用于企业环境:他们对复杂性、关系建立方式、资源调配方式以及在高度复杂的客户环境中什么是有效措施缺乏了解。

一些vCISO在积累了帮助中小企业的经验后,正在寻找在中型市场企业获得全职职位的途径。对于有意将 vCISO 这一角色作为职业晋升跳板的安全从业者来说,情况尤其如此。另一方面,那些曾是全职安全领导但因压力而退下来担任 vCISO 的人,则可能会从 vCISO 这一角色退休。

外勤CISO

“外勤CISO(Field CISO)” 这一术语与机构规模无关。担任这一角色的一些人可能曾是大企业的安全领导,现在在Palo Alto或Cisco等公司担任外勤 CISO。其他人可能曾是中层 CISO 或资深安全从业者,在较小的初创企业担任外勤 CISO。

当外勤 CISO 重新回到运营岗位时,他们通常会加入与他们在加入安全厂商之前所在的类似组织。我没见过有多少外勤 CISO 会在以销售为重点的外勤 CISO 岗位上干上十年或更久,但很难说清为什么会这样。一个原因可能是外勤 CISO 这一角色仍然相对较新,但也有可能是因为要把握这个以销售为重点的职位的细微差别实在太难了。

不同但平等:支持安全领导者,无论他们在哪里工作

安全领导者来自各行各业。有些人在合规和风险管理领域从业数十年,其他人则在信息技术领域成就了自己的事业,他们担任过安全工程师、执法人员、应急响应人员等等。毫无疑问,他们的背景会影响他们担任CISO这一角色的方式,但我认为,行业内过于关注他们来自哪里,而我们应该思考的是他们受聘要解决什么问题。

无论CISO的背景如何,他们的工作都是相同的:保护公司的数据、声誉、人员和业务。不过,具体的工作内容在很大程度上取决于公司的类型:

  • 上市公司必须遵守合规要求,而这些要求不适用于私营企业。

  • 大型跨国公司的基础设施、环境以及随之而来的风险与在一个州或一个国家内运营的公司所面临的情况不同。

  • 一个家族经营的、只有几个人的电子商务企业的防御所需的安全加固措施完全不同于适合一家中型全国性零售商的安全措施。

  • 软件即服务(SaaS)厂商的买家将安全视为他们所购买产品的关键部分,因此这些公司知道必须在安全防护方面进行投资以获取新客户;而牙科诊所的顾客在决定看哪个牙医时不会评估其安全情况。

无论安全领导者在哪里工作,也无论他们解决谁的问题,他们的角色都同等重要。一位帮助夫妻小店实施多因素认证(MFA)的vCISO对社会安全保障的重要性,并不亚于负责保护大型社交媒体平台用户数据的首席信息安全官。一位帮助石油公司采用安全解决方案的外勤CISO,和一家销售太阳能电池板公司的首席信息安全官一样值得尊重。

并非所有的安全领导者都要去突破该领域的界限,我们也不应期望他们这样做。我们需要有人为 90% 的人群带来安全保障,而不只是为拥有充足安全预算的前 10% 的大型企业服务。我们要记住,并非每个CISO都服务于财富 1000 强企业,即便大多数安全厂商都将目标对准了这些企业。我必须承认,这并不总是容易的,我曾多次错误地将 “CISO” 和 “大型企业” 划等号,但这正是为什么我们要格外努力,不要忘记不同类型的 CISO,以及为什么他们都很重要的原因

原文链接:

https://ventureinsecurity.net/p/not-every-security-leader-works-at

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。