威胁在外，压力在内 | CISO职场生存现状

CISO的全称是“首席信息安全官”。随着国际上对于网络安全的重视程度逐渐增加，首席信息官逐渐受到众多企业的接受与认可。但是，他们虽然顶着“C”的头衔，但在决策权上可能处于弱势，且需要同时应对来自外部的安全威胁以及来自内部不同层面的压力。这个职位问世多年以来，CISO的职场生存现状如何？2019年他们最关注什么又最担忧什么？他们将如何自我突破与成长？一些调查报告也许可以给出参考答案。

一、 CISO的困境

确切来说，除了踏实的专业基础与实践外，CISO的工作主要是与人打交道，向领导汇报工作、争取预算与资源；向下属下达意见、统筹指挥；应对威胁背后的攻击者……这意味着，他们不仅技术能力要过关，还要会处理复杂的业务与人际关系。可以说，现代的CISO就像外交官一样，他们的斡旋与决策决定着整个团队或企业的安全防御水平。而随着网络威胁不断增加、网络安全问题真正影响到企业业务，CISO面临的压力也逐渐增大。

1. 入侵事件难以避免又无法预见，确保安全需要平衡多方资源

大部分CISO表示他们没有足够的资源来防范威胁、保护企业安全，其中最短缺的是人才。人手不足会导致安全效率降低。被调查者普遍反映网络中存在约70%已经发现的恶意软件，潜伏时间未知；有些恶意软件存在的时间可能超过一年。

近些年，人们逐渐达成共识，认为随着数字化进程加快，攻击面逐渐增多，安全事件的确难以避免，安全团队也无法将防护做到滴水不漏。哪怕一行代码出了问题就会引发大灾难。

超过60%的受访CISO确认曾经在公司的网络或设备中发现了潜伏的恶意软件；三分之一左右的受访者表示对公司的安全状况有清晰把握，且确认没有恶意软件潜伏；有将近9%的受访者对此表示不确定，这个结果不禁让人担忧。

在发现恶意软件的案例中，花费的平均时间为14天。其中有一小部分案例发现的周期超过三个月，甚至六个月。还有一位匿名者表示其团队发现威胁时，恶意软件已经存在长达400天的时间，超过了一年。相比之下，调查结果显示英国安全团队应急响应的效率比美国安全团队的效率低。他们发现威胁的平均周期大约是18天，比美国平均周期9.5天多出一倍。

这样的结果背后有两个主要诱因，首先就是网络威胁无孔不入，整体防御方案无法尽善尽美。另一方面，CISO认为资源的短缺也是造成安全防护效率不高的原因。57%的受访者表示所在企业的安全预算有限，63%的受访者认为人员调配是一大难题。其中最重要的是，企业缺乏对安全团队员工的有效管理。65%的受访者都认为这一点至关重要也最为匮乏。

如果按照预算、人力、技术和高级管理这四个维度具体区分，CISO对企业技术配备情况满意度较高，对于人力和高级管理的满意度较低。

2. 董事会对于安全认知不清，高管团队缺乏安全专家

调查显示，仅有一小部分董事会成员对网络有深入的了解。尽管CISO认为他们的工作很重要，但并没有很多人认可CISO的战略职能。 60％的CISO自信地认为董事会知晓入侵或泄露事件难以避免，但一旦此类事件发生，仍有三分之一的CISO会被解雇或受到处分。只有不到三分之一的人可以在CISO岗位上待满三年。

大部分CISO都期待董事会中至少有一个懂安全技术的成员，这样才能更好地开展业务。但是事实上，董事会中有安全专家的比例不到6%。还有30%的受访CISO承认其团队中连一个专家都没有。导致CISO常常觉得自己的与其他组织或团队脱节，也得不到合理的管理与指导。

52%的受访者表示董事会认可安全团队的价值，认为他们能保障利润和品牌声誉（美国的比例是44%；而英国的比例是60%）。

3. CISO很难让生活与工作分开，且常年处于压力之中

受访的CISO都觉得自己压力很大，91％的人表示他们承受着中等程度或严重压力，60％的人表示很难抽离工作。受访者中中有88％的CISO每周工作时间超过40小时。 四分之一的人认为这份工作对他们的身心健康以及个人和家庭关系产生了影响。 近17％的CISO正在用药物或酒精来缓解工作压力。

二、CISO的成就与挑战

思科刚刚发布的《2019CISO基准研究报告》显示，2018 — 2019年，CISO高度关注供应商之间的联合、与网络和安全团队之间的合作以及能够提升组织整体安全防护水平并减少风险的安全意识培训。此外，面对愈发复杂的安全环境，很多CISO都认为企业上云有助于更好地保护资产安全。

65%的受访者认为检测入侵、阻止入侵且缓解修复并非易事，用户、数据、设备、APP等带来的威胁无一不令人担忧。为了应对这些威胁，44%的受访者会加大投资安全防护技术；39%的受访者会针对原进行安全意识培训；39%的受访者则青睐风险缓解技术。调查结果显示，超过一半的受访者则通过各种手段成功将损失降低到50万美元以下。当然，需要注意的是，还有8%的受访者表示他们曾经历的安全风险造成过超过500万美元的损失。

这一年，CISO通过不断的整合与培训以及技术投入，成功降低了安全风险：

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!