曾幾何時(shí)，這份工作的內(nèi)容僅僅只是需要把工作重點(diǎn)集中在固定的防火墻建設(shè)和修補(bǔ)安全漏洞方面的技術(shù)性的工作。但到了今天，企業(yè)的安全主管們不僅需要做到這一點(diǎn)，還需要處理更多的工作內(nèi)容。他們不僅需要負(fù)責(zé)管理自己的安全團(tuán)隊(duì)的日常運(yùn)作以滿足企業(yè)董事會(huì)的預(yù)期，同時(shí)還需對(duì)當(dāng)前這樣一個(gè)不斷發(fā)展的企業(yè)安全威脅環(huán)境進(jìn)行掌握，并定期對(duì)安全形勢(shì)的變化進(jìn)行監(jiān)管。

　　這樣一來(lái)，企業(yè)組織的首席信息安全官們的工作無(wú)疑成為了一杯誘人的毒酒：其工作是高薪的;并日益受到所有各種背景人的尊重(感謝廣為人知的信息安全技能型人才的緊缺);同時(shí)平均工作經(jīng)驗(yàn)要求可以持續(xù)在18個(gè)月以下的水平。但一名CISO也可能因一系列各種不同的原因而被企業(yè)組織開(kāi)除解聘：其中包括了發(fā)生安全違規(guī)行為;或遺漏了對(duì)安全漏洞的修補(bǔ);未能使得企業(yè)的安全運(yùn)營(yíng)達(dá)到企業(yè)董事會(huì)高層的業(yè)務(wù)預(yù)期目標(biāo)。

　　InfoSec公司的一名前負(fù)責(zé)人在談到企業(yè)組織的安全負(fù)責(zé)人在當(dāng)前的工作中所面臨的不斷增加的各種挑戰(zhàn)時(shí)，甚至用到了艱難生存這一詞眼。

　　“企業(yè)組織的首席信息安全官們有著非常艱難的工作，他們需要為自己根本無(wú)法提供百分百保障確認(rèn)的事情負(fù)責(zé)，即保護(hù)企業(yè)安全。而僅僅只需要一個(gè)未被發(fā)現(xiàn)或未及時(shí)修補(bǔ)的安全漏洞;一個(gè)來(lái)自企業(yè)內(nèi)部或一個(gè)偶然意外的“不安全”進(jìn)程，就可能葬送掉他們的全部工作努力。

　　“當(dāng)他們能夠完全理解這一點(diǎn)，并能妥善正確地管理相關(guān)的期望時(shí)，他們對(duì)于企業(yè)的價(jià)值將是非常寶貴的。但問(wèn)題就在于，這不僅需要對(duì)于如何管理短期和長(zhǎng)期項(xiàng)目有著完全正確的理解，需要對(duì)于企業(yè)規(guī)模和項(xiàng)目預(yù)算的掌握和管理，而且需要對(duì)技術(shù)知識(shí)和安全方面有充分的了解，以確保按照正確的優(yōu)先級(jí)次序，來(lái)使得相關(guān)的事項(xiàng)得到解決。

　　“這一職位角色幾乎可以說(shuō)是需要具備多方面的能力，不僅要有技術(shù)能力，同時(shí)還要具備與人溝通的技能;不僅需要具備執(zhí)行能力，還需要具備項(xiàng)目管理能力。能夠把工作焦點(diǎn)聚焦在優(yōu)先級(jí)高的工作領(lǐng)域，同時(shí)又要對(duì)于相關(guān)的概述知識(shí)又著廣泛的理解。

　　鑒于上述因素，以及不斷的傳出關(guān)于某家企業(yè)的首席信息安全官被解雇的新聞報(bào)道的炒作，CSO Online網(wǎng)站的記者專程采訪了三位被解聘過(guò)的首席信息安全官、一名CIO以及其他的一些資訊安全方面的專家，試圖找出首席信息安全官們被解雇的真正原因，并希望能夠幫助其他相關(guān)人員能夠避免重蹈他們的覆轍。

　　企業(yè)高管被解雇很少成為頭條新聞

　　今天，企業(yè)的數(shù)據(jù)泄露事件往往很容易成為各種媒體報(bào)道以及資訊安全的頭條新聞——而這往往會(huì)引發(fā)人們更多的關(guān)于企業(yè)的CISO的責(zé)任及其所管理的安全團(tuán)隊(duì)的相關(guān)思考和討論。新聞報(bào)道的記者和安全供應(yīng)商的營(yíng)銷團(tuán)隊(duì)很快便會(huì)就數(shù)據(jù)泄露后會(huì)發(fā)生什么狀況發(fā)出相應(yīng)的警告。

　　然而，圍繞著這一切，CISO被解雇的新聞幾乎很少見(jiàn)諸于媒體。

　　根據(jù)美國(guó)的數(shù)據(jù)泄露通知法令(類似法令很快也將在歐洲頒布，即一般性數(shù)據(jù)保護(hù)條例)能夠讓您了解哪些企業(yè)組織的數(shù)據(jù)遭到了泄露的相關(guān)記錄。由此，您可以大膽的進(jìn)行一個(gè)猜測(cè)：在這些發(fā)生過(guò)數(shù)據(jù)泄露事故的企業(yè)的安全管理負(fù)責(zé)人的身上又發(fā)生了什么呢。然而，迄今為止，大多數(shù)關(guān)于企業(yè)CISO被解雇的新聞報(bào)道要么是神秘而古怪的，要么就是異常高調(diào)的。

　　在因一次違規(guī)事件導(dǎo)致了大約8300萬(wàn)條業(yè)務(wù)記錄在社會(huì)工程項(xiàng)目中受損的一年后，摩根大通的CSO吉姆·卡明斯被重新任命了該職位，而該銀行之前的CISO格雷格·拉特雷則被要求離開(kāi)其職位，并接受該公司全球網(wǎng)絡(luò)合作伙伴和政府戰(zhàn)略管理的職位。

　　但這些都是較為罕見(jiàn)的例子，更多的情況則往往是高級(jí)業(yè)務(wù)成為了主管替罪羊。在2013年，當(dāng)Target公司發(fā)生了約4000萬(wàn)條信用卡信息丟失(超過(guò)1億的數(shù)據(jù)記錄受損)的嚴(yán)重?cái)?shù)據(jù)泄露事故后，該公司解雇了其CIO和CEO(盡管該零售商在彼時(shí)并沒(méi)有任命其第一位CISO);而在2007年，服裝零售商TJX公司所發(fā)生的違約行為則導(dǎo)致了該公司的一名導(dǎo)演兼高級(jí)副總裁的跳槽。在英國(guó)，TalkTalk公司的Dido Harding在去年所發(fā)生的安全事故導(dǎo)致約157000條業(yè)務(wù)記錄受到影響，其中甚至包括15,000家客戶的財(cái)務(wù)細(xì)節(jié)被泄露后，勉強(qiáng)保住了自己的工作。

　　盡管這可能會(huì)讓一些人感到意外，但也有人可能會(huì)認(rèn)為，這其實(shí)應(yīng)該歸結(jié)于問(wèn)責(zé)制、報(bào)告程序和安全管理的成熟度。例如，如果企業(yè)的首席信息安全官需要向IT匯報(bào)工作，那么CIO將成為替罪羊，而其他利益相關(guān)者可能推動(dòng)董事會(huì)成員離開(kāi)正在下沉的船。

　　BH咨詢公司的董事總經(jīng)理Brian Honan表示說(shuō)，其實(shí)很難衡量一名CISO是被企業(yè)組織所解雇了，或者自己干脆另謀高就，找到了另一份新的工作。

　　“今天，首席信息安全官們工作的變動(dòng)是如此的頻繁，故而很難知道他們主動(dòng)的跳槽或是源于自身的原因，特別是由于公共信息的違規(guī)行為而被企業(yè)解聘。”

　　為什么首席信息安全官會(huì)被解雇

　　可能目前尚未有關(guān)于企業(yè)的首席信息安全官被解雇的正式記錄，但通過(guò)我們的記者與許多首席信息安全官、CIO和其他信息安全專家的討論記錄可以看出，很明顯，這種事件的發(fā)生，是基于一個(gè)相當(dāng)明確的規(guī)律的。

　　企業(yè)組織的首席信息安全官們離開(kāi)他們之前所服務(wù)的組織，或許是源于某些安全破壞違約事故的原因，但也可能是韻味未能發(fā)現(xiàn)某些安全故障點(diǎn)或未能報(bào)告錯(cuò)誤事件、做出了錯(cuò)誤的采購(gòu)決定或因?yàn)榕c企業(yè)的高級(jí)管理層發(fā)生了分歧。

　　一名此前曾就職于美國(guó)媒體部門(mén)的信息管理負(fù)責(zé)人告訴我說(shuō)，她曾經(jīng)兩次看見(jiàn)過(guò)她的首席信息安全官要求離職。她說(shuō)，“而兩次申請(qǐng)離職的主要原因，都是圍繞著其不能以一種經(jīng)濟(jì)的方式來(lái)解決企業(yè)的安全風(fēng)險(xiǎn)，達(dá)到一個(gè)令人滿意的安全狀態(tài)。”

　　而關(guān)于企業(yè)CISO被解聘的其他原因，根據(jù)一些接受采訪的匿名受訪者回想他們所在的公司的具體情況則包括：CISO的報(bào)告不佳被駁回;項(xiàng)目超出他們的預(yù)算;不按商業(yè)策略行事;甚至散布FUD(恐懼，不確定和懷疑)， 而不是針對(duì)這些問(wèn)題提供切實(shí)可行的解決方案。正如一位??CIO所說(shuō)，這類首席信息安全官只會(huì)耍耍嘴皮子功夫，卻不知道“喊破嗓子不如甩開(kāi)膀子”。

　　一位英國(guó)的穿透性安全測(cè)試受訪者回顧了自己所經(jīng)歷的另一個(gè)例子，他的一位同事在測(cè)試中發(fā)現(xiàn)一家客戶的IT基礎(chǔ)設(shè)施的各種缺陷(能夠讓他遠(yuǎn)程接管Web服務(wù)器)，并將該狀況報(bào)道給了該公司的首席信息安全官，而改首席信息安全官答應(yīng)以4000英鎊為回報(bào)，以幫助該企業(yè)組織披露和解決這些安全漏洞。

　　但是，兩個(gè)月的事件過(guò)去了，其同事并沒(méi)有收到付款，便聯(lián)系了該客戶公司的CEO。這一舉動(dòng)無(wú)疑為這名CISO帶來(lái)了可怕的后果。

　　大約兩個(gè)月的電話聯(lián)系沒(méi)有收到答復(fù)。使得這家穿透性安全測(cè)試公司感覺(jué)是被忽略了，故而相當(dāng)惱火。于是，他們聯(lián)系了該企業(yè)客戶公司的CEO，并向其詳細(xì)介紹了相關(guān)的情況。

　　“他道了歉，并告訴他們不能繼續(xù)之前的合同了，向他們支付了費(fèi)用，并立即解聘了其首席信息安全官，因?yàn)樗麤](méi)有及時(shí)就該測(cè)試報(bào)告結(jié)果向其上級(jí)匯報(bào)。”

　　然而，雖然企業(yè)的高級(jí)管理層與首席信息安全官的沖突往往導(dǎo)致了后者的離職也許并不足為奇，但長(zhǎng)期持有的觀點(diǎn)是，他們究竟是否應(yīng)該為安全違約事故而被解雇仍存在爭(zhēng)議。

　　SANS研究所的埃里克·科爾最近在Twitter上發(fā)布的一則推文談到：“讓我們來(lái)理清一下吧，發(fā)生安全違規(guī)并不是一件壞事;如果是由于企業(yè)CISO的疏忽，那么，他們應(yīng)該被解雇;但他們不應(yīng)該是因?yàn)槠渌谄髽I(yè)發(fā)生安全違規(guī)而被解雇。”

　　顯然，這是一個(gè)覺(jué)有爭(zhēng)論性的話題。在2014年12月，一份來(lái)自NTT Com Security所發(fā)布的調(diào)研報(bào)告透露，企業(yè)組織的高管們認(rèn)為信息安全是一個(gè)外行的術(shù)語(yǔ)，“是屬于別人的問(wèn)題”，而Raytheon 公司的研究顯示，參與了倫敦eCrime大會(huì)的70%的安全專家認(rèn)為，CEO應(yīng)該對(duì)此承擔(dān)責(zé)任。只有13%的受訪者認(rèn)為企業(yè)的首席信息安全官應(yīng)承擔(dān)責(zé)任。

　　受解雇的首席信息安全官們是如何說(shuō)的

　　兩名被解雇首席信息安全官描述了自己曾經(jīng)被解雇的經(jīng)歷，及他們從中所汲取到的經(jīng)驗(yàn)教訓(xùn)。

　　一位曾在英國(guó)金融服務(wù)部門(mén)工作過(guò)的首席信息安全官說(shuō)，他被解雇的最終原因，是源自于自己和企業(yè)CIO之間的“意見(jiàn)分歧”。

　　“信息安全預(yù)算是企業(yè)總的IT預(yù)算的一部分，而企業(yè)的CIO不得不努力降低IT成本。盡管信息安全仍然也需要盡量在預(yù)算中進(jìn)行節(jié)省，但這無(wú)異也增加了在某些領(lǐng)域的安全風(fēng)險(xiǎn)。”

　　他繼續(xù)說(shuō)，當(dāng)在向企業(yè)的高級(jí)管理人員們解釋了潛在的安全危害可能造成的損失之后，CIO采取了急轉(zhuǎn)彎的態(tài)度。 “該名CIO不喜歡我的論點(diǎn)，雖然一致認(rèn)為，企業(yè)IT部門(mén)應(yīng)該對(duì)與安全管理負(fù)責(zé)，但實(shí)際的情況則是，我們所執(zhí)行的工作并不是如我所說(shuō)的那樣。”

　　他說(shuō)，他覺(jué)得自己很好的處理了自己的離職，但他相信他也這次經(jīng)歷中學(xué)到了很多。“最好不要直接匯報(bào)技術(shù)問(wèn)題，把您的預(yù)算交由您企業(yè)的CIO來(lái)控制，畢竟，他們?cè)诠?jié)約企業(yè)IT部門(mén)的成本方面承擔(dān)了很大的壓力。同樣，企業(yè)的業(yè)務(wù)領(lǐng)導(dǎo)人們也不喜歡聽(tīng)到真相或了解進(jìn)一步的透明度，即使他們?cè)鴮?duì)此有過(guò)公開(kāi)的表示。”

　　不幸的是，這類故事在企業(yè)組織也經(jīng)常發(fā)生。一家托管服務(wù)提供商的信息安全負(fù)責(zé)人也談到了與IT團(tuán)隊(duì)處理這方面問(wèn)題的困難，而這也最終導(dǎo)致了他自己的離職。

　　“IT主管經(jīng)常忽視來(lái)自信息安全方面的建議，認(rèn)為他自己知道得更好，同時(shí)又告訴我們的董事會(huì)說(shuō)企業(yè)應(yīng)該進(jìn)行完善，含沙射影的告訴我的同事說(shuō)我的工作失敗，而其實(shí)僅僅是因?yàn)樗幌矚g我所做的工作。”

　　“這導(dǎo)致了有人開(kāi)始向人力資源部門(mén)投訴我的主管，認(rèn)為不相稱的行為導(dǎo)致了管理不當(dāng)，也違反我們企業(yè)的管理政策。 HR部門(mén)于是采取了措施。就在我兩年聘用期滿的前一個(gè)月，就差一個(gè)月就能受到就業(yè)法保護(hù)的我被??不公平的解雇開(kāi)除了。”

　　另外一名在美國(guó)制藥行業(yè)工作的CISO，解釋他為什么在揭露企業(yè)完成并購(gòu)時(shí)的不法行為后辭職的經(jīng)歷。

　　“我曾經(jīng)服務(wù)的企業(yè)與另一家規(guī)模更大的，擁有全球性影響力的公司有過(guò)并購(gòu)交易，鑒于這是一次公開(kāi)收購(gòu)交易，我們?cè)谖业穆殭?quán)范圍內(nèi)遵循了薩班斯-奧克斯利法案和SEC的相關(guān)合規(guī)，因?yàn)樯霞?jí)機(jī)構(gòu)的信息安全功能沒(méi)有我們成熟。”

　　這一年里，發(fā)生了許多財(cái)務(wù)違規(guī)行為，在預(yù)防數(shù)據(jù)丟失，并對(duì)數(shù)據(jù)進(jìn)行分析的同時(shí)，我們也遇到了類似欺詐和內(nèi)幕交易的問(wèn)題。其中就涉及到一名地區(qū)性的首席財(cái)務(wù)官，我和他原本相處得很好。

　　“這些信息是沒(méi)有定論的，而在與自己進(jìn)行了長(zhǎng)達(dá)一個(gè)星期的辯論抗?fàn)幒?，我按照我們自己的管理政?舉報(bào)揭發(fā))將相關(guān)的信息報(bào)告給了公司新任的首席執(zhí)行官。然后該公司的首席執(zhí)行官向我所舉報(bào)的人轉(zhuǎn)發(fā)了我的機(jī)密電子郵件，并詢問(wèn)發(fā)生了什么事情，這直接導(dǎo)致了我受到了報(bào)復(fù)性起訴。

　　他在第二天就提交了辭職報(bào)告，而四個(gè)月后，該公司申請(qǐng)了破產(chǎn)。此后的下一年，該公司的首席執(zhí)行官和首席財(cái)務(wù)官均遭到了美國(guó)證券交易委員會(huì)的調(diào)查。

　　因此，關(guān)于企業(yè)組織的首席信息安全官們應(yīng)該如何避免被解聘?這里有三個(gè)秘訣：

　　1 清楚的了解您自己的工作范圍，您的界限，同時(shí)了解在哪些業(yè)務(wù)領(lǐng)域，您是可以打破的，而在哪些領(lǐng)域您可以增加價(jià)值

　　2 了解業(yè)務(wù)，并明確相關(guān)業(yè)務(wù)事項(xiàng)的優(yōu)先級(jí)順序。

　　3 嘗試與真正的管理人員進(jìn)行解釋和溝通。如果他們理解了，并對(duì)他們構(gòu)成了挑戰(zhàn)，那么您就不太可能被解雇了。