近年不同的報導、評論都看到,縱使大環境注意到要強化資訊安全,但資安長一直存在身心俱疲、資源不足的問題,甚出現大離職潮的問題。這些問題具體出現在哪個面向?這一篇“The great CISO resignation: Why security leaders are quitting in droves“,描述了這個現象。
俗稱的資安長大離職潮令人憂慮,專家警告,要是沒人守門或集結部隊怎麼辦?
最近BlackFog 的研究顯示,美國與英國的資安長或IT安全領導人有32%考慮離開現在的組織。資安長任期平均為2年2個月。
最主要原因就是資安長不滿:缺乏工作與生活的平衡,而且花太多時間在「救火」,而非關注於策略議題。許多正奮力跟上新架構與模型(比如multi-factor authentication 和 zero trust),有些則說要讓他們團隊的技能升級「是一大挑戰」。
普遍缺乏資格充足的團隊人員。在過去八年間,資安職位的缺額成長350%,從2013年的100萬個成長到2021年的350萬個。這個數字預期會持續到2025年。組織受到越來越多攻擊,但員工資歷越來越淺,脆弱之處只會增加—不到十分之一的組織有做好準備面對專業網路罪犯的攻擊。
資安長就是在這些限制中工作的,而且面對「過度的期待」。而且同一時間內,組織還在縮減網路安全預算,讓安全領導人能用的資源更少。
資安長要找到更佳的平衡是不可能的,因為這個角色是24/7的性質,在面對burnout時絕對須要維持韌性。
資安長還有另外一個挫折,就是缺乏合作,但高層對他們的期待要做得更多、更快,不過缺乏授權作改變及挑戰,以影響管理階層看待最主要的挑戰和需求。
這就是缺乏授權落實整個公司的最佳實務,而且最高層對某些問題視而不見。
為了使資安長滿意,專家建議高階經理人要強化與他們之間的關係,瞭解到企業、整個資安界所面對到的挑戰。持續地發展技能也很重要(對資安長及其團隊都是),而評估報告結構也是。不過關鍵是:還是要最高層的領導。因為整個組織並不會向資安長報告,他們的授權必須來自於執行長及其他長字輩主管,他們提出問題、並對如何前進做出決定。最終的責任,是止於執行長,而非資安長。
沒有留言:
張貼留言