資安長對工作的不滿與筋疲力盡,相關報導或觀察越來越多。看來外界也越來越瞭解這個職位。這篇"The rise in CISO job dissatisfaction – what’s wrong and how can it be fixed?"是Mary Pratt所撰寫的、2024年4月24日在CSO網站刊出,大致也有彙整這些不滿的原因與現象,尤其是在組織內與最高層互動的,以下分享一些要點。
今日有越來越多資安長比過去不滿,相關研究顯示,75%的資安長想要換工作。
研究者、顧問與資安長自己都點出了一系列不滿的原因,從缺乏高階經理人支持,到最近安全法規升高使得責任增加(比如美國SEC最近實施的法規)。
最近一些安全事故,資安長因資料外洩之處置及報導而負擔法律責任,使得這個現象更雪上加霜,特別是Uber的執行長Joe Sullivan,他因2016年未報導資料外洩、妨礙司法等罪判處3年緩刑。
IANS Research與Artico Search的The State of the CISO 2023-2024 Report發現:資安長工作滿意度為64%,較2022年的74%、2021年69%低。想換工作的資安長比例高達75%。安全軟體公司Proofpoint的The 2023 Voice of the CISO report也發現一些糟糕的數字:73%的美國資安長在前一年經歷過精疲力盡。
同時,安全軟體製造商Devo Technology委託Wakefield Research的Cybersecurity Burnout Survey: Quick Read Report發現,其所調查的安全專家裡有83%說,他們、或其部門裡的同仁有因精疲力盡而造成安全漏洞的人為錯誤。有77%說,他們的工作壓力已直接影響到客戶資料安全之保密。85%承認,他們未來一年一定會因精疲力盡而換職位、換公司,或兩者都換。
根據Cybersecurity Ventures的CISO Workforce and Headcount 2023 Report,專家說,以上問題都會造成資安長流失。資安長平均任期才18至26個月(遠低於一般長字輩主管任期的4.9年)。
此外,研究公司Gartner估計,近半的安全主管會在2025年以前換職位,25%會因工作相關壓力,轉到完全不一樣的工作上。
人們很容易把安全工作的壓力歸咎於數字,特別是當基礎設施和資料所需的保護擴張時,威脅的量與速度也在增加。
但是Gartner的副總裁及分析師Chris Mixter說,這過度簡化了。資安長常指出,組織問題才是他們不滿的關鍵原因。
其中一個問題就是,資安長要爭取在組織裡的地位。很多都在爭取要在高階管理層或董事會上有席位,他們說,他們沒有平等地位可參與策略決定,也沒有董事會與最高階經理人對他們的能見度與溝通。
結果就是,許多資安長說,他們與高階經理人並不一致,而且也不接納他們的安全措施、風險管理措施,並給予其所需措施的資金。這就造成了資安長被拉往多個方向,而無法充分優先重視需要他們花時間與資源的事宜。
ISSQUARED(提供管理IT與安全服務以及軟體產品)的資安長Nikolay Chernavsky說,「不滿的原因就是缺乏高階經理人的支持。」他說,他聽到資安長挫折的聲音:因為他們需要的安全措施及可接受的風險被忽視、董事會與執行長不決定他們在這些問題上的立場,或這些領導人不認可資安長在降低風險上的工作—特別是資安長要面對更多責任。
IANS Research報告表示,僅36%的資安長說,董事會有清楚指示他們的風險容忍度。
今日除了這些問題以外,資安長現在面對的問題還有美國SEC的網路揭露法規、以及其他監理與法律要求。這些增加的責任伴隨而來的事實是:很多資安長並未受到董事與主管(D&O)責任險的保護。因為許多公司不認為資安長是公司主管,儘管,他們的頭銜中有“officer” 。
IANS Research的資深研究總監Nick Kakolowski說,「核心問題是資安長覺得不受組織支持,特別是有意義的支持。資安長感覺像在孤島上工作。出錯時,他們會成為代罪羔羊。」
安全主管說,執行長、董事與其他長字輩主管若要留住資安長、確保應有的安全局勢,需要聆聽資訊再行調整。
Shevelyov說,這些調整必須縮短:在資安長現有的高度責任,以及許多組織裡他們權責不足兩者之間落差。落差縮短了,就會協助讓資安長在高階管理層有職位,以及讓各利害關係人都能參與安全議題。
Shevelyov與其他人表示,這會協助確保資安長提供的資訊,能準確地向執行長和董事會報告,而有多個消息來源表示,對於改善資安長如何看到自己的職位、以及其職位的有效性,是最重要的。
Mixter說,「有效能的資安長需要直接向董事會報告。」他還解釋說,直接的報告線會讓資安長與董事會瞭解風險、安全要求及達成共同目標所需的資源,並彼此協調一致。
Kakolowski同意說,「我們看到,當資安長定期向董事會報告時,董事會更重視安全、並給予資安長更多支持。」
National Cybersecurity Center的網路委員會召集人、也是NCC 2023年報告The Great CISO Resignation的共同作者Rick Crandall說,資安長可以、也應該倡議具體的實務作法,包括讓他們加入D&O保險政策。
Crandall說NCC也相信,資安長應該要能直接向董事會報告,包括至少一年一次對董事會(或其委員會)召開定期經理人會議。其中要有其他高階經理人參加,尤其是財務長,因為這個主管是董事會中最需要公開、坦誠討論的。
Crandall補充說,「資安長應該要有機會提出問題,並沒有任何採排下就直接回答。」
Crandall說,此外,資安長應該要有專款的安全預算,不與其他部門(比如IT)混在一起,這會有助於責任與授權。
Mixter也建議資安長「要重視自己的時間」,亦即優先重視他們注意力的需求、與組織內其他人之間關係。Mixter指出,「現在每個人都要資安長參加會議,但資安長不可能每件事都做,也不是每個關係對他們而言都是重要的。」
他進一步建議資安長制定繼任計畫。他解釋說,這會讓資安長發展所需的後備人才,藉此有信心派任更關鍵的工作。繼而這會協助資安長更有效率、更有效能,通常,這會提高他們對其職位的滿意度。
PwC的網路風險和監理實務負責人Joe Nocera說,「我們訪問過的資安長提到了這個職位的壓力、責任都升高,以及他們個人法律責任有什麼樣的重大轉變。比起五年、十年前,今天的資安長負擔了多了不少的責任。雖然我看到越來越多資安長有參加重要會議,但還是有一些資安長坐在冷板凳上。」
沒有留言:
張貼留言