這篇"Burnout burden: why CISOs are at breaking point, what needs to change"是由Tim Grieveson所寫、2025年7月29日在Computer Weekly刊出的文章。以下分享一些要點。
根據研究,幾乎有三分之一的資安長說,壓力會對其績效產生負面影響,而資安長平均任期為兩年多一點(26個月)。除非有所轉變,不然不只在個人層次、整個安全生態體系,都會流失非常重要的領導人—我們仰賴他們過去數十年累積的經驗與能力,確保安全能促進業務。
更令人擔心的是在人才管道的問題。當我們將初階工作自動化越來越普遍,就要面對破壞培養下一代網路專家的基礎的可能。資淺的分析人員不只是員工而已,還訓練中的未來資安長。當他們為自動化所取代,而非提升技能時,代價就是犧牲明日的領導人。這個精疲力盡的循環還在持續。AI的創新是要加以重視的問題,但我們需要搞清楚,它能做什麼、哪些做不到。
今天,資安長的工作從遵守監管及第三方風險,到危機溝通、給客戶保證以及董事會教育都有。他們不只是要防範威脅,還要處理後果、保住聲譽、應對越來越高的期待、管理預算、解決技術債以及陳述與業務相關的事宜。在很多狀況下,他們也是企業「韌性」的門面。因此,資安長一詞是否仍符合其工作內容?如果責任遠超出原本的職權範圍,或許也要處理角色的演變。「韌性長」或許更接近現實,且顯示企業需要重視:安全是延續性、信任、長期穩定,而非只是工具或技術而已。
責任或許可以派任,但如果不同時給他們權力,那就不是領導,而是有責無權。這就是2025年很多資安長認為自己所處的狀況。他們要負責保護組織不落入既有的風險裡,還要在非獨立、監督或挑戰方向的IT領導結構進行報告。當資安長向資訊長報告,通常會有利益衝突:負責確保基礎設施安全的資安長,要向負責要貢獻和優化的人報告。資訊長(不管是刻意或無意)可能優先重視的是功能、可用性以及績效,而資安長或許會拖慢進展,以修復漏洞、強化系統或者延後有風險的部署。
這不是自我衝突,而是治理問題。報告線會塑造—如何優先重視風險、如何配置預算,以及當資安長報告時多坦誠。若安全是董事會層級問題,那資安長就應該向董事會報告,至少對審計委員會,而不是在營運層級就被過濾掉了。
這也有廣泛的文化影響。當資安長被視為IT的下屬時,其訊息就被視為是技術的,而非策略和營運的。若組織想要安全主管以業務推動者、危機掌握者身份行事,就需要停止這種綁住手腳結構,而是讓他們能在危機、成長或重大改變時領導企業。建立一個讓他們成功、而非扯後腿的系統,會確保未來的領導人留在公司或整個產業裡。最重要的是,他們要在一個受支持、被重視的地方維持良好的心理健康。
沒有留言:
張貼留言