把安全的棒子交出去：資安長的繼任計畫-2025/10/27

這一篇Carrie Pallardy所寫、在2023年12月5日刊載於InformationWeek的"Passing the Security Baton: CISO Succession Planning"，十分有趣，是針對資安長的「繼任計畫」，而不是董事會或全體管理階層的。其中提到的一些問題，比如資安長離開組織、資安長離職、資安長精疲力盡，以前我們也分享過。

https://worldofcg2023.blogspot.com/2023/11/b112-3-20231104.html

https://worldofcg2023.blogspot.com/2023/06/20230607.html

https://worldofcg2023.blogspot.com/2023/06/20230608.html

https://worldofcg2023.blogspot.com/2023/07/20230723.html

這樣接續探討，我們的圖像會更完整。以下分享一些要點。

資安長平均任期，比起其他高階主管相對較短。根據The Enterprisers Project，資安長平均只做了18個月。Gartner預估，到2025年以前，會有將近一半的資安長離開。

為合資安長離職速度這麼快？當然，答案依各人、各組織而異，但像預算有限、持續威脅、成功的網路攻擊以及變化中的規範這些挑戰，都造成了很大的壓力。

數位科技服務供應商Blue Mantis的資安長與資訊長Jay Pasteris告訴InformationWeek：「資安長精疲力盡的比例很高，離職頻繁。新規範將會使這個現象加速，因為對資安長將會有更多的要求、暴露於更多的風險中。」

組織怎麼為資安長可能的離職做準備呢？

繼任計畫對所有長字輩主管都很重要，但是對許多組織而言，這還很新穎。南卡羅萊納大學Darla Moore商學院的經理人接班中心主任Anthony Nyberg說，「就算在大組織裡，這件事通常也沒有做到。」

一般來說長字輩主管離任前一段時間先預告，但資安長未必。網路安全平台AgileBlue的資安長Lee Buttke說，「幾個月前，我一位客戶的資安長離職...他在離職前幾天才說。」

盡早開始繼任計畫，會讓組織有更多餘裕準備資安長的離職，並找到可能的接班者。經理人搜尋機構Kingsley Gate的資深合夥人Glenn de Gruy說，「我認為新資安長不應該等一年才能上手...3至6個月就應該要上手。」

在有繼任計畫下，組織可將高階主管離任不可避免的衝擊降到最低。Pasteris說，「若資安長決定離開、位子空缺出來，那你就要有強大的過渡計畫可執行。」

De Gruy建議，領導要在與未來資安長面試時就提出繼任計畫的議題。「這樣你可以更瞭解候選人。他們在流程一開始，如何以開放心態接納這件事？」

隨時間演進，持續促進資安長、其他長字輩主管及董事會之間建立強大的關係，會讓繼任計畫更為容易。

「建立這類以信任、信心為基礎的關係，以及與其他高階領導團隊成員和董事會有成熟的關係...會有助於流程更為有效，以及更有生產力。」de Gruy說。

資安長理想上要兼具科技與經營的技能。網路安全是科技領域，但資安長要負責將科技資訊轉譯給其他長字輩主管和董事會。Pasteris說，「他們真的需要瞭解企業是如何運作的，他們真的需要從營運及財務角度看曝險所指為何。」

Nyberg指出，能完美扮演好這個角色的人非常稀少。但繼任計畫團隊可找出有潛能的候選人，並注意為他們做好準備。

Korn Ferry的科技主管Egol指出，某些組織忽略了對資安長向下一至兩階的領導人進行投資，比如副資安長。組織可對更低階的員工發展清楚的職業路徑，作為資安長繼任計畫的一部份。Egol說，「你也可透過在安全計畫內發展自己培育的人才，來提高忠誠度。」

在資安長離任前兩至三個月通知，可協助接班更為順暢，但並非所有企業都有這麼充裕的時間。但若前後任資安長能一起工作一段時間，會是很寶貴的。

Buttke說，「如果可以，讓前後任資安長在過渡期內共事一段時間，...」

在這段期間內，離任的執行長可與接班人緊密合作，讓他們瞭解角色的責任。對新的安全領導人而言，以做安全決定為主要責任而與董事會打交道，或許會讓他們感覺尷尬。

Nyberg說，「組織可以做的是，讓新資安長多接觸相關事宜...讓他們要真正上場前先讓熟悉會發生什麼事。」

就算是最佳的繼任計畫，也不能保證一切順遂。資安長人才的需求，以及對這個角色本身的壓力，都可導致資安長、甚至選來接任他們的人離職。

Egol提醒，「要注意現任資安長的時間表，以及誰來接班、在市場現實上會怎麼運作。」

資安長任期相對短，以及快速變化的安全局勢，意味繼任計畫可不是靜態的。領導團隊需要定期評估其人才庫，以及他們確保資安長有人擔當的計畫。在亟需資安長人才的市場裡，什麼樣的薪酬包裹會有吸引力？公司具備重視與支持網路安全的文化嗎？

另外，透明也是文化的重要部分，它可在繼任計畫上給予企業領導人一些幫助。

資料來源：https://www.informationweek.com/it-leadership/passing-the-security-baton-ciso-succession-planning-