隨著國際上對于網(wǎng)絡(luò)安全的重視程度逐漸增加，CIO逐漸受到眾多企業(yè)的接受與認可。但是，他們雖然頂著“C”的頭銜，但在決策權(quán)上可能處于弱勢，且需要同時應(yīng)對來自外部的安全威脅以及來自內(nèi)部不同層面的壓力。這個職位問世多年以來，CISO的職場生存現(xiàn)狀如何？2019年他們最關(guān)注什么又最擔憂什么？他們將如何自我突破與成長？一些調(diào)查報告也許可以給出參考答案。

[[259225]]

一、 CISO的困境

確切來說，除了踏實的專業(yè)基礎(chǔ)與實踐外，CISO的工作主要是與人打交道，向領(lǐng)導(dǎo)匯報工作、爭取預(yù)算與資源；向下屬下達意見、統(tǒng)籌指揮；應(yīng)對威脅背后的黑客……這意味著，他們不僅技術(shù)能力要過關(guān)，還要會處理復(fù)雜的業(yè)務(wù)與人際關(guān)系?？梢哉f，現(xiàn)代的CISO就像外交官一樣，他們的斡旋與決策決定著整個團隊或企業(yè)的安全防御水平。而隨著網(wǎng)絡(luò)威脅不斷增加、網(wǎng)絡(luò)安全問題真正影響到企業(yè)業(yè)務(wù)，CISO面臨的壓力也逐漸增大。

1. 安全事件難以避免又無法預(yù)見，確保安全需要平衡多方資源

大部分CISO表示他們沒有足夠的資源來防范威脅、保護企業(yè)安全，其中最短缺的是人才。人手不足會導(dǎo)致安全效率降低。被調(diào)查者普遍反映網(wǎng)絡(luò)中存在約70%已經(jīng)發(fā)現(xiàn)的惡意軟件，潛伏時間未知；有些惡意軟件存在的時間可能超過一年。

近些年，人們逐漸達成共識，認為隨著數(shù)字化進程加快，遭受威脅的面積逐漸增多，安全事件的確難以避免，安全團隊也無法將防護做到滴水不漏。哪怕一行代碼出了問題就會引發(fā)大災(zāi)難。

超過60%的受訪CISO確認曾經(jīng)在公司的網(wǎng)絡(luò)或設(shè)備中發(fā)現(xiàn)了潛伏的惡意軟件；三分之一左右的受訪者表示對公司的安全狀況有清晰把握，且確認沒有惡意軟件潛伏；有將近9%的受訪者對此表示不確定，這個結(jié)果不禁讓人擔憂。

在發(fā)現(xiàn)惡意軟件的案例中，花費的平均時間為14天。其中有一小部分案例發(fā)現(xiàn)的周期超過三個月，甚至六個月。還有一位匿名者表示其團隊發(fā)現(xiàn)威脅時，惡意軟件已經(jīng)存在長達400天的時間，超過了一年。相比之下，調(diào)查結(jié)果顯示英國安全團隊應(yīng)急響應(yīng)的效率比美國安全團隊的效率低。他們發(fā)現(xiàn)威脅的平均周期大約是18天，比美國平均周期9.5天多出一倍。

這樣的結(jié)果背后有兩個主要誘因，首先就是網(wǎng)絡(luò)威脅無孔不入，整體防御方案無法盡善盡美。另一方面，CISO認為資源的短缺也是造成安全防護效率不高的原因。57%的受訪者表示所在企業(yè)的安全預(yù)算有限，63%的受訪者認為人員調(diào)配是一大難題。其中最重要的是，企業(yè)缺乏對安全團隊員工的有效管理。65%的受訪者都認為這一點至關(guān)重要也最為匱乏。

如果按照預(yù)算、人力、技術(shù)和高級管理這四個維度具體區(qū)分，CISO對企業(yè)技術(shù)配備情況滿意度較高，對于人力和高級管理的滿意度較低。

2. 董事會對于安全認知不清，高管團隊缺乏安全專家

調(diào)查顯示，僅有一小部分董事會成員對網(wǎng)絡(luò)有深入的了解。盡管CISO認為他們的工作很重要，但并沒有很多人認可CISO的戰(zhàn)略職能。 60％的CISO自信地認為董事會知曉泄露事件難以避免，但一旦此類事件發(fā)生，仍有三分之一的CISO會被解雇或受到處分。只有不到三分之一的人可以在CISO崗位上待滿三年。

大部分CISO都期待董事會中至少有一個懂安全技術(shù)的成員，這樣才能更好地開展業(yè)務(wù)。但是事實上，董事會中有安全專家的比例不到6%。還有30%的受訪CISO承認其團隊中連一個專家都沒有。導(dǎo)致CISO常常覺得自己的與其他組織或團隊脫節(jié)，也得不到合理的管理與指導(dǎo)。

52%的受訪者表示董事會認可安全團隊的價值，認為他們能保障利潤和品牌聲譽（美國的比例是44%；而英國的比例是60%）。

3. CISO很難讓生活與工作分開，且常年處于壓力之中

受訪的CISO都覺得自己壓力很大，91％的人表示他們承受著中等程度或嚴重壓力，60％的人表示很難抽離工作。受訪者中中有88％的CISO每周工作時間超過40小時。 四分之一的人認為這份工作對他們的身心健康以及個人和家庭關(guān)系產(chǎn)生了影響。 近17％的CISO正在用藥物或酒精來緩解工作壓力。

二、CISO的成就與挑戰(zhàn)

思科剛剛發(fā)布的《2019CISO基準研究報告》顯示，2018 — 2019年，CISO高度關(guān)注供應(yīng)商之間的聯(lián)合、與網(wǎng)絡(luò)和安全團隊之間的合作以及能夠提升組織整體安全防護水平并減少風(fēng)險的安全意識培訓(xùn)。此外，面對愈發(fā)復(fù)雜的安全環(huán)境，很多CISO都認為企業(yè)上云有助于更好地保護資產(chǎn)安全。

65%的受訪者認為檢測入侵、阻止入侵且緩解修復(fù)并非易事，用戶、數(shù)據(jù)、設(shè)備、APP等帶來的威脅無一不令人擔憂。為了應(yīng)對這些威脅，44%的受訪者會加大投資安全防護技術(shù)；39%的受訪者會針對原進行安全意識培訓(xùn)；39%的受訪者則青睞風(fēng)險緩解技術(shù)。調(diào)查結(jié)果顯示，超過一半的受訪者則通過各種手段成功將損失降低到50萬美元以下。當然，需要注意的是，還有8%的受訪者表示他們曾經(jīng)歷的安全風(fēng)險造成過超過500萬美元的損失。

這一年，CISO通過不斷的整合與培訓(xùn)以及技術(shù)投入，成功降低了安全風(fēng)險：

A. 從選擇單個安全產(chǎn)品轉(zhuǎn)向整合解決方案：2017年，使用10個或以下廠商安全產(chǎn)品的受訪者有54%，而本次的比例則達到了63%；當下環(huán)境中很多廠商的解決方案并未整合，在威脅預(yù)警等方面無法體現(xiàn)時效性。因此，哪怕只使用了較少的單個安全產(chǎn)品，也可以通過企業(yè)整體安全架構(gòu)進行合理的部署與整合，進而更好地管理安全預(yù)警與威脅情報；

B.  推進團隊間緊密合作，減少損失：95%的受訪者認為所在組織的安全團隊與技術(shù)團隊能高度且緊密地合作；這95%的受訪者中，又有59%的人表示其所在團隊因安全問題遭遇的損失在10萬美元以下，與他人相比損失最小。

C. 關(guān)注基于云的安全解決方案，云安全未來可期：93%的受訪者認為業(yè)務(wù)上云能提升效率；認為保護云設(shè)施存在困難的受訪者比例從55%降低到52%；

D. 購買網(wǎng)絡(luò)保險并推動風(fēng)險評估與風(fēng)險量表的普及，有助于選擇合適的技術(shù)，并協(xié)助CISO專注于安全運營實踐：40%的受訪者全面或部分采用了網(wǎng)絡(luò)保險，爭取合理預(yù)算；

E. “網(wǎng)絡(luò)信息疲勞”癥從46%下降到30%

但同時，他們?nèi)耘f面臨著大量挑戰(zhàn)。

A. 盡管合理地使用AI和機器學(xué)習(xí)技術(shù)有助于威脅預(yù)警。但實際落地過程依舊曲折。機器學(xué)習(xí)的使用率從77%降低到了67%；AI的使用率從74%降低到了66%；自動化技術(shù)的使用率從83%降低到了75%。這意味著，新技術(shù)在安全領(lǐng)域的實際應(yīng)用需要不斷的磨合并經(jīng)歷爭議。具體成效，有待檢驗；

B. 雇員/用戶已經(jīng)成為巨大的安全挑戰(zhàn)，安全意識培訓(xùn)必不可少。僅51%的受訪者表示在員工入職、轉(zhuǎn)崗或離職過程中有合理且完善的安全管理流程；

C. 郵件依舊是很大的攻擊向量，郵件安全不容忽視。釣魚與高風(fēng)險用戶行為是CISO最擔憂的安全問題，連續(xù)三年所占比例都在56%—57%之間；

D. 告警管理與處置對于很多企業(yè)而言依舊是挑戰(zhàn)。數(shù)據(jù)顯示，對于告警的有效處理從50.5%下降到42.7%?；ㄙM大量時間監(jiān)測用于評估安全效率的受訪者比例從61%降低到51%。而補救時間作為另一種評估標準，從30%上升到48%。

三、 CISO將如何自我突破

策略選擇

基于網(wǎng)絡(luò)保險和風(fēng)險評估、結(jié)合實用策略，衡量安全需求，并以此為參考，預(yù)估安全預(yù)算并指導(dǎo)采購、戰(zhàn)略和管理決策；

參考并采用經(jīng)過驗證技術(shù)或方法，降低被入侵的風(fēng)險。定期進行安全演練并提前部署一些安全產(chǎn)品，掌握有效的應(yīng)急響應(yīng)方法；

如果公司部門較多，推進IT部門、安全和風(fēng)險/合規(guī)小組等多部門之間的溝通協(xié)作，才能更好地理解業(yè)務(wù)的基本安全需求，制定更合適的安全策略；

將威脅檢測與訪問保護相結(jié)合，以應(yīng)對內(nèi)部威脅，踐行零信任原則；

通過網(wǎng)絡(luò)釣魚培訓(xùn)、多因素身份驗證、垃圾郵件過濾機制和DMARC等方式防范電子郵件泄露，解決頭號威脅。

緩解壓力

心理專家認為，CISO這群人壓力大的原因在于他們不僅要處理各種各樣的安全威脅、保護公司安全，還在于安全本身與業(yè)務(wù)、技術(shù)之間存在沖突進而帶來大量需要溝通、協(xié)調(diào)的問題。有時候，后者甚至比前者更讓人心累。不被理解、不被重視、福利待遇與付出不成正比等問題還會影響到CISO的創(chuàng)造力與生產(chǎn)力，帶來更多身心問題，造成惡性循環(huán)。

專家建議，要想緩解壓力，可以從以下三點做起：

1. 心態(tài)積極，合理利用網(wǎng)絡(luò)資源，尋找并使用合適的防護工具，提升效率；

2. 適當?shù)嘏c同事或家人傾訴壓力；還可以從其他多個渠道獲取支持；盡量不要保持沉默、憋在心里

3.酒精、暴飲暴食以及其他極端方式并非健康的解壓之道，也非長久之計可以嘗試通過體育鍛煉等方式，保持身心健康。

當然，除了CISO，其他安全從業(yè)者其實也面臨著不同的壓力。希望大家都能健康順利。畢竟，少了“你”，世界都會不安。