论文部分内容阅读
尽管年薪达到120 万美元,但做着商业领域最难的工作,首席信息安全官(CISO)们还是显得很可怜。
在上一代人的工作经历里,还几乎不存在这个岗位。但为了应对日渐增多的网络泄密,企业和政府都在雇佣高管,专门负责确保数据系统的安全。当安全事件发生时(发生得还挺频繁),负责这类工作的高管就会背负相应的责任。
拒绝胆小人的工作
“我们就像待宰的羔羊,”弗吉尼亚州阿灵顿镇(Arlington)的首席信息安全官大卫·乔丹(David Jordan)说。“我们都明白,如果发生重大泄密事故,自己的命运将会怎样。这份工作不是给胆小的人干的。”
首席信息安全官做的是商业世界里最难做的工作之一:他们必须比俄罗斯的犯罪天才和上海的黑客先行一步,逐项确认越来越长的合规清单,并且密切注意漏洞百出的卖家和鲁莽的员工,防止他们把敏感数据上传到 Dropbox 账户里,或者越了狱的 iPhone 上去。
首席信息安全官必须擅长于危机管理和公关,还得是了解最复杂技术的专家,尽管如此,他们也还需要下一番苦功才能明白,即便是最厉害的新式安全陷阱,也不是万无一失的。
他们还要面对不断发生的信息泄露事件—比如本月一个俄罗斯人因侵入美国零售商系统而被逮捕—这些事件都在不断地提醒他们的工作面临的风险。
“我们必须时刻都保持正确,”安全公司趋势科技(Trend Micro)首席信息安全官汤姆·凯勒曼说。他说,网络犯罪“必须被立即纠正”。
10 年前,没有哪个组织会存在现在人们所知的专职首席信息安全官(CISO)。而今天,根据调研公司 Ponemon Institute 去年进行的一项研究结果,超过一半的千人及以上规模的公司有全职或者兼职的信息安全高管。
许多公司,比如电子支付系统供应商惠尔丰(VeriFone)、饮料公司百富门(Brown-Forman)、北卡罗莱那大学和芝加哥大学,以及新创业的 Fitbit,都在寻找专职的信息安全官。去年经历了有史以来首次大规模信息泄露的 Neiman Marcus 也正在招聘它的第一个此类高管。
招聘人员说,这个职位现在非常重要,以至于各大公司给出的条件都很优厚。调查数据表明,他们都在用签约奖金,以及 18.8 万到 120 万美元的年薪诱惑着合适的人选,此外,他们还给予了其他好处,比如可以在家办公、悠长的假期、以及许诺会给更大的预算额度,来为漏洞百出的系统购买更多保护。
然而,这个工作还是看起来那么地吃力不讨好。许多参加 Ponemon Institute 调查的首席信息安全官都把自己的岗位难度系数评级为全公司最高。大多数人都说他们的工作不好,有的还说是他们做过的最差的工作。
当去年 Target 的信息被泄露时,它还没有全职首席信息安全官;到 6 月份它才招到了第一个。贝丝·雅各布斯(Beth Jacobs)兼职负责 Target 的数据保护,因为此事被迫辞职。公司总裁和董事会主席格雷格·斯坦恩哈斐尔(Gregg Steinhafel)也丢掉了饭碗。
搞清楚谁值得信赖
斯蒂芬·弗莱彻(Stephen Fletcher)负责犹他州的数据安全,两年前,他因为信息泄露而辞职,那次事件使得 78 万条医疗救助系统内的个人处方信息被泄露。1 月,雅虎的首席信息安全官贾斯汀·索曼尼(Justin Somaini)辞职,随后雅虎承认部分用户新修改的电邮账户遭到了泄露。这份工作的压力太大了,据 Ponemon Institute 的调查表明,工作两年之后,许多人都最终(主动或者被动地)离开了。与此形成对比的是首席执行官,根据其他调查结果,他们的平均供职时间通常稳定在 10 年左右。
在首席信息安全官要面对的所有难题中,最大难题之一就是搞清楚该信赖哪些安全产品。
“过去有句老话,‘没人因为买了IBM而被炒鱿鱼’,因为 IBM 值得信赖,”前嘉信理财集团(Charles Schwab)首席信息安全官安德鲁·卡斯佩森(Andrew Caspersen)说。“但信息安全公司里还没有谁能树立那么高的信誉。”
更何况许多信息安全官认为,杀毒软件这种传统的保护形式无法防御当下的威胁,有人说,更新的产品并没有变更好。他们还抱怨说,面对令人窒息的推销和对信息安全的恐惧,他们几乎不可能对信息安全产品进行评估。
3 月,独立研究机构 NSS Labs 的一份报告强调了这个问题。报告对比了各款信息泄露探测产品,发现以前一度受华尔街青睐的 FireEye 的产品,表现还不如思科的 Sourcefire、趋势科技,以及其他更便宜的产品(比如 General Dynamics 的 Fidelis 还有 Fortinet 的产品)。
这份报告马上引发了争议, 针对 NSS Labs 在报告中指出使用方法“有严重缺陷”,FireEye 则要求 NSS Labs 拿出证据来。报告还影响了 FireEye 的股价,自上市以来,它的股价已达到发行价的 3 倍,但报告一出,股价直线下跌。
但信息安全官们说,这次测试并没有告诉他们任何不知道的事情。他们说,对付信息泄露没有杀手锏,能做的只有部署最有效的技术、招聘最好的人,然后期待好运。
招聘的人说,前来应聘信息安全官的人都会很谨慎,不会坦诚地进行高难度谈话。在接受这份工作之前,一些应聘者想要明确一点:董事会赞同信息泄露是不可避免的,而且他们需要分配足够多的预算在保障安全的信息技术上。
“如果你知道自己将来要做出牺牲,那就需要足够的理由才能接受这份工作,”市场研究公司Forrester的安全分析师约翰·金德瓦格(John Kindervag)说。“人们并没有在意他们对这些可怜人做了什么。他们只是把所有这些复杂的东西往他们肩上一放,然后丢一句‘祝你好运!’”
为了应对这种焦虑,许多首席信息安全官说他们的办法是自我解嘲。有一个笑话在调研进行的一周时间里被提到过三次。它讲的是一个新任信息安全官碰到了他的前任。
前任交给他三个编了号的信封,告诉他到紧急的时候再打开。信息发生泄露了,新任安全官打开了第一个信封,里面写着“把责任推给前任”。信息又泄露了,他打开了第二个信封,里面建议说“把责任推给下属”。第三次泄露之后,这位安全官打开了第三个信封。
里面写着一句话:“准备三个信封”。
在上一代人的工作经历里,还几乎不存在这个岗位。但为了应对日渐增多的网络泄密,企业和政府都在雇佣高管,专门负责确保数据系统的安全。当安全事件发生时(发生得还挺频繁),负责这类工作的高管就会背负相应的责任。
拒绝胆小人的工作
“我们就像待宰的羔羊,”弗吉尼亚州阿灵顿镇(Arlington)的首席信息安全官大卫·乔丹(David Jordan)说。“我们都明白,如果发生重大泄密事故,自己的命运将会怎样。这份工作不是给胆小的人干的。”
首席信息安全官做的是商业世界里最难做的工作之一:他们必须比俄罗斯的犯罪天才和上海的黑客先行一步,逐项确认越来越长的合规清单,并且密切注意漏洞百出的卖家和鲁莽的员工,防止他们把敏感数据上传到 Dropbox 账户里,或者越了狱的 iPhone 上去。
首席信息安全官必须擅长于危机管理和公关,还得是了解最复杂技术的专家,尽管如此,他们也还需要下一番苦功才能明白,即便是最厉害的新式安全陷阱,也不是万无一失的。
他们还要面对不断发生的信息泄露事件—比如本月一个俄罗斯人因侵入美国零售商系统而被逮捕—这些事件都在不断地提醒他们的工作面临的风险。
“我们必须时刻都保持正确,”安全公司趋势科技(Trend Micro)首席信息安全官汤姆·凯勒曼说。他说,网络犯罪“必须被立即纠正”。
10 年前,没有哪个组织会存在现在人们所知的专职首席信息安全官(CISO)。而今天,根据调研公司 Ponemon Institute 去年进行的一项研究结果,超过一半的千人及以上规模的公司有全职或者兼职的信息安全高管。
许多公司,比如电子支付系统供应商惠尔丰(VeriFone)、饮料公司百富门(Brown-Forman)、北卡罗莱那大学和芝加哥大学,以及新创业的 Fitbit,都在寻找专职的信息安全官。去年经历了有史以来首次大规模信息泄露的 Neiman Marcus 也正在招聘它的第一个此类高管。
招聘人员说,这个职位现在非常重要,以至于各大公司给出的条件都很优厚。调查数据表明,他们都在用签约奖金,以及 18.8 万到 120 万美元的年薪诱惑着合适的人选,此外,他们还给予了其他好处,比如可以在家办公、悠长的假期、以及许诺会给更大的预算额度,来为漏洞百出的系统购买更多保护。
然而,这个工作还是看起来那么地吃力不讨好。许多参加 Ponemon Institute 调查的首席信息安全官都把自己的岗位难度系数评级为全公司最高。大多数人都说他们的工作不好,有的还说是他们做过的最差的工作。
当去年 Target 的信息被泄露时,它还没有全职首席信息安全官;到 6 月份它才招到了第一个。贝丝·雅各布斯(Beth Jacobs)兼职负责 Target 的数据保护,因为此事被迫辞职。公司总裁和董事会主席格雷格·斯坦恩哈斐尔(Gregg Steinhafel)也丢掉了饭碗。
搞清楚谁值得信赖
斯蒂芬·弗莱彻(Stephen Fletcher)负责犹他州的数据安全,两年前,他因为信息泄露而辞职,那次事件使得 78 万条医疗救助系统内的个人处方信息被泄露。1 月,雅虎的首席信息安全官贾斯汀·索曼尼(Justin Somaini)辞职,随后雅虎承认部分用户新修改的电邮账户遭到了泄露。这份工作的压力太大了,据 Ponemon Institute 的调查表明,工作两年之后,许多人都最终(主动或者被动地)离开了。与此形成对比的是首席执行官,根据其他调查结果,他们的平均供职时间通常稳定在 10 年左右。
在首席信息安全官要面对的所有难题中,最大难题之一就是搞清楚该信赖哪些安全产品。
“过去有句老话,‘没人因为买了IBM而被炒鱿鱼’,因为 IBM 值得信赖,”前嘉信理财集团(Charles Schwab)首席信息安全官安德鲁·卡斯佩森(Andrew Caspersen)说。“但信息安全公司里还没有谁能树立那么高的信誉。”
更何况许多信息安全官认为,杀毒软件这种传统的保护形式无法防御当下的威胁,有人说,更新的产品并没有变更好。他们还抱怨说,面对令人窒息的推销和对信息安全的恐惧,他们几乎不可能对信息安全产品进行评估。
3 月,独立研究机构 NSS Labs 的一份报告强调了这个问题。报告对比了各款信息泄露探测产品,发现以前一度受华尔街青睐的 FireEye 的产品,表现还不如思科的 Sourcefire、趋势科技,以及其他更便宜的产品(比如 General Dynamics 的 Fidelis 还有 Fortinet 的产品)。
这份报告马上引发了争议, 针对 NSS Labs 在报告中指出使用方法“有严重缺陷”,FireEye 则要求 NSS Labs 拿出证据来。报告还影响了 FireEye 的股价,自上市以来,它的股价已达到发行价的 3 倍,但报告一出,股价直线下跌。
但信息安全官们说,这次测试并没有告诉他们任何不知道的事情。他们说,对付信息泄露没有杀手锏,能做的只有部署最有效的技术、招聘最好的人,然后期待好运。
招聘的人说,前来应聘信息安全官的人都会很谨慎,不会坦诚地进行高难度谈话。在接受这份工作之前,一些应聘者想要明确一点:董事会赞同信息泄露是不可避免的,而且他们需要分配足够多的预算在保障安全的信息技术上。
“如果你知道自己将来要做出牺牲,那就需要足够的理由才能接受这份工作,”市场研究公司Forrester的安全分析师约翰·金德瓦格(John Kindervag)说。“人们并没有在意他们对这些可怜人做了什么。他们只是把所有这些复杂的东西往他们肩上一放,然后丢一句‘祝你好运!’”
为了应对这种焦虑,许多首席信息安全官说他们的办法是自我解嘲。有一个笑话在调研进行的一周时间里被提到过三次。它讲的是一个新任信息安全官碰到了他的前任。
前任交给他三个编了号的信封,告诉他到紧急的时候再打开。信息发生泄露了,新任安全官打开了第一个信封,里面写着“把责任推给前任”。信息又泄露了,他打开了第二个信封,里面建议说“把责任推给下属”。第三次泄露之后,这位安全官打开了第三个信封。
里面写着一句话:“准备三个信封”。