首席安全官
首席安全官(CSO)负责整个机构的安全运行状态,既包括物理安全又包括数字信息安全。CSO负责监控、协调公司内部的安全工作,包括信息技术、人力资源、通信、合规性、设备管理以及其他组织,CSO还要负责制订安全措施和安全标准。CSO需要经常举办或参加相关领域的活动,如参与跟业务连续性、损失预防、诈骗预防和保护隐私等相关议题的活动。
1、基本概述
首席安全官
首席信息安全官即CISO,负责整个机构的安全策略。首席信息安全官需要经常要向CIO(首席信息官)汇报,有时甚至直接向CEO(首席执行官)进行汇报。
然而在现实生活中,首席安全官和首席信息安全官的角色经常是交互的。
2、产生
因为各种因素促使各种安全问题纠集在一起,需要由一个单独组织进行统一保护,从业产生了CSO这个角色。因素包括一下几种:
在战术层面上,技术要素正在被注入到物理安全工具中,并且这些工具不断被数据库技术和网络技术所驱动。
在战略层面上,CEO和公司董事会根据一些法规,如萨班斯﹒奥克斯利法案,从企业高度对风险进行控制。
在实际操作层面上,CSO统一管理安全问题,可以显著降低运营成本。
3、工作职能
安全策略通常需要根据企业的不同需求而有所改变,尽管不同的企业需要不同的安全策略,不过安全策略通常都必须包括以下职能:
1、对安全机构和服务提供商进行监控,由服务提供商负责保护企业资产、知识产权和计算机系统安全。
2、确定保护目标和保护制度与公司的战略计划保持一致。
3、制订及执行区域以及全球的安全政策、安全标准、指导方针和执行程序,以保证持续解决安全问题。信息保护职责包括:网络安全结构、网络访问和政策监控以及员工培训等等。
4、像调查安全缺口那样全面监控事件响应计划,如有必要必须帮助安全缺口部门完善培训计划和法律方面的事宜。
5、像独立安全审计顾问那样,与外部安全顾问一起工作。
6、制订全面的风险管理策略,并确保策略的执行。了解当前以及未来可能存在的风险,并且在必要时根据风险和威胁的变化及时调整策略。
7、全面监控产品的内部使用,并且确保工程小组与操作小组保持沟通,在产品出现问题时以便及时发现并解决问题。
8、进一步完善灾难恢复/业务连续性策略,通过每一个业务单元的共同努力,确保我们拥有一个整合性良好的计划和策略。
9、物理安全责任应该包括资产保护、工作场所危险防护、访问控制系统以及视频监控措施等。
4、工作职责
首席安全官的工作职责主要有:
1、从提高受众意识水平和了解受众想法入手,提高企业在区域及全球的安全状况视。
2、把提供安全作为一种资源和检查手段,不要因此而影响到企业的正常运转。
3、起动能够对整体的企业产生巨大影响的关键项目。
4、通过考虑企业的优先等级、资产和GAP分析,确定企业整体风险和安全计划的范围。
5、避免安全问题成为阻碍企业内部生产力发展的瓶颈。
CSO要避免犯以下的错误:
1、认为安全问题仅仅是技术问题
2、试图将宏观问题与微观问题作对比
3、猜测用户对安全问题感兴趣
4、猜测用户对安全问题很了解
5、任职资格
首席安全官
他必须是个理智、擅长表达、有说服能力的领导者,作为公司高层管理团队的有效成员,能胜任这一职位。能够就安全相关的概念进行广泛的交流和沟通,包括与技术和非技术各类人员。
具备商业计划、账目检查及风险管理的工作经验,还包括合同及商务谈判。
具备一定的法律背景,充分理解信息技术和信息安全,包括防火墙、VPNs、入侵监测以及其他安全设备。
基本素质
管理能力。CSO要设计安全机制,制订安全规则,要和公司的管理层沟通,为什么需要这样的安全方案,他的管理能力要让他决定的事能做到。
安全机制包括防火墙、IDS、IPS如何部署等问题。针对网络上的漏洞、黑客攻击的手段,CSO要制订安全规则,使公司的各部门主管了解到需要做什么事情,并定期检查,对各部门的安全进行评估。
比如银行的在线交易业务,该业务的价格和新闻信息来自于别家的公司,银行要及时地拿到这样的信息,就需要连接到许多不同的第三方公司。同时,银行也要把交易平台公开对外,让用户登录进来,看价格,买卖股票。这样的业务很复杂,牵扯到对外、第三方和内部的重要资料,需要考虑的安全问题很多。
从第三方得到新闻,只能让对方传送新闻进来,不能有银行的内部资料让第三方得到,控制是单方面的,中间不能有差错。如果让黑客混进来,登了一个假新闻,市场就会受到严重影响。保证第三方的资料没有被改过,保证第三方的传送没有被中断,不只是技术上的问题。如果单纯从技术上考虑安全,那往往是不安全的。
对外,就牵扯到怎么控制用户,这需要制订一些规则。比如一个用户打错三次密码,就不能登录了,需要通过其它方式的认证才可以重新登录。这些规则不只是对外的,也是对内的。当用户进来后,是不是要有IPS和防火墙来防黑客,网络服务器是不是需要备份等都需要考虑。
对于银行的数据库,管理人员是不可以看到用户个人资料的,他只能管理数据库。数据库和网络服务器中间是不是需要加一些安全机制,怎么样去做认证保证用户资料的安全等,制订这些规则其实是很难的。
CSO还要懂技术。当然,技术上的要求并不是很强,但CSO必须知道目前新的漏洞、新的攻击是什么,用什么方式可以去防护,怎么样达到安全的要求。
比如一个企业要购买防火墙,CSO不仅要知道为什么要装防火墙,而且要知道怎么装,如何把网络服务器、邮件服务器集中在一个区域并与内部区域分开,以确保公司的内部区域受到保护。
现在开始流行IPS了,CSO就要知道怎么用IPS,放在什么部位,哪几个网络是非常重要的,不能让黑客进去,这些都是技术上必须要知道的。
CSO要有全面性的知识,要了解公司的运作,要具备法律上的知识。
比如银行的CSO,银行每个部门的安全需求都不一样,CSO必须要有很好的知识去了解。知识不是光指技术,他要了解具体部门是如何运作的,并用他的技术能力保证各部门的安全。CSO还要有法律上的知识,银行的每个部门牵扯到的法律也不一样,所以他也需要这样的知识。
6、成功要素
1、得到经理们的支持。
2、与人力资源部门和法律部门合作。与这两个部门的保持良好关系是安全工作取得成功不可缺少的要素,尤其在跨国公司中。
3、发展与用户的良好关系。当最终用户拒绝遵守IT网络安全计划时,计划将变成一纸空文。
4、了解自己拥有什么。资产目录是绝对需要的,它应当包括一张显示PC、服务器、交换机和路由器位置的网络图以及硬件清单。
5、拥有合适的工具。小型办公室的安全官可以手工完成任务。而跨国公司的安全官则完全依赖于工具进行安全漏洞扫描等基本活动。
6、审查和更新企业安全政策。安全官必须了解企业有关安全性和补救程序等关键问题的政策。变更管理和跟踪日志必不可少。
7、采用强认证。当系统以高度的确定性掌握网络上每个人的身份时,就可以管理他们的访问,阻挡不认识的个人,甚至阻挡那些从公司内部登录到网络上的人。
7、发展前景
首席安全官
IT招聘公司RobertHalfTechnology上月公布的《2016技术薪酬调查》显示,*首席安全官目前有望获得近25万美元的底薪。更具体来说,未来的一年,首席安全官(CSO)的薪酬范围是14.025万美元到22.250万美元之间。这代表着平均7.0%的涨幅,是整个薪酬调查中第4高的。只有无线网络工程师(9.7%)、大数据工程师(7.5%)、和数据安全分析师(7.1%)的薪酬涨幅排在它前面。
CSO薪酬增长在2016年将比其他IT高管要高得多。RobertHalf的研究中,IT高管们的薪酬增长率分别是:首席信息官(CIO)4.9%;首席技术官(CTO)5.2%;IT副总裁5.1%;技术主管5.1%;IT经理4.9%。
你处在CSO薪酬范围的哪个位置取决于公司的地点和所处产业。但是还有一些更直接可控的因素将帮助决定你能拿到手的薪水到底有多少。想拿到顶薪的CSO们最好了解他们的行业,尽最大的努力捍卫自己所得。
RobertHalfTechnology高级执行总监约翰·里德就CSO职业市场测试发表言论称:“雇主寻求的是确立IT安全规程和解决方案的实绩。他们选择的是能给出之前工作中切实案例的求职者。”
“有着深厚行业知识的求职者也是他们所寻求的。比如说,在金融和医疗保健产业,招聘经理就会瞩目那些有着这方面专门经验的专业人士以保证他们能快速适应并理解该产业的细微差别。”
数据泄露处理经验回报大
确认CSO薪酬快速上涨率的是芝加哥技术招聘公司InstantAlliance的首席执行官罗娜·博雷。
博雷说:“大多数首席信息安全官(CISO)的工资在17.5万到22.5万美元之间,附带25%的奖金可能,以及不低的股权薪酬(价值2.5~7.5万美元);更大的客户(财富百强)和主要金融公司还能支付到30万美元。”
能大幅增长CSO收入潜力的,是他们的安全事件处理经验。
博雷说:“我的招聘人员通常围着有高风险数据和系统的大公司的CISO转(例如:医疗保健、电子商务、金融、HIPAA/PCA法案合规数据),那些曾经处理过数据泄露事件或是受命从数据泄露事件中恢复的CISO们也是我招聘人员的目光所在。”
“理想的CISO已经接触过安全的方方面面,不仅仅是应用安全或基础设施安全。”博雷补充道,“对新进应聘者而言,有机会引进最佳实践、打造团队、从重大安全问题中恢复是很有吸引力的。”
其他还有什么可以帮助CSO获得*薪酬的呢?华盛顿特区伊克塞尔希尔学院国家网络安全研究所首席运营官简·勒克莱尔博士在该机构最近的一份针对CEO的调查报告中列出了如下*CSO招聘里最期待的能力(百分比为提及此项能力的受访者人数占总受访人数的比例):
IT安全知识:77%
商业知识:77%
沟通技巧:67%
领导能力:64%
行业知识:43%
管理技能:39%
人际交往能力:33%
简单的供需问题
给CSO薪酬带来压力的还有简单的供需问题,聪明的CSO知道他们占据了有利地位。
里德证实道:“具备行业相关知识的人才是短缺的,因而雇主们愿意提供极具竞争力的薪酬和福利大礼包来招募并留住此类专业人才。”
CSO职位应聘者很有可能同时考虑着多个就职机会。博雷说:“随着安全成为热点问题,安全相关技术和知识便成了相当受欢迎的技能集,CSO们知道他们可以利用这一机会来增加他们的总收入。”
别期望情况会很快有所改变
“安全计划的成长一直是过去几年来科技领域的主要驱动因素。”里德说,“这包括了所有层级角色的薪酬增长,高管们也算在内——今年7%的薪酬增长揭示了他们在公司里的重要性。除了跟上新兴技术潮流,用强有力的领导带领安全团队保护公司免遭威胁侵害对公司企业而言至关重要。”
不过,好消息不仅仅局限于CSO层级。IT安全领域见者有份。作为一个整体,IT安全职位在2016年将迎来最高的工资涨幅。
如前文所述,薪酬涨幅领头羊是数据安全分析师,涨幅7.1%,薪酬在11.350万~16.000万美元之间。紧随其后的是网络安全工程师,涨幅6.7%,薪酬范围11.025万~15.275万美元之间。然后是信息系统安全经理,涨幅6.2%,薪酬范围12.975万~18.200万美元之间。
“安全将依然是招聘的主要驱动力,因为安全继续保持在公司领袖们的思维最前线。”里德总结道,“随着公司企业越来越注重保护内部和客户数据,对能够实现并维护这些安全项目和计划的专业人才的需求将会持续。”
推荐阅读