CISO跳槽频繁为哪般

当好首席信息安全官（CISO）并不容易，时常要周旋于业务、技术和监管合规要求之间，规范员工行为，处理恶意攻击等。或许你能一时风头无两，制定世界一流的网络安全计划，遵循业界最佳实践，为企业提供卓越的防御。但武功再高，也怕菜刀，某个员工要是点了恶意网页链接、共享了密码，或者错误配置了某项资产，攻击者就能踩着你的名誉大摆庆功宴了。

没错，CISO职责重大。那他们挑此重担的表现如何呢？根据企业战略集团（ESG）和美国信息系统安全协会（ISSA）的调查研究结果，CISO的表现不是太好。数据显示，57%的受访网络安全专业人员认为其公司的CISO只是有点用、不是很有用，或者根本没用。

CISO的表现取决于所处环境

调研报告的字里行间透露出，CISO表现平平通常与所处情境有关，于是我们就看到了如此之高的CISO离职率。解读ESG/ISSA的调研报告，我们可以进一步挖掘CISO表现不佳和人才出走的深层次原因。被问及为什么CISO倾向于每两到四年就换工作时，安全专业人员的回答如下：

· 33%的受访者认为，CISO会在别家企业提供更高薪酬时考虑换个工作。很多情况下就是钱给得到不到位的事儿，与工作表现和工作满意度无关。CISO换个老板就能涨薪40%以上，何乐而不为呢？所以，首席执行官（CEO）、董事会和人力资源（HR）主管务必谨记，强力CISO是最诱人的猎物。而诱人的猎物总不乏追求者，高管们必须紧盯招聘市场，不断评估该如何让成功的CISO满意，进而留住他。

· 31%的受访者认为，如果目前所属企业的文化不重视网络安全，CISO会考虑跳槽。很明显，CISO的工作表现与网络安全文化高度相关。如果企业缺乏网络安全文化，员工就会肆意操作，安全在生产部署时才贴到应用程序上，而安全团队将化身救火队总在四处扑火，这可不是什么健康的工作环境。CISO或许可以影响企业文化，但CEO（和HR）必须推动文化转变。如果CEO和HR对此毫无动作，CISO就做不好自己的工作，转而另寻出路。

· 29%的受访者认为，拿不到与企业规模相称的网络安全预算时，CISO会想跳槽。钱财买不来真爱，但只要花得明智，还是能助推网络安全防护的。别误会，CISO当然可以，也应该管理和充分利用这项开销，但他们能做的有限。如果安全计划长期资金短缺，那就表明沟通存在不足（即CISO没能充分解释自己需要什么，也没讲清楚为什么需要），或者更大的可能是观念上存在差距（即CEO和董事会不认为自家企业是攻击目标）。无论如何，CISO巧妇难为无米之炊，自然倾向于寻找在预算和环境方面更加“水草丰茂”的牧场。

· 27%的受访者认为，如果不能积极参与高级管理层和董事会，CISO就会换工作。其中蕴含着一种典型的情况。高管层和董事会如果没纳入CISO，业务决策就会避开网络风险管理或威胁建模之类的事情。CISO被视为大反派，无法充分保护业务，而网络安全团队也处在总是在四处救火的状态。拿着这种“反派必须输”的剧本，CISO想换下家无可厚非。

· 25%的受访者认为，看到所属企业将网络安全视为监管合规，CISO也会想跳槽。醒醒，现在已经不是2006年了。大多数企业已经了解良好网络安全与照单打钩式合规之间的差别。可惜，有些反应慢的还没醒悟过来。观念没跟上形势是潜在的职业杀手，所以聪明的CISO会迅速逃离以合规为中心的公司。

CISO求职警兆

显而易见，CISO的业绩和任期与所属企业的高管层决策高度相关。猎头、HR经理和高管当然会在面试过程中给CISO许下美好前景，但经验老道的安全主管入职几周就能看出自己有没有成功的机会。届时，疑虑过后往往就伴随着更新简历和规划职业发展了。

求职过程中，CISO还应该注意几个示警信号。如果公司在过去五年里换了几个CISO，那可能是因为这几位前任在别的地方寻到了更高的薪酬。又或者，文化、预算和管理方面的阻碍导致公司成了CISO“无人区”。货物出门概不退换，买者自行小心。