曾幾何時，這份工作的內(nèi)容僅僅只是需要把工作重點集中在固定的防火墻建設(shè)和修補安全漏洞方面的技術(shù)性的工作。但到了今天，企業(yè)的安全主管們不僅需要做到這一點，還需要處理更多的工作內(nèi)容。他們不僅需要負(fù)責(zé)管理自己的安全團隊的日常運作以滿足企業(yè)董事會的預(yù)期，同時還需對當(dāng)前這樣一個不斷發(fā)展的企業(yè)安全威脅環(huán)境進(jìn)行掌握，并定期對安全形勢的變化進(jìn)行監(jiān)管。

　　這樣一來，企業(yè)組織的首席信息安全官們的工作無疑成為了一杯誘人的毒酒：其工作是高薪的;并日益受到所有各種背景人的尊重(感謝廣為人知的信息安全技能型人才的緊缺);同時平均工作經(jīng)驗要求可以持續(xù)在18個月以下的水平。但一名CISO也可能因一系列各種不同的原因而被企業(yè)組織開除解聘：其中包括了發(fā)生安全違規(guī)行為;或遺漏了對安全漏洞的修補;未能使得企業(yè)的安全運營達(dá)到企業(yè)董事會高層的業(yè)務(wù)預(yù)期目標(biāo)。

　　InfoSec公司的一名前負(fù)責(zé)人在談到企業(yè)組織的安全負(fù)責(zé)人在當(dāng)前的工作中所面臨的不斷增加的各種挑戰(zhàn)時，甚至用到了艱難生存這一詞眼。

　　“企業(yè)組織的首席信息安全官們有著非常艱難的工作，他們需要為自己根本無法提供百分百保障確認(rèn)的事情負(fù)責(zé)，即保護企業(yè)安全。而僅僅只需要一個未被發(fā)現(xiàn)或未及時修補的安全漏洞;一個來自企業(yè)內(nèi)部或一個偶然意外的“不安全”進(jìn)程，就可能葬送掉他們的全部工作努力。

　　“當(dāng)他們能夠完全理解這一點，并能妥善正確地管理相關(guān)的期望時，他們對于企業(yè)的價值將是非常寶貴的。但問題就在于，這不僅需要對于如何管理短期和長期項目有著完全正確的理解，需要對于企業(yè)規(guī)模和項目預(yù)算的掌握和管理，而且需要對技術(shù)知識和安全方面有充分的了解，以確保按照正確的優(yōu)先級次序，來使得相關(guān)的事項得到解決。

　　“這一職位角色幾乎可以說是需要具備多方面的能力，不僅要有技術(shù)能力，同時還要具備與人溝通的技能;不僅需要具備執(zhí)行能力，還需要具備項目管理能力。能夠把工作焦點聚焦在優(yōu)先級高的工作領(lǐng)域，同時又要對于相關(guān)的概述知識又著廣泛的理解。

　　鑒于上述因素，以及不斷的傳出關(guān)于某家企業(yè)的首席信息安全官被解雇的新聞報道的炒作，CSO Online網(wǎng)站的記者專程采訪了三位被解聘過的首席信息安全官、一名CIO以及其他的一些資訊安全方面的專家，試圖找出首席信息安全官們被解雇的真正原因，并希望能夠幫助其他相關(guān)人員能夠避免重蹈他們的覆轍。

　　企業(yè)高管被解雇很少成為頭條新聞

　　今天，企業(yè)的數(shù)據(jù)泄露事件往往很容易成為各種媒體報道以及資訊安全的頭條新聞——而這往往會引發(fā)人們更多的關(guān)于企業(yè)的CISO的責(zé)任及其所管理的安全團隊的相關(guān)思考和討論。新聞報道的記者和安全供應(yīng)商的營銷團隊很快便會就數(shù)據(jù)泄露后會發(fā)生什么狀況發(fā)出相應(yīng)的警告。

　　然而，圍繞著這一切，CISO被解雇的新聞幾乎很少見諸于媒體。

　　根據(jù)美國的數(shù)據(jù)泄露通知法令(類似法令很快也將在歐洲頒布，即一般性數(shù)據(jù)保護條例)能夠讓您了解哪些企業(yè)組織的數(shù)據(jù)遭到了泄露的相關(guān)記錄。由此，您可以大膽的進(jìn)行一個猜測：在這些發(fā)生過數(shù)據(jù)泄露事故的企業(yè)的安全管理負(fù)責(zé)人的身上又發(fā)生了什么呢。然而，迄今為止，大多數(shù)關(guān)于企業(yè)CISO被解雇的新聞報道要么是神秘而古怪的，要么就是異常高調(diào)的。

　　在因一次違規(guī)事件導(dǎo)致了大約8300萬條業(yè)務(wù)記錄在社會工程項目中受損的一年后，摩根大通的CSO吉姆·卡明斯被重新任命了該職位，而該銀行之前的CISO格雷格·拉特雷則被要求離開其職位，并接受該公司全球網(wǎng)絡(luò)合作伙伴和政府戰(zhàn)略管理的職位。

　　但這些都是較為罕見的例子，更多的情況則往往是高級業(yè)務(wù)成為了主管替罪羊。在2013年，當(dāng)Target公司發(fā)生了約4000萬條信用卡信息丟失(超過1億的數(shù)據(jù)記錄受損)的嚴(yán)重數(shù)據(jù)泄露事故后，該公司解雇了其CIO和CEO(盡管該零售商在彼時并沒有任命其第一位CISO);而在2007年，服裝零售商TJX公司所發(fā)生的違約行為則導(dǎo)致了該公司的一名導(dǎo)演兼高級副總裁的跳槽。在英國，TalkTalk公司的Dido Harding在去年所發(fā)生的安全事故導(dǎo)致約157000條業(yè)務(wù)記錄受到影響，其中甚至包括15,000家客戶的財務(wù)細(xì)節(jié)被泄露后，勉強保住了自己的工作。

　　盡管這可能會讓一些人感到意外，但也有人可能會認(rèn)為，這其實應(yīng)該歸結(jié)于問責(zé)制、報告程序和安全管理的成熟度。例如，如果企業(yè)的首席信息安全官需要向IT匯報工作，那么CIO將成為替罪羊，而其他利益相關(guān)者可能推動董事會成員離開正在下沉的船。

　　BH咨詢公司的董事總經(jīng)理Brian Honan表示說，其實很難衡量一名CISO是被企業(yè)組織所解雇了，或者自己干脆另謀高就，找到了另一份新的工作。

　　“今天，首席信息安全官們工作的變動是如此的頻繁，故而很難知道他們主動的跳槽或是源于自身的原因，特別是由于公共信息的違規(guī)行為而被企業(yè)解聘。”

　　為什么首席信息安全官會被解雇

　　可能目前尚未有關(guān)于企業(yè)的首席信息安全官被解雇的正式記錄，但通過我們的記者與許多首席信息安全官、CIO和其他信息安全專家的討論記錄可以看出，很明顯，這種事件的發(fā)生，是基于一個相當(dāng)明確的規(guī)律的。

　　企業(yè)組織的首席信息安全官們離開他們之前所服務(wù)的組織，或許是源于某些安全破壞違約事故的原因，但也可能是韻味未能發(fā)現(xiàn)某些安全故障點或未能報告錯誤事件、做出了錯誤的采購決定或因為與企業(yè)的高級管理層發(fā)生了分歧。

　　一名此前曾就職于美國媒體部門的信息管理負(fù)責(zé)人告訴我說，她曾經(jīng)兩次看見過她的首席信息安全官要求離職。她說，“而兩次申請離職的主要原因，都是圍繞著其不能以一種經(jīng)濟的方式來解決企業(yè)的安全風(fēng)險，達(dá)到一個令人滿意的安全狀態(tài)。”

　　而關(guān)于企業(yè)CISO被解聘的其他原因，根據(jù)一些接受采訪的匿名受訪者回想他們所在的公司的具體情況則包括：CISO的報告不佳被駁回;項目超出他們的預(yù)算;不按商業(yè)策略行事;甚至散布FUD(恐懼，不確定和懷疑)， 而不是針對這些問題提供切實可行的解決方案。正如一位??CIO所說，這類首席信息安全官只會耍耍嘴皮子功夫，卻不知道“喊破嗓子不如甩開膀子”。

　　一位英國的穿透性安全測試受訪者回顧了自己所經(jīng)歷的另一個例子，他的一位同事在測試中發(fā)現(xiàn)一家客戶的IT基礎(chǔ)設(shè)施的各種缺陷(能夠讓他遠(yuǎn)程接管Web服務(wù)器)，并將該狀況報道給了該公司的首席信息安全官，而改首席信息安全官答應(yīng)以4000英鎊為回報，以幫助該企業(yè)組織披露和解決這些安全漏洞。

　　但是，兩個月的事件過去了，其同事并沒有收到付款，便聯(lián)系了該客戶公司的CEO。這一舉動無疑為這名CISO帶來了可怕的后果。

　　大約兩個月的電話聯(lián)系沒有收到答復(fù)。使得這家穿透性安全測試公司感覺是被忽略了，故而相當(dāng)惱火。于是，他們聯(lián)系了該企業(yè)客戶公司的CEO，并向其詳細(xì)介紹了相關(guān)的情況。

　　“他道了歉，并告訴他們不能繼續(xù)之前的合同了，向他們支付了費用，并立即解聘了其首席信息安全官，因為他沒有及時就該測試報告結(jié)果向其上級匯報。”

　　然而，雖然企業(yè)的高級管理層與首席信息安全官的沖突往往導(dǎo)致了后者的離職也許并不足為奇，但長期持有的觀點是，他們究竟是否應(yīng)該為安全違約事故而被解雇仍存在爭議。

　　SANS研究所的埃里克·科爾最近在Twitter上發(fā)布的一則推文談到：“讓我們來理清一下吧，發(fā)生安全違規(guī)并不是一件壞事;如果是由于企業(yè)CISO的疏忽，那么，他們應(yīng)該被解雇;但他們不應(yīng)該是因為其所在企業(yè)發(fā)生安全違規(guī)而被解雇。”

　　顯然，這是一個覺有爭論性的話題。在2014年12月，一份來自NTT Com Security所發(fā)布的調(diào)研報告透露，企業(yè)組織的高管們認(rèn)為信息安全是一個外行的術(shù)語，“是屬于別人的問題”，而Raytheon 公司的研究顯示，參與了倫敦eCrime大會的70%的安全專家認(rèn)為，CEO應(yīng)該對此承擔(dān)責(zé)任。只有13%的受訪者認(rèn)為企業(yè)的首席信息安全官應(yīng)承擔(dān)責(zé)任。

　　受解雇的首席信息安全官們是如何說的

　　兩名被解雇首席信息安全官描述了自己曾經(jīng)被解雇的經(jīng)歷，及他們從中所汲取到的經(jīng)驗教訓(xùn)。

　　一位曾在英國金融服務(wù)部門工作過的首席信息安全官說，他被解雇的最終原因，是源自于自己和企業(yè)CIO之間的“意見分歧”。

　　“信息安全預(yù)算是企業(yè)總的IT預(yù)算的一部分，而企業(yè)的CIO不得不努力降低IT成本。盡管信息安全仍然也需要盡量在預(yù)算中進(jìn)行節(jié)省，但這無異也增加了在某些領(lǐng)域的安全風(fēng)險。”

　　他繼續(xù)說，當(dāng)在向企業(yè)的高級管理人員們解釋了潛在的安全危害可能造成的損失之后，CIO采取了急轉(zhuǎn)彎的態(tài)度。 “該名CIO不喜歡我的論點，雖然一致認(rèn)為，企業(yè)IT部門應(yīng)該對與安全管理負(fù)責(zé)，但實際的情況則是，我們所執(zhí)行的工作并不是如我所說的那樣。”

　　他說，他覺得自己很好的處理了自己的離職，但他相信他也這次經(jīng)歷中學(xué)到了很多。“最好不要直接匯報技術(shù)問題，把您的預(yù)算交由您企業(yè)的CIO來控制，畢竟，他們在節(jié)約企業(yè)IT部門的成本方面承擔(dān)了很大的壓力。同樣，企業(yè)的業(yè)務(wù)領(lǐng)導(dǎo)人們也不喜歡聽到真相或了解進(jìn)一步的透明度，即使他們曾對此有過公開的表示。”

　　不幸的是，這類故事在企業(yè)組織也經(jīng)常發(fā)生。一家托管服務(wù)提供商的信息安全負(fù)責(zé)人也談到了與IT團隊處理這方面問題的困難，而這也最終導(dǎo)致了他自己的離職。

　　“IT主管經(jīng)常忽視來自信息安全方面的建議，認(rèn)為他自己知道得更好，同時又告訴我們的董事會說企業(yè)應(yīng)該進(jìn)行完善，含沙射影的告訴我的同事說我的工作失敗，而其實僅僅是因為他不喜歡我所做的工作。”

　　“這導(dǎo)致了有人開始向人力資源部門投訴我的主管，認(rèn)為不相稱的行為導(dǎo)致了管理不當(dāng)，也違反我們企業(yè)的管理政策。 HR部門于是采取了措施。就在我兩年聘用期滿的前一個月，就差一個月就能受到就業(yè)法保護的我被??不公平的解雇開除了。”

　　另外一名在美國制藥行業(yè)工作的CISO，解釋他為什么在揭露企業(yè)完成并購時的不法行為后辭職的經(jīng)歷。

　　“我曾經(jīng)服務(wù)的企業(yè)與另一家規(guī)模更大的，擁有全球性影響力的公司有過并購交易，鑒于這是一次公開收購交易，我們在我的職權(quán)范圍內(nèi)遵循了薩班斯-奧克斯利法案和SEC的相關(guān)合規(guī)，因為上級機構(gòu)的信息安全功能沒有我們成熟。”

　　這一年里，發(fā)生了許多財務(wù)違規(guī)行為，在預(yù)防數(shù)據(jù)丟失，并對數(shù)據(jù)進(jìn)行分析的同時，我們也遇到了類似欺詐和內(nèi)幕交易的問題。其中就涉及到一名地區(qū)性的首席財務(wù)官，我和他原本相處得很好。

　　“這些信息是沒有定論的，而在與自己進(jìn)行了長達(dá)一個星期的辯論抗?fàn)幒?，我按照我們自己的管理政?舉報揭發(fā))將相關(guān)的信息報告給了公司新任的首席執(zhí)行官。然后該公司的首席執(zhí)行官向我所舉報的人轉(zhuǎn)發(fā)了我的機密電子郵件，并詢問發(fā)生了什么事情，這直接導(dǎo)致了我受到了報復(fù)性起訴。

　　他在第二天就提交了辭職報告，而四個月后，該公司申請了破產(chǎn)。此后的下一年，該公司的首席執(zhí)行官和首席財務(wù)官均遭到了美國證券交易委員會的調(diào)查。

　　因此，關(guān)于企業(yè)組織的首席信息安全官們應(yīng)該如何避免被解聘?這里有三個秘訣：

　　1 清楚的了解您自己的工作范圍，您的界限，同時了解在哪些業(yè)務(wù)領(lǐng)域，您是可以打破的，而在哪些領(lǐng)域您可以增加價值

　　2 了解業(yè)務(wù)，并明確相關(guān)業(yè)務(wù)事項的優(yōu)先級順序。

　　3 嘗試與真正的管理人員進(jìn)行解釋和溝通。如果他們理解了，并對他們構(gòu)成了挑戰(zhàn)，那么您就不太可能被解雇了。