鑽石舞台

2021年12 月，當安全團隊爭先恐後地應對Log4j漏洞威脅時，CISO 們強硬的表達了自己的觀念：我再也不想扮演救火隊友了。

Forrester Research 副總裁兼首席分析師 Pollard 說：「我們公司有一位資深的CISO，他面對此事的心態就是『同樣的事情又上演了』。這意味着他知道他和他的團隊必須得接受多大的工作量，因此，這語氣聽來倒像是'我又要倒霉了'。」

研究發現，當下許多人對流行病的傳染感到不知所措、疲憊不堪，一如CISO 在企業里的狀態。

安全軟件公司 Tessian 的Lost Hours報告顯示，在對 300 名美國和英國的 CISO 做了調查後，發現 CISO 平均每周工作時間比合同規定的工作時間多 11 小時，其中 10% 的人每周額外工作 20 到 24 小時。進一步調查後發現，42% 的人會錯過感恩節或聖誕節等假期，40% 的人會錯過了家庭假期，59% 的CISO表示，即使到了休息日，他們也會因為工作壓力而變得不能下班。

某公司的CISO Thomas Johnson 說：「CISO 的疲憊感絕對是一個問題，而且這個問題比過去更嚴重了，如今我們正處人員短缺、在家辦公、國內外病毒劇增之時，這一切都逼得安全形勢不得不以幾何速度發展起來。因此，CISO很難具備所有技術和產品，也很難了解到所有威脅，所以執行管理層和董事會就會變得不願去理解CISO們的規劃。」

毫無疑問，我們應該從個人角度去關注疲憊的員工，他們的幸福度同樣重要。

任何精疲力竭的員工都不可能把他的最佳狀態帶到工作中，正如 Tessian 自己的CISO Josh Yavor 所問的那樣：「如果CISO正在經歷某種程度的倦怠，那對他們的組織會有何影響？對與他們一起工作的其他人又有何影響？這並不是說要為他們感到難過，而是願能更深入地了解我們是如何執行安全計劃的，而這種種疲憊現象又已到達到何種程度了。」

思科公司 Kenna Security 的聯合創始人兼首席技術官 Ed Bellis 說：「CISO 的乏力可能會以多種方式影響到組織。」他以前也是CISO，並在 2020 年發表了一篇文章名為《我做了六年的CISO——這就是為什麼精疲力竭是一個問題》。

Bellis 說：「CISO也是常人，所以感到疲憊很正常，也包括向他們報告的人，都會因為工作感到痛苦，但 CISO 的不同之處在於其疲憊後的影響力。」他表示，疲憊會使CISO們提前離職，這就減少了他們與其他高管們的接觸，並間接削弱了他們的領導力。

而Tessian 報告列出了 CISO 負擔過重時的其他後果。比如CISO認為的沒能花足夠時間去做的事有，招聘人才（36%）、參加非部門會議（38%）、與客戶溝通（35%）、研究新的行業更新和趨勢（36%）、致力於自己的職業發展（38%）。

The Burnout Breach 2021年的訪問狀態報告也發現了安全行業的疲態問題。它指出，接受調查的安全專業人士里有84%感到筋疲力盡；10% 的安全專業人士表示，由於疲憊他們選擇完全被動，並在工作中只做最低限度的內容；而 44% 嚴重精疲力竭的安全專業人員和 19% 稍感精疲力盡的人則表示，安全規則和政策「不值得去效力」。

Bellis 強調了這裡的背景，即許多CISO和安全專業人員在危機、高壓力以及日常挑戰期間還是會為自己和他們的團隊保持高水平的績效，簡而言之，就是儘管這工作具有挑戰性，但顯然並非所有 CISO 都處於精疲力竭的境地。

他們還指出，許多感到精疲力盡的CISO經常會覺得自己需要轉移到其他職位，因此這份壓力也就導致了CISO職位前所未有的高流動性，許多人會轉職去做壓力較小的虛擬CISO和諮詢人員。

事實上，獵頭公司 Heidrick & Struggles 的合伙人兼全球網絡安全業務負責人 Matt Aiello 表示，他發現 CISO 喜歡挑戰並在解決問題方面可以日新月異。他覺得 CISO 就是喜歡以克服困難為主，還覺得他們會有意識會去承擔高壓。他說：「我認為疲憊是一個很好的話題，但 CISO 並不會輕易放棄。」

然而，Aiello 也承認在某些情況下 CISO確實會逐漸倦怠，例如幫助企業通過長時間的違規或指導多個變革計劃等。他說：「CISO會在類似於這樣的情況下表示自己想做一些不同的事情，但即便如此，我還是不覺得這就該被稱為厭倦、疲憊。他們可能只是想去變動下職位，或者單純的就想休個假，這對於其他領域的高管來說也很常見。」

但不可否認，仍然有一些CISO發現自己已處於無法前進的境地，他們要麼面臨着經營者們不切實際的期望，要麼面臨着資源不足或持續不斷的救火事件。

資深CISO麗貝卡·永利 (Rebecca Wynn) 表示，她看到企業對其CISO的要求超出了人力所能及的範圍，沒有人能達到這樣的預期。企業甚至要求不能有任何的漏洞存在。

IT 治理專業協會 ISACA 的喬納森·布蘭特 (Jonathan Brandt) 說：「CISO們通常會覺得自己身處上坡，因此他們得不到牽引力、得不到企業的支持。同時，這些企業也沒有將不出事歸功於安全部門，也沒有賦予 CISO與職位職責相匹配的執行權限。」

永利表示，漸漸厭倦的 CISO們確實會覺得換職業是最好的選擇，她現在在 Click Solutions Group 任職，擔任網絡安全策略師、虛擬 CISO 和客戶隱私顧問。同時她還表示，她相信CISO、CISO的團隊以及企業經營者們將會去解決這個問題，然後創建出更好的公司架構，讓CISO們可以更完美的提供服務，這就意味着需要確定安全計劃、領導力或捨棄不必要的文化中。

另有CISO表示，CISO的工作職責就是讓他們的高管和董事會了解到，CISO根據所分配到的資源實可以提供哪些能力，以及這些要素如何與組織的風險狀況和態勢關聯起來。他們可以制定安全計劃，並且敢於發表自己的觀點，在面對「不可能的任務」時告知企業，自己無法利用眼前的這些資源來完成任務。如果企業不能接受某資源的風險比，那麼 CISO 同樣應該去爭取話語權，強調一個企業里安全行業所需的資源應該放在第一，這樣才能將風險減低到組織可接受的水平。

就當下形勢而言，CISO 比以往任何時候都更有資格去進行這些對話。

同樣的問題國內某企業信息安全專家曾永紅如此說：「漏洞之後工作壓力一定是增大的，因為漏洞可被利用，而且還伴隨諸多攻擊，我們需要做的就是發現並去阻攔，查漏補缺。而面對當下處境，我個人認為類似於這樣的漏洞狀況，最好通過官方的、正義的途徑快速傳導到企業，好讓我們在關鍵領域及時修復，而不是廣而告之，因為誰都可以進行簡易攻擊，這和禁止大規模殺傷性武器是一樣的，需要管制範圍，防止非法利用。」

某A+H股上市公司信息安全專家孫琦表示：「CISO的工作不會因為一個0day的大規模爆發而有太大的變化。就這個漏洞本身而言，它顯然增加了安全團隊、運維團隊、應用團隊以及業務團隊的工作負荷，最大的壓力來源於對於業務可能產生的影響。但就我個人而言，這個漏洞本身只是一個高危漏洞，成熟的安全體系大多能有效應對。而在緩解壓力方面，個人認為CISO需要做的是為高層解壓以及為團隊爭取時間，而經營者需要做的是準備充足的OT食品、彈性的工作時間、更多的人文關懷，總的來說就是明確目標、以人為本、接受風險。其實，國內的CISO比國外的同行更辛苦，因為我們需要用更多的業務的視角來看待問題，把資源不足當常態來運營，這樣才能通過紮實的安全體系建設以不變應萬變。」

比特大陸 CISO張魯提出，log4j2漏洞事件對於企業信息安全折射出來的是軟件供應鏈安全管理工作的問題。因為這件事，這部分原本比較基礎比較邊緣的工作引起了從業者和企業管理者的普遍重視，就現象而言符合事件驅動安全的一貫規律。對此，由於每個企業在信息安全建設進程上的進度不同，具體情況就可能天差地別，對於基礎工作做的比較好並且原本就做了相應治理的企業而言，它和一般的0day漏洞應急處置方式沒有太大差異，緩解、定位、處置、監測，同步開展，可能整個周期相對會長一些，而對於基礎工作比較薄弱的企業確實會顯得很被動，所以與其說因為log4j2事件讓工作量變大了，不如說是這事的出現讓原有的安全工作節奏作出了調整。

綜上所述，雖從宏觀上、從大環境上明確了CISO們該有怎樣的態度和決策，但具體到細節處，還需要以「強調自身價值」為主。

比如證明安全建設的業務價值，直接將安全建設與公司目標關聯起來，在向高管層報告安全建設的進展情況時，可以強調安全部門也正在努力配合實現這一點。安全負責人首先應該弄清楚公司要實現的既定目標，並在與高管層進行溝通時提到這些信息，說明安全建設是如何有助於實現這些目標的。安全負責人在介紹安全建設時措辭要準確，明確將安全建設與特定業務計劃關聯起來。所關聯的業務計劃重要性越高，就越能向高管層展示安全建設計劃的重要性。

再比如將安全風險指標與業務績效指標關聯起來。就當下的企業架構而言，雖然對安全風險的管理不當會導致業務失敗和業績不佳，但大多數組織機構都沒有辦法對這種關係進行衡量。結果就是，業務人員並不清楚安全建設活動的效益在哪兒，在制定關鍵業務決策時，也就不會充分考慮安全風險。

要解決這個問題，一方面企業應制定可靠的、獨立的關鍵績效指標（KPI）；另一方面，安全部門則應制定可直接影響業務績效的關鍵風險指標（KRI）。這就需要深入了解安全風險是如何影響業務績效的，可以說KRI是衡量業務績效風險的先行指標。

除此之外，安全流程成熟度也是極為重要的。在面臨安全風險的任何領域，高管層都想知道：我們面臨着哪些風險？我們的安全狀況如何？我們對存在的安全風險該怎麼辦？而安全運營指標很少能引起以業務為導向的高管層的共鳴。但對於許多組織機構來說，自己的安全流程成熟度則更好理解，而且流程成熟度也能更有效展現公司的風險狀況。對安全流程成熟度的分析結果可以用於高管層在制定戰略計劃和戰術計劃時，確定戰略和戰術計劃中的項目優先級。

除了安全主管和安全部門得改善自己的觀念和方法外，企業也得做出十足的配合。當下市場環境，不說與日俱增的勒索病毒正在到處肆虐，就只《個保法》《數據安全法》的落實等就需要所有企業都引起高度的重視了，因為一不小心就可能因為「犯法」而賠得傾家蕩產。如2021年年尾的「阿里雲事件」，「滴滴事件」、「豆瓣事件」、「騰訊警告事件」等，都是國家給予企業的「合規警告」，作為殷鑑不遠，我們可以看到，企業若願意多花一點錢或說多給到安全一些工作價值上的認可、多給安全團隊一些話語權，那許多事情也許就不會一發不可收拾。以小見大，作為衡量，到底是願意在事前投入多點、增加保障，還是願意博取風險看命運如何，那就只能見仁見智了。

因此，企業首先得給信息安全足夠的重視，不應只把安全當做成本，而是要作為競爭力，只有確保安全合規，企業才能往更高質量、更大規模發展。要清楚的是，建立安全體系是一個長期過程，所以要不斷進行修正和完善，根據自身發展階段進行劃分和合規管理。要牢記，安全是發展的前提，發展是安全的保障，安全生產不容半點偷懶、取巧，唯有腳踏實地，確保安全發展理念落到實處，才能實現可持續發展。

企業得明白，CISO的目標是讓可持續發展融入到公司每個職能中，並在每個角落都得到推崇。因此，將CISO的工作與公司個部門間鏈接起來非常重要，CISO不僅知道自己要做什麼，而且還需要告訴員工為什麼，這就需要企業經營者有此信念去為CISO爭取話語權，這樣，CISO們才會有信心和勇氣去承擔一定的風險。

CISO是催化劑，他們的作用是需要讓其影響力從上至下，橫跨各個部門，廣泛地滲透到每個員工身上，這是非常重要的，但同時也是非常艱巨的任務，需要複雜的治理結構，因此，對企業而言，如何配合到CISO，讓他們更容易進行這事就變得極為重要了。企業還需明白的是，如果一個CISO希望成功，他就必須擁有資源、擁有協作環境，這可使他成為一個系統的思考者，能夠更客觀地整合各個不同職能部門中的利益相關方。

企業要看清的是，CISO們雖都有建立網絡關係的能力，但他們往往有影響力卻沒有權力，因此，企業得幫助他們製造權勢，這樣就可以激發員工發生改變、保障合規並以此創造收益。同時，切不能把可持續發展項目視為弱勢項目，因為可持續發展項目關係到每一個人，而所謂的可持續發展部門則是要依靠很多職能部門才可以工作，而且他們往往是跨部門的，甚至是跨地域的，而讓可持續發展計劃得以實施的關鍵就是資源關係網絡。因此，不難看出，CISO的工作要點就是在網絡中協調工作並為企業取得最終成果，只是需要企業提高重視的地方。

編譯原文：

CISOs are burned out and falling behind

參考資料：

安全之殤：如何將安全建設與商業價值掛鈎

CSO如何進入公司核心管理層

推薦閱讀