首席安全官CSO招聘JD 技术背景和商业意识是重要能力

CSO是负责信息安全、公司安全或两者兼顾的部门负责人,是需要为企业提供安全服务的负责人。当然,没有一句话的答案把工作的复杂性表达出来,CSO不仅需要具备广泛和过硬的技术能力,还需要有商业意识,能够向利益相关者清楚地解释他们的工作内容,如他们的风险管理方法。他们将监督和协调整个公司的安全工作,包括信息技术、人力资源等,并将确定安全举措和标准。

首席安全官(CSO),最初是指主要信息技术部门内部指定负责IT安全的人。在很多公司,CSO这个词仍然以这种方式使用。首席信息安全官(CISO)可能是对这一职位更为准确的描述,而今天,对于专注信息安全的领导者来说,CISO头衔正变得越来越流行。

一些公司也使用CSO头衔来形容“企业安全”职能的领导者,保护包括员工、设施和资产的人身安全和安全。然而更常见的是诸如副总裁或企业安全总监之类的头衔。历史上,企业安全和信息安全已经由单独的部门处理(有时存在争议)。

CSO是负责组织整个安全态势的执行机构,无论是实体还是虚拟。CSO还经常会密切参与业务连续性规划等相关领域 ,预防损失和欺诈以及隐私。当然,在现实世界中有很多聪明的人,虽然拥有CSO头衔,但不承担这两方面的负担。但是,如果首席执行官对财务问题有疑问,那么他希望“首席财务官”能够迅速回答或找到答案。当“首席安全官”用“那不是我的职责”来回答安全问题的时候,首席执行官会缺乏面临对公司的安全操作风险有着全面的了解。 

让我们和一些实际从事这项工作的人员以及帮助雇佣他们的人员来深入了解一下这个职位的实际情况。

CSO是负责为企业提供安全服务的负责人

Relativity CSO Amanda Fennell给出了一个关于CSO需要什么的高层次观点:

“现代CSO是组织的探路者和解决问题的人,与不同的IT和工程团队紧密合作,在快速变化的法规遵循和治理范围内设想、制定策略并执行一个多方面的计划。“

这很有趣,但也许有点抽象。实际上,首席安全官的工作职责是什么?或者,更简洁地说:CSO做什么? Sungard AS的CSO Shawn Burke说。

“我主要负责制定保护人员、信息资产和技术的企业愿景、战略和计划,总的来说,我负责确保安全部门为企业提供服务。” 

他们都明白,最重要的是,CSO需要为公司创造一种方式,让公司将安全视为战略资产和其使命的一部分,而不仅仅是在事后或为部分破坏控制事态。LaSalle Network招聘技术的团队负责人Paul Wallenberg从企业管理层的角度看到了首席安全官的目的。他说:

“大量的样本规模的攻击和违规行为才能让公司知道现在需要认真对待安全问题。更主动的方法是让公司考虑他们拥有的数据以及数据的妥协将如何对其客户和业务构成重大威胁。如果在没有制定计划的情况下妥协,会发生什么?通过董事会或执行层级来看安全性将推动聘用CSO的决定。“ 

具备技术能力和商业意识才能成为优秀的CSO

LaSalle Network的Wallenberg概述了他的客户公司在聘用时所期望的实际首席安全官资格。

“企业应该首先考虑的是在安全性方面具有广泛的技术和能力的良好记录,CSO可以来自具有相关技术经验,具有担任工程师或架构师,从事涉及SIEM、身份管理和威胁情报等现代安全学科的工具和系统,或者来自他们管理负责这些学科的安全专业人员的职能背景。个人更是参与治理、风险和合规性,同时具备道德的黑客心态。当然,高管们需要很多经验在他们的管理下,你需要证明你已经爬上了安全部门的队伍,或者在大型组织中参与安全项目以及影响应用程序、基础架构和外部威胁的举措。另外还有与供应商的业界联系,与情报界和学术界的联系。“

但CSO需要证明超出具体技术能力和工作轨迹的资质。Relativity的Fennell说:

“CSO必须了解复杂的战术目标如何能够促进全面保护组织战略的执行,同时尊重内部利益相关者的隐私和信任。虽然技术背景可能是做出明智决策的巨大帮助,但对于解决伴随信息安全的新兴谜题的激情至关重要。”

Sungard AS公司的Burke补充道:

“最近,我们看到安全领导者从技术细节转向更注重商业导向。虽然CSO应始终在技术上胜任,但他们也需要能够向利益相关者清楚地解释他们的工作内容,如他们的风险管理方法,从本质上讲,CSO需要成为高级领导值得信赖的顾问。只有当CSO具备良好的人际关系和领导才能时这才有可能。“

许多公司仍然没有CSO,这可以为员工创造一条行政级别的路径。Wallenberg说

“在IT环境中,安全是部门内部的能力,而这个部门本身,承担CSO角色的人员类型基本上是对组织内安全性有最深刻理解的人员,就外部候选人而言,通常是处于安全架构师级别的人员,或者在安全计划和基础架构上处于总监或VP级别的人员。”

大多数CSO向CEO报告 更能使CSO制定和公司保持一直的战略

根据2018年全球信息安全状况调查,多达40%的CSO和CISO向公司首席执行官报告,27%直接向董事会报告; 只有24%的人被CIO所垄断。Domo的Browne可以看到两种安排的优缺点。

“将CSO置于CIO之下有助于确保与技术交付模式的紧密结合,但是可能存在职责分割问题。” 

为了说明这个问题,他概述了有一个已知的安全漏洞的应用程序即将被推出的场景。CIO的奖金可能与按时交付应用程序有关,而CSO则与有限的安全漏洞相关联。在这种情况下,做出的决定是值得深究的。

如果CSO直接向首席执行官汇报工作,布朗说:

“主要的好处是,CSO对推动变革具有更高的影响力。另一方面,由于CEO的各种责任。CSO也可能与首席执行官的时间非常有限。”

Relativity的Fennell说,

“虽然在这个问题上有不同的意见,并且有很多变数直接有助于正确的路径,我个人认为最直接地与首席执行官一起工作是最成功的,因为这使得CSO有效地消除障碍并与整个公司的战略保持一致。“

LaSalle Network的Wallenberg表示,无论CSO最终会向谁报告,管理团队都应该参与决策过程。与这个人最相互作用的人是首席运营官和首席信息官,所以他们应该密切参与面试和挑选。

CSO的工作职责主要是监督和协调公司的安全工作 确定安全举措和标准

CSO将监督和协调整个公司的安全工作,包括信息技术、人力资源、通信、法律、设施管理和其他团体,并将确定安全举措和标准。候选人直接报告给首席信息安全官员和公司安全主任。

工作职责:

  • 领导操作风险管理活动以提升公司和品牌的价值  。
  • 监督保护公司资产、知识产权和计算机系统、供应商网络以及员工、访客人身安全  。
  • 确定符合企业战略计划的保护目标、目标和指标。
  • 管理全球安全政策、标准准则和程序的制定和实施,以确保持续维护安全。实物保护责任将包括资产保护、工作场所暴力预防、门禁系统 、视频监控等。信息保护职责将包括网络安全架构、网络访问和监控政策、员工教育和安全意识等等。
  • 与其他管理人员合作,根据适当的风险管理和财务方法,优先考虑安全措施和支出。
  • 与当地州和联邦执法机构以及其他相关政府机构保持关系。
  • 监督事件响应计划以及安全漏洞调查,并在必要时协助处理与此类违规相关的纪律和法律事务。
  • 与外部顾问合作进行独立安全审计。

资格:

  • 必须是一位聪明,有说服力领导者,他可以担任高级管理团队的有效成员,并且能够将安全相关概念传达给广泛的技术和非技术人员。
  • 应具有业务连续性规划\审计和风险管理以及合同和供应商谈判的经验。
  • 必须对相关法律和执法部门有较强的工作知识。
  • 必须对信息技术和信息安全有深入的了解。

首席安全官的薪水根据工作经验而不同

根据行业,公司以及候选人的经验和任职期限,CSO的薪酬可能会大不相同,情况大概是这样的:

  • 根据Payscale.com,一个CSO的平均工资是131,314美元, 而从68,208美元到201,789美元的任何一项都是正常的水平,奖金和利润分享也经常出现,并且有高达80,000美元的额外补偿。
  • 据Salary.com称,CISO的平均工资为215,739美元, 范围通常在188,510美元至249,063美元之间。

CSO与CISO不存在严格区分 公司会根据实际情况安排任务

我们将在此讨论CSO和CISO之间的差异,因为这有助于澄清职位描述。如果有一组严格而准确的规则区分CSO和CISO,那就太好了。 但事实并非如此,因为在实践中,执行人员的确切职责是根据他们的经验和他们工作的公司量身定制的。

尼尔·布朗(Niall Browne)在讨论这一区别方面处于有利地位; 他是Domo的首席信息官,并在其他公司担任CSO工作。

“传统上,CSO一直负责人身安全和员工,资产和设施的安全,并可能具有执法背景,而CISO一直负责保护数据,并可能有IT,系统或工程背景。“

发表评论