为什么首席信息安全官会被解雇
可能目前尚未有关于企业的首席信息安全官被解雇的正式记录,但通过我们的记者与许多首席信息安全官、CIO和其他信息安全专家的讨论记录可以看出,很明显,这种事件的发生,是基于一个相当明确的规律的。
企业组织的首席信息安全官们离开他们之前所服务的组织,或许是源于某些安全破坏违约事故的原因,但也可能是韵味未能发现某些安全故障点或未能报告错误事件、做出了错误的采购决定或因为与企业的高级管理层发生了分歧。
一名此前曾就职于美国媒体部门的信息管理负责人告诉我说,她曾经两次看见过她的首席信息安全官要求离职。她说,“而两次申请离职的主要原因,都是围绕着其不能以一种经济的方式来解决企业的安全风险,达到一个令人满意的安全状态。”
而关于企业CISO被解聘的其他原因,根据一些接受采访的匿名受访者回想他们所在的公司的具体情况则包括:CISO的报告不佳被驳回;项目超出他们的预算;不按商业策略行事;甚至散布FUD(恐惧,不确定和怀疑), 而不是针对这些问题提供切实可行的解决方案。正如一位 CIO所说,这类首席信息安全官只会耍耍嘴皮子功夫,却不知道“喊破嗓子不如甩开膀子”。
一位英国的穿透性安全测试受访者回顾了自己所经历的另一个例子,他的一位同事在测试中发现一家客户的IT基础设施的各种缺陷(能够让他远程接管Web服务器),并将该状况报道给了该公司的首席信息安全官,而改首席信息安全官答应以4000英镑为回报,以帮助该企业组织披露和解决这些安全漏洞。
但是,两个月的事件过去了,其同事并没有收到付款,便联系了该客户公司的CEO。这一举动无疑为这名CISO带来了可怕的后果。
大约两个月的电话联系没有收到答复。使得这家穿透性安全测试公司感觉是被忽略了,故而相当恼火。于是,他们联系了该企业客户公司的CEO,并向其详细介绍了相关的情况。
“他道了歉,并告诉他们不能继续之前的合同了,向他们支付了费用,并立即解聘了其首席信息安全官,因为他没有及时就该测试报告结果向其上级汇报。”
然而,虽然企业的高级管理层与首席信息安全官的冲突往往导致了后者的离职也许并不足为奇,但长期持有的观点是,他们究竟是否应该为安全违约事故而被解雇仍存在争议。
SANS研究所的埃里克·科尔最近在Twitter上发布的一则推文谈到:“让我们来理清一下吧,发生安全违规并不是一件坏事;如果是由于企业CISO的疏忽,那么,他们应该被解雇;但他们不应该是因为其所在企业发生安全违规而被解雇。”
显然,这是一个觉有争论性的话题。在2014年12月,一份来自NTT Com Security所发布的调研报告透露,企业组织的高管们认为信息安全是一个外行的术语,“是属于别人的问题”,而Raytheon 公司的研究显示,参与了伦敦eCrime大会的70%的安全专家认为,CEO应该对此承担责任。只有13%的受访者认为企业的首席信息安全官应承担责任。
受解雇的首席信息安全官们是如何说的
两名被解雇首席信息安全官描述了自己曾经被解雇的经历,及他们从中所汲取到的经验教训。
一位曾在英国金融服务部门工作过的首席信息安全官说,他被解雇的最终原因,是源自于自己和企业CIO之间的“意见分歧”。
“信息安全预算是企业总的IT预算的一部分,而企业的CIO不得不努力降低IT成本。尽管信息安全仍然也需要尽量在预算中进行节省,但这无异也增加了在某些领域的安全风险。”
他继续说,当在向企业的高级管理人员们解释了潜在的安全危害可能造成的损失之后,CIO采取了急转弯的态度。 “该名CIO不喜欢我的论点,虽然一致认为,企业IT部门应该对与安全管理负责,但实际的情况则是,我们所执行的工作并不是如我所说的那样。”
他说,他觉得自己很好的处理了自己的离职,但他相信他也这次经历中学到了很多。“最好不要直接汇报技术问题,把您的预算交由您企业的CIO来控制,毕竟,他们在节约企业IT部门的成本方面承担了很大的压力。同样,企业的业务领导人们也不喜欢听到真相或了解进一步的透明度,即使他们曾对此有过公开的表示。”
不幸的是,这类故事在企业组织也经常发生。一家托管服务提供商的信息安全负责人也谈到了与IT团队处理这方面问题的困难,而这也最终导致了他自己的离职。
“IT主管经常忽视来自信息安全方面的建议,认为他自己知道得更好,同时又告诉我们的董事会说企业应该进行完善,含沙射影的告诉我的同事说我的工作失败,而其实仅仅是因为他不喜欢我所做的工作。”
“这导致了有人开始向人力资源部门投诉我的主管,认为不相称的行为导致了管理不当,也违反我们企业的管理政策。 HR部门于是采取了措施。就在我两年聘用期满的前一个月,就差一个月就能受到就业法保护的我被 不公平的解雇开除了。”
另外一名在美国制药行业工作的CISO,解释他为什么在揭露企业完成并购时的不法行为后辞职的经历。
“我曾经服务的企业与另一家规模更大的,拥有全球性影响力的公司有过并购交易,鉴于这是一次公开收购交易,我们在我的职权范围内遵循了萨班斯-奥克斯利法案和SEC的相关合规,因为上级机构的信息安全功能没有我们成熟。”
这一年里,发生了许多财务违规行为,在预防数据丢失,并对数据进行分析的同时,我们也遇到了类似欺诈和内幕交易的问题。其中就涉及到一名地区性的首席财务官,我和他原本相处得很好。
“这些信息是没有定论的,而在与自己进行了长达一个星期的辩论抗争后,我按照我们自己的管理政策(举报揭发)将相关的信息报告给了公司新任的首席执行官。然后该公司的首席执行官向我所举报的人转发了我的机密电子邮件,并询问发生了什么事情,这直接导致了我受到了报复性起诉。
他在第二天就提交了辞职报告,而四个月后,该公司申请了破产。此后的下一年,该公司的首席执行官和首席财务官均遭到了美国证券交易委员会的调查。
因此,关于企业组织的首席信息安全官们应该如何避免被解聘?这里有三个秘诀:
1 清楚的了解您自己的工作范围,您的界限,同时了解在哪些业务领域,您是可以打破的,而在哪些领域您可以增加价值
2 了解业务,并明确相关业务事项的优先级顺序。
3 尝试与真正的管理人员进行解释和沟通。如果他们理解了,并对他们构成了挑战,那么您就不太可能被解雇了。
第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
