3.1 定位首席安全官
如今,在国内各种招聘网站上,“首席安全官”(CSO)成为一个热门的职位,它的薪酬基本为月薪30k~60k,通常要求有10年以上网络安全领域工作经验,负责公司整个安全体系的建设,完成公司整体安全策略及方案的制定、推进和落地实施。但即使这样的要求,往往还是“一将难求”。
首席安全官这个职位是舶来品,在西方欧美企业中已被广泛设置,随着近几年互联网的高速发展,在海外,网络安全人才的争夺战已经全面爆发,首席安全官岗位的薪酬也水涨船高。
2012年,美国某大型金融公司以年薪65万美元吸引经验丰富的网络安全专家来公司担任首席安全官。当时,这是非常诱人的薪资条件。但是到2019年,由于人员流动,该公司不得不支付250万美元来保留相同的职位。
随着GDPR等网络法律法规的执行,数字违规行为的威胁,以及随之而来的罚款、诉讼和偶尔的高管引咎辞职,都让很多海外公司争先恐后地攫取稀缺的安全专家。不断加码的薪酬方案和不断扩大的职责对于曾经混迹IT部门,且从未引起高级管理层注意的一群信息安全“工人”来说,是一个巨大的转变。
目前,仅在美国就有超过30万个网络安全岗位空缺。在全球范围内,未来几年信息安全人才的短缺估计将超过100万。与此同时,网络攻击的频率和复杂程度也在增加,其范围从计算机系统的中断到敲诈勒索以及窃取敏感的个人信息。很多大型企业为阻止可能的网络安全事件,甚至为网络安全岗位设置了上不封顶的预算。
2019年7月下旬,信用报告公司艾可菲同意支付高达7亿美元的和解款项,以解决美国联邦和州政府对2017年艾可菲遭受黑客入侵行为的调查,该次黑客攻击泄露了超过1.4亿人的敏感信息,并导致艾可菲公司CEO辞职。为了避免类似情况发生,艾可菲在2018年一掷千金,雇用了首席安全官贾米尔。贾米尔此前就职于美国家得宝公司,家得宝公司在2014年遭遇黑客攻击后雇用了前者,那次攻击导致家得宝公司泄露了5600万名客户的信用卡信息。
同时许多公司都意识到来自更换首席安全官的挑战,因此采取前所未有的措施来挽留他们,且CEO经常参与谈判。有一个案例,某公司的CSO正考虑离职,CEO希望他回家后写下10件会改变他的决定的事情。该CSO写下的要求超过他的长期激励奖励和组织规章,但最终该公司CEO统统接受,只为留下他。
与潜在的安全损失相比,公司首席安全官薪资的大幅上涨其实并不算什么。根据IBM公司的一项研究显示,美国公司违规的平均成本约为800万美元。据万豪国际集团报告称,在2018年他们的数据库被入侵导致的损失就高达1.26亿美元。
反观国内,亦是如此。2018年8月,华住集团在发生信息泄露事件后就将信息安全部门提升至IT部门的平级,成为华住集团一级部门,并以年薪百万邀请专职首席安全官,以及承诺每年在网络安全建设方面的投入将占总IT投入的10%~15%,而在一般企业中这个数字在5%左右。
2015年,上海市委网信办在国内率先推出首席安全官制度,提出通过聘请有丰富网络安全管理经验的人士担任政府机构及大型企业的首席安全官,来进一步压实各单位网络安全主体责任,统筹开展网络安全规划、建设、运维等各项工作。2019年,这项举措进一步扩展到长三角一体化的进程之中,首席安全官已经成为奋战在网信工作最前沿的指挥官,是网信人才队伍中不可或缺的中坚力量。
在组织之中作为网络安全负责人的首席安全官,要承担的职责主要来自两个方面。
一方面是法律法规要求的网络安全责任。例如《网络安全法》基于共同治理的原则,明确了网络运营者所应承担的网络信息安全义务,这部分责任在组织中就应该主要由首席安全官来承担。我国《网络安全法》第9条总括性地规定了网络运营者的网络安全义务,即网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。在分则章节中则进一步细化了网络运营者的网络信息安全义务,具体包括:建立信息安全管理制度义务、用户身份信息审核义务、用户发布信息管理义务、保障个人信息安全义务、违法信息处置义务、信息记录义务、投诉处理义务、报告义务、配合监督检查的义务。除了《网络安全法》以外,其他适用于企业的法规要求也应当被识别出来。
另一方面是组织要求首席安全官承担的责任。不同的组织由于业务开展方式不同,导致授权给CSO的职责也有所不同。某些CSO负责其机构的所有信息安全工作,而其他人则负责与不同的运营中心合作,或承担网络安全以外的工作,以帮助实现组织的优先事项,如隐私保护、受控未分类信息(CUI)职责和医疗保健行业的推广等。