首席安全官和其他高层一样,都面临着被离职的风险。由于他负责保护公司最有价值的资产,所以风险更高。如果没有为这些风险做充分的清除或者严格的管控,首席安全官可能会被解雇,最近重大的安全事件都说明了这种情况。
以下的行动或不作为均有可能导致被离职。
1、未能防止巨额的财产损失或者大规模的数据泄露。
正如最近发生的Equifax和雅虎数据泄露事件那样,公司可能会因此类泄露事件导致声誉受到影响。当严重的安全漏洞导致公司财产损失和严重的负面宣传时,首席安全官难辞其疚,并很有可能被用来平息事件的受过者。
如果能证明首席安全官在安装最新的补丁方面有失职或者未能通过安全保护规定,未能布署适当的安全设备来提升公司的数据保护和安全性,则数据泄露事件很可能导致会解雇他。
2、掩盖违规事件。
足球教练常常告诫球员在比赛中不要让糟糕的比赛变得难以控制。如果犯规后而去试图掩盖一个错误便是罪过。这表明公司不认真不负责任,不愿妥善的保护客户、员工和合作伙伴。
Uber及其CSO最近揭晓了一年前的数据泄露的大秘密,给了所有高级安全管理人员的一个警醒。企图掩盖已发生的安全事件,这会使得公司成为互联网上非常热门的焦点,可能对公司的声誉造成永久性损害。
诚信永远是最好的政策,特别是在企业安全方面。掩盖已发生的安全事件,会破坏公司信任品牌。此外,这将会产生多米诺骨牌效应,使公司的最终用户,外部客户,业务合作伙伴和供应商的信心大打拆扣 - 因为这可能会危及其机密数据的安全。
3、承担过多的风险责任,不把风险传达给高层。
首席安全官承担公司安全决策的所有责任,这种情况往往会使其陷入危险之中。需要 从安全、风险和合规的角度定义公司技术与业务的平衡点,并且明确什么行为是非法和不可容忍的。太多的安全人员认为他们能够承担公司的所有的安全责任风险,并且相信通过‘技术’来解决业务面临的问题。因此,他们根本就不传达风险,阻止了管理层决定投入多少资金来应对提升应对风险的能力。
首席安全官司有一项工作职责是能够向不熟悉安全的董事会或者高层阐明风险和安全解决方案,以便他们能够在风险容忍度方面作出胆智的决定。通过这样做,可以有效的转化任何安全漏洞带来的全部责任。在此基础上,还需要跨所有部门开展有效的沟通和方案落地。
4、未达标或者持续合规
根据公司的性质和需要保护的数据,首席安全官必须遵守网络安全法,尽力尽职的支持和配合。
许多公司必须遵守完成执法部门监管义务,或者对某些合同进行投标,或者向客户提供商品或者服务时,满足对方上的安全要求。
合规性,在互联网时代越显重要。企业与客户,供应商或业务合作伙伴之间的共享数据,一方面有自身的安全保护需要,另一方面遵守法规越来越严格,越来越复杂。根据不同行业,国家和其他因素,法规也有所不同,首席信息安全官和其他领导的工作是需要与内部律师或外部法律专家合作,以确保其公司遵守合规法律。
5、不专业的行为
与其他类型的工作角色一样,导致被解雇的可能包括不专业的行为。不专业的行为 包括如在社交媒体上表达不恰当的发帖或者有争议的意见等行为。在需要公开发表意见时应该小心翼翼。首席安全官表达的任何有争议的观点都可能反映在公司上,并可能导致无法可控的局面。
6、无法保障产品和业务稳定性
系统、网络和其它设备可能会出现故障。如果故障时间持续很长,就会带来巨大的财产损失。它可能破坏运营,降低工作效率,并对公司的业务合作伙伴,客户和供应商产生负面影响。
任何时间的业务停摆都可能成为公关的噩梦,损害公司的声誉。每个公司都应该有一个灾难恢复计划,其中包括供应方,云计算和第三方服务提供商的负责联系人详细清单。还应该清楚公司的合同规定了供应商、云计算和第三方服务提供商应对方案时间点和阻止安全事件追查黑客攻击的应对方案和时间、流程等。