直播回顾:百万年薪起?CSO说CSO
2022年7月31日,2021(首届)超级CSO年度评选颁奖盛典在上海古井假日酒店正式举行,经过了多次的延期、延期、再延期,不断的等待、等待、再等待,本届评选活动终于在盛夏7月压轴的圆满落幕。
此次颁奖盛典聚集了全国各地100多位来宾,囊括了全国各地的业界专家、企业代表、合作伙伴以及CSO/CISO们,大家共同享受了这一美好时刻,也共同见证了这一场国内首次属于甲方安全从业者的欢庆盛会。
作为用户主场的本届超级CSO年度评选颁奖盛典,所有的聚焦都在中国CSO/CISO群体以及佼佼者身上。那究竟中国CSO是个怎样的群体?目前现状如何?其职业进阶和未来发展又会怎样?对网安业者来说,谁又能成为CSO?以及,如何成为一名优秀的CSO?这些问题在CSO年度评选颁奖盛典里,曾以圆桌论坛的方式,由红途科技创始人刘新凯、中银证券安全负责人蒋琼、华住集团副总裁王彬为与会的嘉宾们进行过解答。
而此次8月5日晚,安在组织了名为《百万年薪起?CSO说CSO》的主题直播,以颁奖盛典当日的圆桌论坛为引申,邀请了各方专家,再次围绕国内的CSO群体,探讨了业内、发展、趋势等问题。本次直播邀请的专家分别是某零售品牌安全负责人马一烈、万科集团IT总监吴致远、硅谷网络安全创业者熊鹰,还有网络安全专家联盟秘书长、安在新媒体合伙人张威。直播由安在新媒体创始人张耀疆主持。
CSO在业界是什么定位
张耀疆提问各位嘉宾,虽都身处不同企业,但共同的目标是负责安全,因此对各位嘉宾来说,CSO到底是什么?在不同背景的单位里都有怎样的职称?而它的角色又是怎么定位的?薪水大概是怎样一个阶层?
对此吴致远表示,万科并没有CSO这个抬头,大家都是合伙人,而他的主要职责是信息安全负责人,汇报对象是万科的CIO,主要负责的内容包括集团整体的信息安全,以及业态、地产、物业、商业、酒店等。当然还有整体的安全策略设计、管理体系的落地、技术体系的支撑。
对于薪资,吴致远表示薪资达到不了公司C-Level的水平。
另一方面,马一烈表示,外企很多公司对CSO就title上的分类通常会分为senior的manager或者director或者CISO,而她自己的title就是CSO。
薪水方面,马一烈认为自己是一步一步提升过来的。她指出不同品牌对CSO的定义、对CSO的期待,包括对CSO的薪资定义都是不一样的,而这些和行业本身、自身的能力定位,市场薪资水平,公司对风险的重视程度和投入以及公司本身的能力有关。
职业发展方面,马一烈认为无论公司给出的薪资如何,安全从业人员都要确定企业所带给他们的东西是否符合他们的成长的期待和发展的轨迹,是否真的有助于成长经历的提升。换句话说,安全从业人员首先要想清楚自己的追求,想清楚自己在这家企业里到底想获得什么,自己又能给企业带来什么,马一烈认为有这样的想法是多赢战略,就是从不同的维度看彼此之间能否助力成长。
马一烈表示,当前自己的职位是向CIO汇报工作内容,团队构成是一个international的团队。马一烈认为,技术出身的安全从业人员需要具备向上管理的能力,因为 毕竟大多数老板不是技术出身,因此培养好沟通能力,可以从老板那里获得更多的资源以及资源支持。可以说,多年来不同行业的工作经历让马一烈深刻的感受到,安全从业人员不能只埋头苦干,还要抬头看天,去适应各种环境。
接下去,熊鹰补充了CSO在美国的具体情况。熊鹰说,CSO在美国通常被认为是首席策略官,因为美国企业对战略的考虑会比较多,所以对应到国内所认为的CSO的概念,在美国一般来讲叫做CISO。
熊鹰提出,CSO向谁汇报重要。如果CSO的汇报对象是CIO,那就意味着他不是决策层,而是执行层。如果CSO的汇报对象是CEO、COO或者CRO,那意味着他是公司的决策层。在决策层,说明CSO具有一票否决权,而在CIO的手下,CSO就只有建议权。
美国比较标准的企业里,manager分为三级,他们每一级对事件的考虑范围、考虑背景、考虑对象,包括要承担的风险都是完全不一样的。所以美国的CISO一定是vp级,不是director级。
熊鹰介绍,2013年去美国做调查时,发现80%以上的CSO都向CIO汇报工作,20%不是。当初美国预测,五年之内美国的中大型企业会有60%以上的CSO能直接向CEO汇报工作。
张耀疆表示,国内CSO的级别尚未达到决策层,但他们所面临的压力似乎比权益大得多,特别是当国内《网络安全法》、《数据安全法》、《个人信息保护法》出台后,安全负责人承担了很大的责任。因此张耀疆提问各嘉宾,CSO是否就是背锅侠?尤其是在风险意识和责任担当方面,CSO们面临着哪些窘态?
吴致远分享了自己的经历。他说自己在前年接到过执法部门的电话,在深圳某个区,由于不知道事情原委,所以就委托同事先去试试水,结果同事在里面聊了三个小时,发现原来是测试系统有个漏洞被执法部门扫出来了,也没有生产数据在其中,好在之后大家在沟通的过程中还算顺利,没有留下案底。
延伸熊鹰说的建议权,吴致远指出,许多企业会从做生意的角度考虑运营,因此他们更多地会想通过技术手段为公司获取更多的利益,而吴致远作为安全负责人,也只能给出建议,指出有些行为会违反相关的法律风险。
吴致远认为,CEO会以业务为主,但企业一旦出现安全问题,CSO就该马上去提供服务和帮助。
而马一烈作为一个技术成长起来的管理者,她觉得对自己来说最大的障碍和瓶颈是许多想法难以落地,主要是环境不允许。马一烈说自己正处于慢慢攀升的位置,并希望自己能到一定的安全职业经理人的位置,可以去改变一个组织架构,比如让CSO成就一个单独的部门,直接给CEO汇报。
马一烈表示,作为CSO,不要害怕遇到问题,而是要致力于去解决问题,因为选择了什么职业,就等同于选择了这个职业给我们带来的风险。作为女性安全从业人员,马一烈觉得女性的心思更细,更懂得洞察老板的心思和事态的发展尤其是高敏感类型的CSO。
马一烈提出,作为安全从业人员,除了能够落地一些老板关系的战略大事,得时不时提出更多的想法和主张,(比如跟业务部门聊技术的时候就要想想怎么讲故事)让别人看到安全的影响力,因此问题给安全从业人员带来的冲击和挑战,就是要安全人员突破组织架构所带来的壁垒和界限,这需要安全人员在细枝末节上积累心思。
至于背锅问题,马一烈觉得CSO的背锅侠更具有一点英雄主义色彩,是非常孤独的英雄。而从另一方面来说,马一烈觉得这更像是使命,因为这本就是一份风险管理的工作,因此马一烈并不认为CSO就一定是在背锅,她反而觉得是在考验安全人员对风险的承受度有没有弹性。
张威对几位的分享感触颇深,他觉得国外的CSO定位比较清楚,而国内CSO、CISO的定位比较模棱两可。一方面这源于国内对安全业的治理比较滞后,另一方面是因为我们的发展速度比较快,两者相加就会导致安全负责人的处世比较盲目,有时都不知道自己背了几口锅,莫名其妙就担了责。
目前来说,张威认为安全从业人员想进入决策层是比较难的,因为这首先需要经营者改变认知,尤其是一些董事长,包括总经理,他们本身对安全的认识往往不够高。
为了区分国内外CSO的具体背锅情况,熊鹰介绍到,国外安全从业人员走到了CSO这个位置,它涉及到一些企业文化,并不是纯技术问题。而只背锅这件事,美国和中国是一样的。之所以美国CSO的权利越来越大,很简单,就是企业的CEO不想背责,因此国内CSO如今只向CIO报告,对个人来说未必是件坏事。
这其中的区别在于,真正的背锅不在乎企业内部点评时是谁的责任,而是企业因为触犯法律要面临破产时,这个锅该谁来背。在美国,CSO的基础年薪虽然高,但公司既然把安全人员放到了C这个地位,那一旦出了什么事,就一定是CSO背责。
如果一个企业发生了安全事件,安全人员把它分析清楚后,给CIO汇报也好,给CEO汇报也罢,最后这件事情的责任只要被归到了哪个部门或区域,这就叫去责;而如果安全人员负责的是整个安全信息,他一旦遇到安全事件,不管这件事分析到哪个环节了,最后总是他来负责,总是这名安全人员来负责,这叫做追责,最后追的都是自己的责任。而这两者所带来的压力是完全不一样的。
也就是说,一旦出事了,安全人员所处的位置不同,所经历的责任一定不同,如果只是CIO之下的某个部门,那CSO只要把事情报告清楚就完全没事了,但在美国,CSO的位置是决策层,所以出事了,不是CEO离职就是CSO离职,就只看当初是谁做的决策。
熊鹰指出,美国现在的趋势也呈现出了女性CSO越来越多的情况。因为安全工作是广而泛的,男性大多只想研究技术而不愿多和人打交道,但女性则不一样,她们更能处理人际交往的问题,或者说更适合在决策层生存。同时,就制度上的区别,熊鹰解释在美国,商业上发生的安全事件很少触及到刑事,除非被抓到真的是内鬼、是间谍,才有可能将CSO定性为刑事案件。
熊鹰说,在美国每个职位的责任、权利、义务都被划分得非常清楚,从每个C职位有它对应的职业险就能看出。类比到此次的滴滴事件,在美国一样会罚到企业,但绝罚不到个人,保险一定首当其冲。而国内当下比较大的问题是责任和权益不一致。
在美国,个人的职业生涯会被追踪,会被做成肖像profile,因此猎头公司也好,甲方公司也罢,会很清楚个人的工作经历,包括在他就职期间所遇到的各种安全事件,因此,在美国如果CSO遇到了安全事件成了背锅侠,这事会不会影响他的职业生涯,就需要去看他具体的profile,具体的上下文。
男性和女性具有不同的特质,男性追求深度,而女性思考面更广、更全面,由此张耀疆提问各位嘉宾,CSO是怎么养成的?而到了安全负责人或者CSO这个层面,需要具备哪些必要的素质和能力?
吴致远结合自己的经历得出,就技术而言需要不断更新,否则职业道路就会变窄,另外在管理方面,需要有相应的比较完善的规章制度和规范,比如界定责任的问题,需要在纸面上写清楚。吴致远表示自己会将所有的风险都罗列出来,让大家去接受或整改。
此外,吴致远认为沟通能力和治理能力也非常重要。大环境里,许多企业连IT都不能认识得非常到位,因此把风险,把安全的重要性解释清楚是一个比较重要的能力。
不同于国内CSO的成长之路,熊鹰介绍,CSO其实相当于足球的守门员,其一年里最好的成绩是零,因此每一行实际操作起来都不同。比如美国的金融行业,他们一般不允许买来的安全产品是黑盒子,所以他们对CSO的要求里会希望CSO对产品架构比较熟悉,从某种意义上来说,会希望金融行业的CSO有在乙方工作的经验。而在医疗健康行业,病人的数据非常重要,或者说数据很重要,因此CSO如果有能数据方面的工作经验就会好很多。
因此熊鹰提出,在美国不停地变换行业是最忌讳的,行业知识、业务知识一定是慢慢积累的,任何一个天才都需要这样的积累。熊鹰认为,在美国如果安全人员的目标是CSO,那一定不用太着急,哪怕30岁、40岁以前都还没进安全这行业也是有可能的,只要50岁之前将各种专业知识积累好。
区别于国内对安全的解读,美国的CSO对业务系统更为熟悉,而国内会觉得安全人员更偏向于攻防、漏扫,或者在读书阶段参加过黑客比赛之类。在美国,对企业而言有过“黑客经历”是一件很忌讳的事。
另一方面,马一烈也介绍了自己的工作经历,她做过软件开发、做过码农、做过运维,对it整个业务都非常了解,可以说马一烈前十年的职业生涯一直就是技术宅,十年间基本上所有的it工作都做过。
后十年,马一烈更多学习了管理方面的知识,而在这个过程中她还是会不断地升级自己的系统,提升自己在技术方面的能力。
在读MBA之后,马一烈发现自己在思考问题方面发生了转变,以前考虑事物完全是一种技术思维,带人之后她发现指导技术团队去做具体的操作也很重要,慢慢就过渡到了对公司的企业文化,对公司的组织行为意识,都有了更深入的解读。
马一烈表示,跨行业的经历和经验为自己在当下数字化进程比较火的零售行业奠定了基础。因此无论是从行业的跨越来说,还是从她自身在IT的深入来说,此二者都是非常重要的因素。
马一烈建议年青的安全从业人员,一定要对自己的职业有所规划,就是要想清楚自己期待的的成长路径和下一步该怎么走,怎么去突破困境实现自己未来的愿望。
张耀疆对以上各位的话语进行总结,他指出国内、国外CSO在成长道路上不同的地方,国内CSO的成长分为两条线,一个是技术本身的迭代,还有是对所处行业或者说业务的理解,而这两条线往往需要通过新的环境来实现更新、提升。而在国外就比较稳定。
究其原因,熊鹰表示,是因为美国的信息行业发展比较早,是在上世纪七八十年代开始的,几乎所有的职位发展都是定死的,一个萝卜一个坑,而中国的安全行业还在早春,所以有机会让从业人员跨行提升,这就可以说,背景不一样所以成功的路径就不一样。
张耀疆提问,CSO的下一步在哪里?对做安全的人来讲,天花板在哪儿?是就直接到退休了呢,还是依旧有所突破?或者说还有没有什么其他更多的可能?
熊鹰对此介绍,说美国目前主流的是三种。第一种是做CSO一直做到退休,因为CSO和医生、律师、教师很像,越老越值钱,其实就是他们的经验很宝贵,所以他们更愿意在这条路上做到退休。
第二种是创业。在美国的安全圈里mss sp很重要,从某种意义上来说,它比产品公司的市值更大,而mss sp特别适合从甲方出来的CSO,他们会在这个领域里创业或成为合伙人。
第三种是开咨询公司,还是一样的道理,二三十年的安全工作经验就是最宝贵的内容了。综上所述,这三条路根据个人的性格、兴趣,包括自己的使命感,在美国都是不错的选择。
熊鹰还提出,CSO在美国是具有荣誉感的职业,因为其存在的目的是保护企业、保护个人,而不是监控企业、监控个人,CSO是力保社会环境大门不失的存在。
而马一烈从不同维度进行了概括。第一个维度是在职业选择上,她表示自己本身也特别愿意钻研一些技术方面的内容,所以她觉得自己未来仍旧会回归到技术。而如果不离开职场的话,她可能会希望和一家企业合作,创造一个自己的lab,打造企业的数字化进程。
第二个维度,马一烈希望其自己能达成在技术方面的研究,可能会回归研究院,或者自己去做一些具体的实践。
第三个维度,马一烈觉得这是一种义务,不论是现在与安在进行的平台合作,还是在分享的这些经历,马一烈觉得身为安全从业人员,有必要去教育、去引领这个时代,为市场提供一个战略发展,所以从她的角度来说,她可能会继续培养一些新人,无论是在企业还是在其他的地方机构。
张耀疆对以上总结,由于国内安全圈层起步较晚,平均年龄都在三四十岁左右,所以大多不会考虑退休的事,反倒会在横向上有所拓展,比如搞些研究和教育。而国外安全圈层由于发展较早,所以普遍年龄在五六十岁的CSO,可能并不会再考虑更多的创新。这就是国内国外因环境不同而带来的差异和区别。
关于薪资问题,熊鹰做了补充,在美国,CSO在所有C字高层里的薪水算是靠后的,因为他是保驾护航的,他不是业务部门,本身并不为企业创造资产。而不同行业里的CSO差别也很大,比如在国外国防里的CSO,他们薪资可能在十万左右,而在Facebook或Google里的CSO,可能会到二三十万、三四十万的体系。熊鹰大胆猜测了一下,他认为拥有一两千人外企的CSO,他的薪水大概在二十到四十万美金之间。
前次直播回看
第四场:红与蓝,攻防与HW
推荐阅读
发布 | 安在新榜 · 2022中国网络安全产品用户调查报告
“凭啥我没上榜?”关于安在新榜最新报告,请看Q&A
2021(首届)超级CSO年度评选颁奖盛典圆满举办
2021(首届)超级CSO年度评选:十佳CSO如是说
齐心抗疫 与你同在