根据海德思哲(Heidrick & Struggles)发布的 2023年全球首席信息安全官(CISO)调查,即使在招聘市场惨淡的背景下,由于众多机构的技术需求及其面临的风险日趋增大且有倍增之势,首席信息安全官的作用变得渐趋成熟。为了保证成功和延续机构可持续性,各组织及领先企业必须认识到CISO所发挥的关键作用,并为未来做好准备。这包括斟酌议定强有力的继任计划、投资于网络安全专业知识和领导力开发,以及提供具有竞争力的薪酬套餐。
海德思哲的其他研究显示,76%的CISO表示他们对未来三年内跳槽持非常或完全开放的态度,这凸显了继任计划的重要性以及对员工保留战略的更多关注。
海德思哲合伙人Matt Aiello表示:“随着组织面临更高的专业与个人风险,网络安全在当今环境中的重要性日益增加,这正在促使CISO的角色发生重大转变。最先进的公司正在采取措施消除CISO角色所蕴含的风险,同时通过稳健的继任计划、遣散保护、D&O政策以及在董事会中纳入网络专业技能来加强其整体网络计划。”
专业及个人风险的程度远胜从前
随着数字技术(尤其是人工智能)变得更加普遍以及对网络攻击(尤其是勒索软件)的担忧日益增加,CISO角色的重要性不断提升。在谈到组织风险时,46%的CISO认为人工智能和机器学习最重大,其次是地缘政治风险(33%)和网络攻击(19%),其中包括勒索软件、恶意软件等。半数以上的受访者表示,他们认为今天构成威胁的最重大网络风险将在五年后有所改观。
除了技术进步和更复杂的威胁之外,CISO还面临日益增大的保持领先地位之压力,导致压力和倦怠——这仍然是CISO逐年最关心的个人问题,71%的受访者认为与自身角色有关的压力是其面临的最重大个人风险,这一数字从2022年的59%实现了跃升。54%的受访者认为,职业倦怠是其面临的最重大个人风险,这一数字高于2022年的48%。
为解决这个问题,机构必须优先考量继任计划和/或保留策略,以防止CISO不必要地离职。然而,仍有希望的空间,因为80%的受访者同意,他们能够在其角色中投资于领导力和发展,以建立或增强团队能力。
尽管挑战依然存在,但CISO仍有更多机会
对网络安全领导力和随之而来的专业技能之需求,以及高管职位的多元化,在组织、高管团队和董事会层面变得日趋重要。该调查揭示了一项事实,即众多公司目前正在寻求拓宽视野,在选任CISO时冒险精神超越了传统的行业及IT特定标准。他们正在积极寻找最适合担任该职位的高管,重点关注性别、种族或民族以及行业和职能专长方面的多元化。
尽管CISO的作用越来越重要,但许多机构并未为长期发展做好准备。该调查发现,近一半(41%)的受访者表示其所属公司尚未制定针对CISO角色的继任计划,尽管其中有半数以上的受访者正在制定该计划。这凸显了机构需要审慎应对CISO的意外离职,并确保制定可靠的计划来无缝过渡相关职责。
此外,该调查还显示,虽然半数以上的受访者均表示相信其公司董事会仅拥有或不具备有效回应网络安全演示所需的部分知识与专业技能,但目前只有30%的CISO在公司董事会任职。与去年持相同观点的14%相比,这是一项显著飞跃,但仍显示出董事会专业知识方面参差不齐令人担忧。
随着风险不断增加,CISO的薪酬也会逐步提升
正如之前的调查所示,各地区CISO的薪酬均有所提升。从行业角度来看,金融服务行业CISO报告的平均总薪酬最高,而技术和服务行业CISO获得的平均年度股权/LTI最高。
按地区划分的薪酬趋势:
美国:与往年类似,美国CISO的薪酬普遍最高。 美国CISO报告的总现金薪酬中位数同比增长6%,到2023年达到62万美元。总薪酬中位数(包括任何年化股权赠款或长期激励)今年也有所增加,高达110万美元。
欧洲:欧洲CISO的平均总现金薪酬为45.7万美元。 平均总薪酬为55.2万美元,包括任何年化股权赠款或长期激励。与美国和澳大利亚一样,金融服务行业的平均总现金薪酬最高,为62.3万美元。在欧洲,医疗保健和生命科学领域报告的平均总现金薪酬最低。 技术和服务行业的平均年度股权/LTI最高。
澳大利亚:澳大利亚CISO的平均总现金薪酬为36.8万美元。平均总薪酬为58.6万美元,包括任何年化股权赠款或长期激励。与美国和欧洲一样,金融服务行业的平均总现金薪酬最高,为50.1万美元。
CISO的角色正在不断演变,以应对组织每天面临的快速变化和各项新挑战,故而领导者必须认识到他们在组织中所担当的独特且重要的职能。
在这份报告中,海德思哲从2023年春季对全球262名CISO进行的调查中收集了组织和薪酬数据。大多数受访者均担任首席信息安全官职位,但受访者还包括首席安全官和高级信息安全总监。该报告涵盖来自美国、欧洲和亚太地区众多受访者的组织数据,以及美国、欧洲和澳大利亚众多受访者的薪酬数据。(美通社头条)
