世上最難的高薪職位

盡管年薪達到120 萬美元，但做著商業領域最難的工作，首席信息安全官（CISO）們還是顯得很可憐。

在上一代人的工作經歷里，還幾乎不存在這個崗位。但為了應對日漸增多的網絡泄密，企業和政府都在雇傭高管，專門負責確保數據系統的安全。當安全事件發生時（發生得還挺頻繁），負責這類工作的高管就會背負相應的責任。

拒絕膽小人的工作

“我們就像待宰的羔羊，”弗吉尼亞州阿靈頓鎮（Arlington）的首席信息安全官大衛·喬丹（David Jordan）說。“我們都明白，如果發生重大泄密事故，自己的命運將會怎樣。這份工作不是給膽小的人干的。”

首席信息安全官做的是商業世界里最難做的工作之一：他們必須比俄羅斯的犯罪天才和上海的黑客先行一步，逐項確認越來越長的合規清單，并且密切注意漏洞百出的賣家和魯莽的員工，防止他們把敏感數據上傳到 Dropbox 賬戶里，或者越了獄的 iPhone 上去。

首席信息安全官必須擅長于危機管理和公關，還得是了解最復雜技術的專家，盡管如此，他們也還需要下一番苦功才能明白，即便是最厲害的新式安全陷阱，也不是萬無一失的。

他們還要面對不斷發生的信息泄露事件—比如本月一個俄羅斯人因侵入美國零售商系統而被逮捕—這些事件都在不斷地提醒他們的工作面臨的風險。

“我們必須時刻都保持正確，”安全公司趨勢科技（Trend Micro）首席信息安全官湯姆·凱勒曼說。他說，網絡犯罪“必須被立即糾正”。

10 年前，沒有哪個組織會存在現在人們所知的專職首席信息安全官（CISO）。而今天，根據調研公司 Ponemon Institute 去年進行的一項研究結果，超過一半的千人及以上規模的公司有全職或者兼職的信息安全高管。

許多公司，比如電子支付系統供應商惠爾豐（VeriFone）、飲料公司百富門（Brown-Forman）、北卡羅萊那大學和芝加哥大學，以及新創業的 Fitbit，都在尋找專職的信息安全官。去年經歷了有史以來首次大規模信息泄露的 Neiman Marcus 也正在招聘它的第一個此類高管。

招聘人員說，這個職位現在非常重要，以至于各大公司給出的條件都很優厚。調查數據表明，他們都在用簽約獎金，以及 18.8 萬到 120 萬美元的年薪誘惑著合適的人選，此外，他們還給予了其他好處，比如可以在家辦公、悠長的假期、以及許諾會給更大的預算額度，來為漏洞百出的系統購買更多保護。

然而，這個工作還是看起來那么地吃力不討好。許多參加 Ponemon Institute 調查的首席信息安全官都把自己的崗位難度系數評級為全公司最高。大多數人都說他們的工作不好，有的還說是他們做過的最差的工作。

當去年 Target 的信息被泄露時，它還沒有全職首席信息安全官；到 6 月份它才招到了第一個。貝絲·雅各布斯（Beth Jacobs）兼職負責 Target 的數據保護，因為此事被迫辭職。公司總裁和董事會主席格雷格·斯坦恩哈斐爾（Gregg Steinhafel）也丟掉了飯碗。

搞清楚誰值得信賴

斯蒂芬·弗萊徹（Stephen Fletcher）負責猶他州的數據安全，兩年前，他因為信息泄露而辭職，那次事件使得 78 萬條醫療救助系統內的個人處方信息被泄露。1 月，雅虎的首席信息安全官賈斯汀·索曼尼（Justin Somaini）辭職，隨后雅虎承認部分用戶新修改的電郵賬戶遭到了泄露。這份工作的壓力太大了，據 Ponemon Institute 的調查表明，工作兩年之后，許多人都最終（主動或者被動地）離開了。與此形成對比的是首席執行官，根據其他調查結果，他們的平均供職時間通常穩定在 10 年左右。

在首席信息安全官要面對的所有難題中，最大難題之一就是搞清楚該信賴哪些安全產品。

“過去有句老話，‘沒人因為買了IBM而被炒魷魚’，因為 IBM 值得信賴，”前嘉信理財集團（Charles Schwab）首席信息安全官安德魯·卡斯佩森（Andrew Caspersen）說。“但信息安全公司里還沒有誰能樹立那么高的信譽。”

更何況許多信息安全官認為，殺毒軟件這種傳統的保護形式無法防御當下的威脅，有人說，更新的產品并沒有變更好。他們還抱怨說，面對令人窒息的推銷和對信息安全的恐懼，他們幾乎不可能對信息安全產品進行評估。

3 月，獨立研究機構 NSS Labs 的一份報告強調了這個問題。報告對比了各款信息泄露探測產品，發現以前一度受華爾街青睞的 FireEye 的產品，表現還不如思科的 Sourcefire、趨勢科技，以及其他更便宜的產品（比如 General Dynamics 的 Fidelis 還有 Fortinet 的產品）。

這份報告馬上引發了爭議， 針對 NSS Labs 在報告中指出使用方法“有嚴重缺陷”，FireEye 則要求 NSS Labs 拿出證據來。報告還影響了 FireEye 的股價，自上市以來，它的股價已達到發行價的 3 倍，但報告一出，股價直線下跌。

但信息安全官們說，這次測試并沒有告訴他們任何不知道的事情。他們說，對付信息泄露沒有殺手锏，能做的只有部署最有效的技術、招聘最好的人，然后期待好運。

招聘的人說，前來應聘信息安全官的人都會很謹慎，不會坦誠地進行高難度談話。在接受這份工作之前，一些應聘者想要明確一點：董事會贊同信息泄露是不可避免的，而且他們需要分配足夠多的預算在保障安全的信息技術上。

“如果你知道自己將來要做出犧牲，那就需要足夠的理由才能接受這份工作，”市場研究公司Forrester的安全分析師約翰·金德瓦格（John Kindervag）說。“人們并沒有在意他們對這些可憐人做了什么。他們只是把所有這些復雜的東西往他們肩上一放，然后丟一句‘祝你好運！’”

為了應對這種焦慮，許多首席信息安全官說他們的辦法是自我解嘲。有一個笑話在調研進行的一周時間里被提到過三次。它講的是一個新任信息安全官碰到了他的前任。

前任交給他三個編了號的信封，告訴他到緊急的時候再打開。信息發生泄露了，新任安全官打開了第一個信封，里面寫著“把責任推給前任”。信息又泄露了，他打開了第二個信封，里面建議說“把責任推給下屬”。第三次泄露之后，這位安全官打開了第三個信封。

里面寫著一句話：“準備三個信封”。