Rendkívüli juttatások, gyakran meghirdetett pozíciók várják az információbiztonságért felelős vezetőket, avagy angolul a Chief Information Security Officer-eket (CISO). Az állás mégsem tekinthető állommelónak, hiszen ha bármi komolyabb adatvesztés történik, a CISO-nak mennie kell.

Tíz éve szinte még nem is voltak

A pozíció tulajdonképpen a technológiai fejlődés melléktermékeként keletkezett. Tíz évvel ezelőtt még szinte egyáltalán volt példa, hogy egy vállalatnál erre a feladatra dedikált munkatársat állítottak volna. Ma már ellenben az ezer főnél népesebb cégek több mint felénél dolgozik teljes vagy részmunkaidőben kinevezett CISO.

Az élénkülés mögött nem nehéz felfedezni az utóbbi években megszaporodott adatbiztonsági incidensek "rábeszélő erejét". Csak az elmúlt fél évből olyan nagy áldozatokat tudunk említeni, mint például az eBay, a Kickstarter vagy éppen a Snapchat. De hogy a probléma nem korlátozódik az internetes cégekre, arra kiváló példát jelent az amerikai Target üzletlánc múlt év végi fiaskója.

Hibázni? Na azt nem lehet!

A CISO dolga papíron rendkívül egyszerű: biztosítani kell, hogy a vállalati adatok ne kerüljenek illetéktelen kezekbe, és a rendszerhez senki illetéktelen ne tudjon hozzáférést szerezni. A gyakorlatban viszont ez azt követelné a szakembertől, hogy nem éppen feneketlen erőforrásból gazdálkodva, egyedül (vagy legalábbis szűk csapatával) tudjon egy lépéssel előrébb járni a jól szervezett bűnözői csoportok, önjelölt hackerzsenik és katonai, polgári hírszerzők jelentette potenciális fenyegetésnél.

Ha ez még nem lenne elég probléma, akkor adjuk hozzá az ellenség rovathoz a szállítókat, amelyek néha tudatosan, néha akaratlanul is szivárogtatnak. Vagy a saját kollégákat, akik elméletben lehet, hogy megértették és elfogadták a biztonságos működéshez elengedhetetlen játékszabályokat, mégis sokszor nagy ívben tesznek az előírásokra, ha éppen a kényelmükről van szó.

Miközben egy csatárnak elég egy helyzetet berúgnia a sokból, ha az meccsdöntő találat, akkor ő lesz a hős. Ehhez képest a kapus védhet briliánsan, ha beenged egy közepes lövést, már ő a balek, akin  elment a mérkőzés. A CISO feladata és eredményeinek megítélése nagyban hasonlít egy kapuséhoz, miközben a hackerek az információbiztonság csatárai. Hiába végzi kiválóan a munkáját a CISO, ha egyszer valaki "gólt lő", már veheti is a kalapját.

Tejben, vajban

Az információbiztonsági főnök széke átlagosan kétévente új tulajdonoshoz kerül, ami ötödannyi idő, mint amennyit más nagyvállalati vezetői pozícióban el szokás tölteni. Nem csoda, hogy a sok feszültséggel és borítékolhatóan rövid jövőképpel rendelkező állást egyre komolyabb ellentételezéssel igyekeznek csábítóbbá tenni a munkaadók. Az USA-ban egy ilyen pozíció kürölbelül 200 ezer dolláros éves fizetéssel indul, de előfordul az egymillió feletti javadalmazás is. A pénz mellett külön ösztönző lehet a rugalmas munkaidő, az extra szabadság vagy éppen annak az ígérete, hogy a célok eléréséhez szükséges büdzsét garantáltan biztosítja a cégvezetés.

Mindezek ellenére a CISO pozíció nem csak azért nem nyugdíjas állás, mert az ember hibázik és elbocsátják. A kétéves vetésforgó mögött több esetben a dolgozó önkéntes távozása áll, mert nem tud megbírkózni a rá nehezedő nyomással. Az információbiztonsági vezetőnek egyszerre kell kiváló kapcsolatokat ápolni a technikai és nem technikai munkatársakkal, megfelelően elboldogulni a felsővezetői diplomáciai csatározásokban, valamint nem mellesleg kiváló szakembernek lenni, aki tisztában van a kockázatokkal, fenyegetettségi szintekkel és az ezekre adandó legjobb válaszokkal. Nem csoda, hogy könnyen halnak...