企業(yè)首席信息安全官（CISO）每天都會(huì)考慮很多問題，從網(wǎng)絡(luò)犯罪到補(bǔ)丁管理，從董事會(huì)報(bào)告到數(shù)據(jù)丟失預(yù)防，這些問題似乎是無窮無盡的。但大多數(shù)CISO處理的最緊迫的問題之一是人員配置策略和繼任計(jì)劃。

造成這種壓力和擔(dān)憂的是網(wǎng)絡(luò)安全工作市場(chǎng)面臨的兩個(gè)主要趨勢(shì)。首先，缺乏熟練的安全專業(yè)人員，無法填補(bǔ)全球各地的職位需求;其次，現(xiàn)有團(tuán)隊(duì)中真正有技能的專業(yè)人員數(shù)量較少，并且總是擔(dān)心他們會(huì)離職。CISO的目標(biāo)是避免失去這些關(guān)鍵員工，這也導(dǎo)致其很難有精力去填補(bǔ)更多空缺職位。

統(tǒng)計(jì)數(shù)據(jù)顯示，CISO的平均任期在18到36個(gè)月之間，甚至更短。無論是為了獲得更高薪酬，對(duì)組織預(yù)算的不滿或風(fēng)險(xiǎn)偏好，在高級(jí)的信息安全職位上都有大量的人員流失。高層人員的流失通常會(huì)導(dǎo)致業(yè)務(wù)不穩(wěn)定和市場(chǎng)機(jī)會(huì)下降。人才流失是一個(gè)非常令人擔(dān)憂的問題。面對(duì)這些不利因素，CISO必須不斷關(guān)注自己信息安全團(tuán)隊(duì)的去向，并為保留專業(yè)人才而努力。以下是一些建議：

一是培訓(xùn)。CISO要做的第一件事就是培訓(xùn)團(tuán)隊(duì)成員以利于其職業(yè)生涯發(fā)展，并為他們提供學(xué)習(xí)新技能和新技術(shù)的機(jī)會(huì)。雖然提供培訓(xùn)的成本昂貴，但是為團(tuán)隊(duì)成員的培訓(xùn)支付費(fèi)用是值得的。

二是吸引。CISO需要花費(fèi)時(shí)間陪伴團(tuán)隊(duì)成員，要和他們面對(duì)面交流。雖然這很難，但沒有什么投資比對(duì)團(tuán)隊(duì)成員的投資更重要。

三是挑戰(zhàn)。大多數(shù)優(yōu)秀安全專業(yè)人員的主要特征是好奇心，可以通過交叉訓(xùn)練來培養(yǎng)好奇心。這有很多好處，其中包括擴(kuò)展單個(gè)團(tuán)隊(duì)成員的技能，以加強(qiáng)其在任何給定領(lǐng)域的工作經(jīng)驗(yàn)。

四是領(lǐng)導(dǎo)。信息安全技術(shù)很復(fù)雜，僅靠CISO并不能解決所有問題。因此分散權(quán)責(zé)，其他團(tuán)隊(duì)成員將會(huì)尊重領(lǐng)導(dǎo)者。

五是指導(dǎo)。要真正制定可靠的繼任計(jì)劃并保留關(guān)鍵人才，CISO必須在助手身上投入更多時(shí)間，進(jìn)行關(guān)鍵和必要的指導(dǎo)。

六是感謝。人才需要時(shí)間成長(zhǎng)和成熟，CISO需要感謝大家的幫助，感謝團(tuán)隊(duì)所做的工作。

需要記住，CISO只能控制導(dǎo)致員工離職的變量。離職的原因有很多，他們可能在其他公司獲得了更高的職位、更高的收入而離職，可能因?yàn)樯习嗑嚯x太遠(yuǎn)而離職，或者對(duì)企業(yè)現(xiàn)有政策不滿而離職。CISO要盡可能控制自己能控制的事物，花時(shí)間把這些能做的事情做好。