信息化觀察網(wǎng)

任何負(fù)責(zé)技術(shù)和數(shù)字技術(shù)的首席級高管職位都必須具有安全和風(fēng)險(xiǎn)管理敏銳度。這種敏銳度可以通過輪任各種職位獲取。

任首席信息安全官（CISO）一職的人很少最后會(huì)晉升為首席信息官（CIO），按道理CISO升CIO似乎順理成章。CISO歷史上歸CIO管，由于各種威脅因素的大幅增加，CISO角色的重要性也大大提高了。而且，由于安全問題已經(jīng)成了董事會(huì)關(guān)注的東西，CISO經(jīng)常要在去董事會(huì)和管理團(tuán)隊(duì)會(huì)議上發(fā)言，這一方面顯示了CISO的重要性，同時(shí)也可以提升CISO的形象。

那么為什么CISO升遷CIO之路并不平坦呢？首先，CIO必須聚焦創(chuàng)新，也就是引入風(fēng)險(xiǎn)因素，而CISO的職責(zé)卻是管理或降低風(fēng)險(xiǎn)。當(dāng)然這并不是說CISO就不能為公司進(jìn)行重大創(chuàng)新，但CISO要聚焦風(fēng)險(xiǎn)管理，這肯定會(huì)成為限制CISO升遷的一個(gè)因素。此外，與其他與信息科技相關(guān)的職位角色相比，安全這個(gè)角色也相對孤立一些，而且信息科技部門缺乏領(lǐng)導(dǎo)角色也可以視為另一個(gè)限制因素。

CISO也有其正面因素，安全性的重要性在日益增加，公司爆出安全漏洞的案例越來越多，CISO在許多公司里已經(jīng)和CIO平起平坐了。

CISO升遷為CIO的一個(gè)例子是Wafaa Mamilli，她現(xiàn)在是全球最大的動(dòng)物保健公司Zoetis Inc.的執(zhí)行副總裁兼首席信息數(shù)字官。Wafaa Mamilli曾任禮來公司全球CISO一職三年，2016年2月被提升為禮來公司業(yè)務(wù)部全球首席信息官。

Jason Ruger是另一個(gè)例子，他既是聯(lián)想的全球CISO也是聯(lián)想摩托羅拉業(yè)務(wù)部門的CIO。

記者想知道Mamilli是如何從CISO升為CIO的，Mamilli稱聚焦使能業(yè)務(wù)策略是關(guān)鍵點(diǎn)。她表示，“我在我的整個(gè)職業(yè)生涯里，不管擔(dān)任什么職務(wù)都始終確保我的角色融合在業(yè)務(wù)策略和結(jié)果里。這樣做同時(shí)令我在業(yè)務(wù)和技術(shù)領(lǐng)域不斷學(xué)習(xí)。幾個(gè)領(lǐng)域的交匯處會(huì)發(fā)生神奇的事。”

她說她的CISO角色帶點(diǎn)“幸福的意外”味道，不過她很高興自己擔(dān)任過這個(gè)職位。她表示，“我當(dāng)時(shí)完全沒有信息安全方面的經(jīng)驗(yàn)，公司要我負(fù)責(zé)。我知道這是因?yàn)槲伊私鈽I(yè)務(wù)，也在全球各種職位和技術(shù)部門有好的聲譽(yù)。” 她認(rèn)為CISO的角色對她來說是極好的學(xué)習(xí)機(jī)會(huì)，陡峭的學(xué)習(xí)曲線和豐富的經(jīng)驗(yàn)為她準(zhǔn)備好了承擔(dān)現(xiàn)在的廣泛職責(zé)。

Jason Ruger身兼雙職，他必須平衡兩個(gè)角色，一方面，CIO希望從盡可能多的不同來源收集信息建立見解，另一方面，CISO的責(zé)任是將不同的來源分開處理，避免將多個(gè)數(shù)據(jù)源放在一起的視圖，因?yàn)槿绻@樣做的話會(huì)導(dǎo)致橫向動(dòng)作及增加風(fēng)險(xiǎn)。Ruger表示，“我們的數(shù)據(jù)越多，再加上客戶從隱私角度出發(fā)選擇與我們共享的數(shù)據(jù)越多，為公司帶來的責(zé)任就越大。從CIO的角度來看，客戶與我們共享的數(shù)據(jù)越多，或者出于質(zhì)量的角度需要確切知道是什么機(jī)器將特定零件焊接到哪些設(shè)備上而從生產(chǎn)線收集的數(shù)據(jù)越多，我作為首席信息官就可以更好地為公司做出決策。”

Mamilli認(rèn)為，CISO角色始終需要將業(yè)務(wù)放在思考過程的中心。她表示，“要在安全性與便利性之間取得平衡，同時(shí)還要以適當(dāng)?shù)牟椒?shí)現(xiàn)相關(guān)的創(chuàng)新，這幾點(diǎn)對一名CISO高管來說都很重要，CISO給的答案不能老是否定，有時(shí)的答案應(yīng)該是肯定。”Mamilli在做目前職位的工作時(shí)借鑒了曾經(jīng)主導(dǎo)她的職責(zé)的思維過程。她表示，“我在目前的CIDO的職位上對技術(shù)風(fēng)險(xiǎn)有了更深的體會(huì)，對安全性設(shè)計(jì)實(shí)現(xiàn)的體會(huì)也更深了，也更深地體會(huì)到要提高團(tuán)隊(duì)技能真正使安全性和風(fēng)險(xiǎn)管理成為每個(gè)人的工作。”

Ruger發(fā)現(xiàn)擔(dān)任雙重角色有助于他更好地理解一些雙重需要，一方面要從網(wǎng)絡(luò)安全角度定位最重要的業(yè)務(wù)，另一方面也要從投資的角度定位最重要的業(yè)務(wù)。他還發(fā)現(xiàn)，同時(shí)擔(dān)任這兩個(gè)角色有助于他更好地從CISO的角度理解CIO，CIO從成本角度對系統(tǒng)進(jìn)行優(yōu)先排序的方向是相反的。他表示，“我身為首席信息官，能了解首席信息安全官給首席信息官的壓力。首席信息官通常要承受很大的成本壓力。我們通常將本地計(jì)算和云計(jì)算混合在一起。這種系統(tǒng)該打補(bǔ)丁時(shí)有時(shí)不能及時(shí)打補(bǔ)丁。我們無法挑個(gè)時(shí)間停機(jī)，我們沒資源等等。而從CISO的角度又有助于我了解CIO的視角，能了解CIO如何確定需要打補(bǔ)丁系統(tǒng)的優(yōu)先級。我們需要確定哪些進(jìn)行監(jiān)視和層的優(yōu)先級，我們不能同等對待所有數(shù)據(jù)。”

Mamilli認(rèn)為，更多任職 CIO的人應(yīng)該去做一做CISO，因?yàn)镃ISO技能是一項(xiàng)關(guān)鍵技能，不會(huì)很快消失。她表示，“我現(xiàn)在堅(jiān)信，任何負(fù)責(zé)技術(shù)和數(shù)字技術(shù)的首席級高管職位都必須具有安全和風(fēng)險(xiǎn)管理敏銳度。這種敏銳度可以通過輪任各種職位獲取。我強(qiáng)烈建議那些想成為CIO、CIDO的人在職業(yè)生涯計(jì)劃里包括安全角色一項(xiàng)。”