信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

CISO（首席信息安全官）在保障現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型安全開(kāi)展中發(fā)揮著關(guān)鍵性作用，也面臨諸多的挑戰(zhàn)。他們既要滿足監(jiān)管部門(mén)復(fù)雜而嚴(yán)苛的監(jiān)管要求，又要兼顧關(guān)鍵業(yè)務(wù)的安全性與連續(xù)性之間的平衡，還要應(yīng)對(duì)安全預(yù)算和專業(yè)人才不足的問(wèn)題。

日前，研究機(jī)構(gòu)Gartner開(kāi)展了一項(xiàng)關(guān)于CISO的專項(xiàng)調(diào)查，通過(guò)對(duì)227名CISO過(guò)去三年職業(yè)發(fā)展情況的跟蹤觀察與分析，研究人員發(fā)現(xiàn)，那些表現(xiàn)出色的頂級(jí)CISO往往都具有一些共性的素養(yǎng)和習(xí)慣，他們不會(huì)陷入技術(shù)性的安全運(yùn)營(yíng)工作中去，而是善于溝通與授權(quán)，并且能夠讓網(wǎng)絡(luò)安全工作和企業(yè)的數(shù)字化發(fā)展目標(biāo)保持一致。

圖：CISO工作成效衡量體系

在Gartner的研究報(bào)告中，將“頂級(jí)CISO”定義為CISO工作成效衡量中得分最高的那一小部分人。通過(guò)從管理能力、安全保障能力等4個(gè)維度對(duì)CISO的工作成效進(jìn)行衡量評(píng)價(jià)，只有11%的受訪CISO在全部四個(gè)工作成效類別中表現(xiàn)出色。研究人員發(fā)現(xiàn)，這些表現(xiàn)最出色的頂級(jí)CISO通常具有以下五個(gè)職業(yè)素養(yǎng)：

1.關(guān)注新技術(shù)發(fā)展趨勢(shì)

數(shù)字環(huán)境和網(wǎng)絡(luò)安全都在不斷變化，如果CISO在應(yīng)對(duì)新舊威脅時(shí)變得過(guò)于自負(fù)或自滿，他們的專業(yè)知識(shí)會(huì)變得落伍，這將可能使組織面臨潛在的安全風(fēng)險(xiǎn)。研究發(fā)現(xiàn)，那些頂級(jí)CISO會(huì)在整個(gè)企業(yè)主動(dòng)談?wù)摬粩喟l(fā)展的國(guó)際安全領(lǐng)域監(jiān)管要求與規(guī)范，他們也會(huì)與業(yè)務(wù)負(fù)責(zé)人討論他們感興趣的話題，比如地緣政治、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和數(shù)字資產(chǎn)安全等方面。對(duì)于優(yōu)秀的CISO來(lái)說(shuō)，愿意學(xué)習(xí)、提出批判性的問(wèn)題和運(yùn)用最新解決問(wèn)題的技能是必不可少的。

2.合理分配工作時(shí)間

CISO的工作非常繁雜：既要應(yīng)對(duì)越來(lái)越多的新型安全威脅，還要和信息化部門(mén)保持溝通，幫助他們保持敏捷、加快開(kāi)發(fā)速度、轉(zhuǎn)向遠(yuǎn)程工作。當(dāng)工作壓力越來(lái)越大時(shí)，CISO們的倦怠感也隨之而來(lái)。因此，頂級(jí)CISO通常都具備較好的壓力管理能力，善于對(duì)額外的工作時(shí)間和責(zé)任說(shuō)不。CISO及其團(tuán)隊(duì)?wèi)?yīng)該明確地對(duì)那些非重點(diǎn)工作說(shuō)不，這不僅僅是為了管理壓力，也是為了盡量減少干擾，由注重工作過(guò)程轉(zhuǎn)為注重工作結(jié)果。

3.與IT之外的人建立關(guān)系

Gartner表示，頂級(jí)CISO會(huì)用更多的時(shí)間去和非IT利益相關(guān)者進(jìn)行溝通交流，因?yàn)樵谒麄兊囊庾R(shí)中，銷售主管、市場(chǎng)主管和業(yè)務(wù)部門(mén)負(fù)責(zé)人都是他的關(guān)鍵工作合作伙伴。在現(xiàn)代企業(yè)中，與人打交道已經(jīng)成為CISO的重要工作，他們既要向領(lǐng)導(dǎo)匯報(bào)工作、爭(zhēng)取預(yù)算與資源；又要向下屬下達(dá)意見(jiàn)、統(tǒng)籌指揮。這意味著，他們要更廣泛地參與到組織各項(xiàng)業(yè)務(wù)運(yùn)營(yíng)工作中。因此，CISO需要利用網(wǎng)絡(luò)安全之外的廣泛技能，探究企業(yè)內(nèi)更值得關(guān)注的方面。隨著網(wǎng)絡(luò)安全形勢(shì)不斷變化，網(wǎng)絡(luò)安全工作已經(jīng)觸及企業(yè)的各個(gè)部門(mén)，這會(huì)促使CISO積極參與到企業(yè)運(yùn)營(yíng)的各個(gè)方面，并不斷學(xué)習(xí)成長(zhǎng)。

4.了解企業(yè)的風(fēng)險(xiǎn)偏好

Gartner研究認(rèn)為，CISO準(zhǔn)確理解企業(yè)的風(fēng)險(xiǎn)偏好對(duì)于推動(dòng)網(wǎng)絡(luò)安全能力建設(shè)至關(guān)重要。麥肯錫公司指出，網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)專業(yè)人士需要深入地了解風(fēng)險(xiǎn)，這樣才能確保制定的防護(hù)策略真正有效，否則可能造成重大的業(yè)務(wù)損失。了解企業(yè)的風(fēng)險(xiǎn)偏好同時(shí)帶來(lái)的好處是，這種風(fēng)險(xiǎn)視角有助于CISO更好控制安全建設(shè)成本。頂級(jí)CISO通常能夠準(zhǔn)確認(rèn)識(shí)到高層決策者對(duì)其工作效果的影響，并在項(xiàng)目之外與他們建立良好溝通關(guān)系，共同確定企業(yè)的風(fēng)險(xiǎn)偏好。

5.積極推動(dòng)企業(yè)的數(shù)字化變革

CISO崗位的一個(gè)重要價(jià)值就是有機(jī)會(huì)成為推動(dòng)企業(yè)變革的角色，而變革型CISO擅長(zhǎng)解決問(wèn)題，優(yōu)化不足和打破孤島。頂級(jí)的CISO通常都能夠積極應(yīng)用創(chuàng)新的安全技術(shù)。很少有CISO認(rèn)為這是應(yīng)該由下屬去負(fù)責(zé)的事情。頂級(jí)CISO通常會(huì)密切關(guān)注新興技術(shù)、新技術(shù)部署后帶來(lái)的威脅面變化。此外，頂級(jí)的CISO還有能力改變組織成員在安全方面的傳統(tǒng)觀念，幫助他們將這種轉(zhuǎn)變帶到個(gè)人生活中，使員工不僅反饋工作中安全成熟度有所提高，還會(huì)向家人和周圍朋友傳授安全經(jīng)驗(yàn)，這些都能夠體現(xiàn)出頂級(jí)CISO工作的意義和價(jià)值。