[[400110]]

當(dāng)今的首席信息安全官(CISO)需要與過(guò)去的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者有著截然不同的技能，因?yàn)樗麄儗?duì)企業(yè)開(kāi)展業(yè)務(wù)的成功越來(lái)越重要。

與首席執(zhí)行官(CEO)、首席運(yùn)營(yíng)官(COO)或首席財(cái)務(wù)官(CFO)等其他企業(yè)高管職位相比，首席信息官的角色和職責(zé)相對(duì)不成熟，僅在過(guò)去幾年就發(fā)生了顯著的發(fā)展。如今的首席信息安全官的職責(zé)和技能與過(guò)去的安全領(lǐng)導(dǎo)者有所不同，這反映了兩件事：數(shù)據(jù)在企業(yè)日常運(yùn)營(yíng)中扮演著重要且不斷增長(zhǎng)的角色，以及由于對(duì)安全功能的期望不斷提高，需要確保數(shù)據(jù)的安全性和可操作性。

Randstad公司北美地區(qū)首席信息官Tami Hudson說(shuō)：“在以前，首席信息安全官的角色僅僅是專注于技術(shù)，而技術(shù)仍將是基礎(chǔ)。”然而，在我們?nèi)找鏀?shù)字化和數(shù)據(jù)驅(qū)動(dòng)的環(huán)境中，首席信息安全官角色在技術(shù)與業(yè)務(wù)的交匯處提供了獨(dú)特的機(jī)會(huì)，以建立無(wú)處不在的網(wǎng)絡(luò)彈性，從而影響從會(huì)議室到郵件收發(fā)室的業(yè)務(wù)的各個(gè)部分。當(dāng)一切都實(shí)現(xiàn)數(shù)字化時(shí)，一切都處于危險(xiǎn)之中。”

如今，企業(yè)的業(yè)務(wù)成功與信息安全的成功息息相關(guān)。因此，現(xiàn)代首席信息安全官需要一套獨(dú)特的特性來(lái)使有效的數(shù)據(jù)安全策略、流程和實(shí)踐與各種業(yè)務(wù)需求和要求保持一致。

根據(jù)全球信息安全領(lǐng)域的專業(yè)人士提供的信息，以下是當(dāng)今首席信息安全官需要具備的五個(gè)最重要的品質(zhì)，以及如何獲得和保持這些品質(zhì)和技能的建議。

1.現(xiàn)代的首席信息安全官需要會(huì)講業(yè)務(wù)的語(yǔ)言

Cyber​​GRX公司首席信息安全官 Dave Stapleton解釋說(shuō)，“在網(wǎng)絡(luò)安全發(fā)展的早期，首席信息安全官最初希望執(zhí)行技術(shù)含量高且通常未公開(kāi)的行動(dòng)來(lái)保護(hù)其組織。如今，首席信息安全官不能簡(jiǎn)單地成為其組織的技術(shù)專家。他們同樣需要了解企業(yè)的經(jīng)營(yíng)使命，并清楚地說(shuō)明他們開(kāi)展的工作如何支持這一使命，為企業(yè)領(lǐng)導(dǎo)層提供切實(shí)可行的見(jiàn)解，并在在企業(yè)內(nèi)部中營(yíng)造一種以安全為中心的文化。”

Stapleton補(bǔ)充說(shuō)：“如果首席信息安全官不能完全理解其企業(yè)開(kāi)展業(yè)務(wù)的使命，或者無(wú)法有效傳達(dá)安全對(duì)業(yè)務(wù)的影響，那么其有效性將至少受到影響。而在某些情況下，這種無(wú)法溝通甚至?xí)?dǎo)致首席信息安全官或企業(yè)領(lǐng)導(dǎo)層做出錯(cuò)誤的決策，將會(huì)為企業(yè)的安全帶來(lái)直接和負(fù)面的影響。”

Stapleton認(rèn)為，對(duì)于首席信息安全官來(lái)說(shuō)，培養(yǎng)以業(yè)務(wù)為中心的溝通技能至關(guān)重要。他說(shuō)，“不幸的是，如果首席信息安全官為不征求意見(jiàn)或不重視其意見(jiàn)的企業(yè)工作，這可能會(huì)很困難。也就是說(shuō)，每個(gè)首席信息安全官都應(yīng)該能夠找到機(jī)會(huì)向企業(yè)領(lǐng)導(dǎo)層表達(dá)自己的信息。其中每一個(gè)機(jī)會(huì)都是有意義的，都有可能為隨后的參與打開(kāi)大門。”他建議，首席信息安全官還應(yīng)將其了解信息的范圍從技術(shù)博客和安全新聞媒體擴(kuò)展到商業(yè)新聞來(lái)源，例如《華爾街日?qǐng)?bào)》、《福布斯》或彭博社。

2.現(xiàn)代的首席信息安全官是合作者

如今，首席信息安全官還必須是企業(yè)各部門之間的合作者，能夠在整個(gè)組織中建立和維護(hù)關(guān)系。國(guó)際信息安全認(rèn)證機(jī)構(gòu)CREST公司總裁Ian Glover說(shuō)，“網(wǎng)絡(luò)安全不是一門孤立運(yùn)作的學(xué)科。為了取得成效，網(wǎng)絡(luò)安全需要來(lái)自其他業(yè)務(wù)部門的支持和專業(yè)知識(shí)，包括IT和通信、內(nèi)部審計(jì)、人力資源、營(yíng)銷甚至文化變革計(jì)劃。”

Glover補(bǔ)充說(shuō)，首席信息安全官需要確定可以從中獲得支持并努力工作，以建立基于信任、同理心、目標(biāo)明確的協(xié)作關(guān)系的業(yè)務(wù)領(lǐng)域。

Chime 集團(tuán)首席信息安全官M(fèi)ark Nicholls對(duì)此表示認(rèn)同，并強(qiáng)調(diào)了企業(yè)工作人員在任何安全策略中的重要性。沒(méi)有在業(yè)務(wù)部門建立牢固關(guān)系，安全功能很難有效發(fā)揮作用。對(duì)于包括首席信息安全官在內(nèi)的安全團(tuán)隊(duì)的每個(gè)成員來(lái)說(shuō)，重要的是要花費(fèi)時(shí)間與各個(gè)業(yè)務(wù)部門了解他們的目標(biāo)以及安全性如何幫助他們實(shí)現(xiàn)目標(biāo)。

Nicholls表示，這種文化也能喚起成功并激勵(lì)良好的行為習(xí)慣，將有助于建立這種關(guān)系。他說(shuō)，“與企業(yè)建立信任意味著將向首席信息安全官尋求幫助，并使他們盡早參與有助于按設(shè)計(jì)原則進(jìn)行安全保護(hù)的項(xiàng)目，而不是在重蹈覆轍之后嘗試改進(jìn)安全性。”

3.現(xiàn)代的首席信息安全官在情感上是明智的

Club公司首席信息安全官Stephen Khan表示，如今的首席信息安全官需要情感上的智慧。他解釋說(shuō)，“這種素質(zhì)應(yīng)該不僅包括對(duì)他人的同理心和對(duì)自我的自我意識(shí)。在經(jīng)常處于高壓環(huán)境中的領(lǐng)導(dǎo)團(tuán)隊(duì)，意味著我們的主要關(guān)注問(wèn)題之一是他們的健康，并確保我們對(duì)他們的支持。對(duì)他們擔(dān)心的事情有同理心和了解，可以在這里有所幫助，并確保我們真正感興趣并參與其中。這會(huì)帶來(lái)更積極的結(jié)果。”

同樣，在現(xiàn)代安全領(lǐng)導(dǎo)角色中，認(rèn)識(shí)和理解自己的偏見(jiàn)和知識(shí)差距也是至關(guān)重要的。Khan補(bǔ)充說(shuō)，“意識(shí)到這些可以確保我們能夠建立一個(gè)多元化、包容性的團(tuán)隊(duì)，這也讓我們能夠確保員工能夠補(bǔ)充知識(shí)并支持薄弱領(lǐng)域。此外，考慮到現(xiàn)代首席信息安全官角色的壓力，自我照顧以及能夠找到生活、家庭、自我、工作的平衡對(duì)于避免疲勞問(wèn)題至關(guān)重要，這一點(diǎn)已經(jīng)困擾著全球各地的安全領(lǐng)導(dǎo)者。”

4.現(xiàn)代的首席信息安全官的戰(zhàn)略重點(diǎn)

華盛頓網(wǎng)絡(luò)風(fēng)險(xiǎn)咨詢機(jī)構(gòu)Good Harbor公司總裁Emilian Papadopoulos表示，現(xiàn)代首席信息安全官最被人忽視的重要素質(zhì)之一就是戰(zhàn)略重點(diǎn)。他說(shuō)，“首席信息安全官受到各方面的干擾：最新的TTP(戰(zhàn)術(shù)、技術(shù)和程序)、不斷更新的技術(shù)解決方案、商業(yè)環(huán)境的變化以及來(lái)自高管、監(jiān)管機(jī)構(gòu)和客戶的大量問(wèn)題。盡管其他高管可能會(huì)需要重新獲得戰(zhàn)略重點(diǎn)，但大多數(shù)首席信息安全官憑借其職責(zé)將近全天候處于聯(lián)系狀態(tài)。”

Papadopoulos補(bǔ)充說(shuō)，“因此，關(guān)注戰(zhàn)略重點(diǎn)應(yīng)是當(dāng)今首席信息安全官普遍且值得注意的挑戰(zhàn)。但是，我看到了出色的首席信息安全官在一些方面表現(xiàn)出色：通過(guò)制定簡(jiǎn)明、有案可稽的戰(zhàn)略或優(yōu)先事項(xiàng)清單，通過(guò)讓主要利益相關(guān)者達(dá)成共識(shí)并共享優(yōu)先事項(xiàng)的所有權(quán)，使他們成為外部驅(qū)動(dòng)而不是僅僅是首席信息安全官本身的優(yōu)先事項(xiàng)，通過(guò)花費(fèi)時(shí)間與其他首席信息安全官進(jìn)行點(diǎn)對(duì)點(diǎn)對(duì)話，他們可以專注于自己最重要的問(wèn)題，而不是對(duì)其他人更重要的問(wèn)題作出反應(yīng)。”

5.現(xiàn)代的首席信息安全官需要更加頑強(qiáng)

最后，當(dāng)今的首席信息安全官需要頑強(qiáng)的素質(zhì)，使他們能夠繼續(xù)努力改善復(fù)雜、多方面的安全格局。Stapleton說(shuō)。“網(wǎng)絡(luò)安全通常沒(méi)有快速解決辦法。因此，首席信息安全官必須著眼長(zhǎng)遠(yuǎn)的這些變化，無(wú)論多么明智和獲得支持，都需要投入時(shí)間和資源。這些資源將使人們的注意力轉(zhuǎn)移到其他活動(dòng)上，而這些活動(dòng)通常更容易理解，更直接地支持正常的業(yè)務(wù)運(yùn)營(yíng)。”

Stapleton補(bǔ)充說(shuō)，首席信息安全官必須就如何改進(jìn)網(wǎng)絡(luò)安全提出一致的信息。他說(shuō)，“他們不太可能在第一次詢問(wèn)時(shí)得到確切的答案。因此，首席信息安全官必須具備‘不接受’的能力，并繼續(xù)提出支持和資助的理由。”

Kahn對(duì)此表示認(rèn)同，他說(shuō)：“在某些場(chǎng)合，會(huì)出現(xiàn)來(lái)自利益相關(guān)者的壓力。對(duì)其職能發(fā)展的方向保持信心，并注意改變方向所需要的理性和努力。保持專注有助于企業(yè)的團(tuán)隊(duì)取得成功，而不是過(guò)于頻繁地根據(jù)利益相關(guān)者的觀點(diǎn)改變方向，讓團(tuán)隊(duì)成員感到筋疲力盡。”