几年前,在一家跨国消费品企业总部的新任首席技术官(CTO)与IT部门人员的见面会上。这位CTO向那些技术人员坦白:尽管现在负责整个公司的IT平台——从财务到人力资源系统,从产品线硬件到社交媒体工具用到的数字艺术软件,他对技术几乎没有兴趣。事实上,他甚至没有智能手机。
在IT员工们惊讶的吸气声和诧异表情平息下来后,这位新任CTO说了一些令人深刻的话:“我不需要懂技术,那是你们的任务。我的工作就是让董事会支持IT部门,只要你们能向我这个守旧分子解释清楚你们的项目如何有助于公司最终盈利,我就能让董事会拍板支持。”
这还真是一条技术创新的路线。该公司的技术已经停滞不前了一段时间,因为前任CTO们没能说服董事会投钱购买新技术,或者升级旧有技术。因此,该公司在数码领域已大幅落后于其竞争者。简单说,董事会已经厌倦了听满耳朵的技术术语来决定项目命运,他们希望有人能把这些天书似的专业术语,翻译成他们听得懂的语言。
首席信息安全官(CISO)的角色转换路线,与CTO极其相似。无论规模多小,没有一家公司能忽视黑客和网络罪犯对公司数据带来的日常威胁。甚至公司自身最大的资产——员工,都能暴露、遗失、破坏或交出重要数据,无论是有意还是无意。现在比过去更需要专门的安全意识项目和既定流程,来帮助整个公司合力缓解这些威胁。
那么,如果决定要找人管理这些风险,该怎样选出真正有用的CISO呢?
成为CISO的传统路线与成为CTO的极其相似,也就是从IT部门的技术角色积累经验。今天的很多CISO都对IT和技术安全世界非常精通。他们有很多IT安全资格认证(比如信息系统安全师CISSP),与各家安全厂商来往密切,而且,如果有需要的话,甚至还能撸起袖子码代码,或者分析防火墙日志。然而,今天的大环境下,他们需要更全面的技能集,而且更偏重业务而不是技术。
现代CISO身上,你需要找到以下几种特质:
1. 沟通能力
与董事会和整个公司交流的能力。CISO需要能够向各种各样的人,用他们能理解的语言,解释网络安全概念。由于很多网络威胁可被有效安全意识项目缓解,他们还需要具备影响和形成业务改变的能力。最重要的是,CISO需要能够以精炼清晰的方式呈现出公司的风险态势。
2. 理解业务
CISO需要了解公司运作方式、风险偏好,以及业务运营的特殊条件——尤其是带监管性质的时候。“一刀切”是不适用于网络安全的,甲之蜜糖乙之砒霜,某家公司认为太过危险的东西,或许是另一家公司必不可缺的。实际上,同一家公司不同部门也是如此(比如说USB闪存的使用)。CISO需要了解业务运营可接受的特定风险层级。
3. 理解风险
刨除炒作、流行词、缩写词和环绕高大上电脑机箱的绚丽闪光,网络安全落脚点,其实全在‘风险管理’上。CISO要能够理解风险,知道风险对自家公司的影响,以及缓解风险的方法。这也是很多新一代CISO来自非IT背景的原因之一,比如说来自金融、法律和银行业等风险管理更为成熟的行业。
4. 勇于担当
从很多方面看,CISO的角色都是吃力不讨好的。与其他高管不同,CISO不会为公司带来任何销售增长或成本削减。他们很可能只会在出问题时成为聚光灯焦点,整夜整夜为最新威胁烦心。你得找到能应付这一角色要求的人,同时,还要认识到他们给公司增减的价值在很多方面都是看不见的。他们的职责,就是保持公司名号不要出现在媒体头条。
5. 关注整体安全
这是很多传统CISO表现不够理想的地方。是的,这一角色很大一部分都聚焦在IT上,但其涵盖范围可不仅仅只有这一块。物理安全、培训和意识项目、社会工程和有效管控,对整体安全文化而言,与反恶意软件解决方案和补丁管理同样重要。
6. 领导能力
CISO需要将整个公司——从董事会到清洁工,甚至到供应商,一起带入安全环境。CISO必须对谁都风度翩翩,平易近人,在公司内部有着很好的公众形象。做有感召力的领袖,可比知道怎么配置防火墙,重要得多。
有太多的文章强调CISO要精通安全技术,但实际上,只需要知道基础知识就足够。CISO手下的人才需要深入了解这些,CISO本人只需掌控大局。毕竟,只要支付没出错,首席财务官(CFO)也不需要了解出纳团队处理发票的具体细节不是?同样的,CISO不需要充分领悟份和访问管理系统的低级设计文档,他们只需要知道这个系统能正确工作就行了。
某种程度上,CISO这个角色的寿命不会太长了。未来,保护公司安全的责任,将由单一实体担负。预计首席信息保障官(CIAO)将最终担起管理和控制整个公司数据的全部责任。在类似首席信息官(CIO)、首席网络安全官(CCSO:我们当下的技术型CISO将会担任的角色)和首席物理安全官(CPSO)的辅助下,CIAO将成为保卫整个公司信息流的基石。