CISO（首席信息安全官）在保障現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型安全開展中發(fā)揮著關(guān)鍵性作用，也面臨諸多的挑戰(zhàn)。他們既要滿足監(jiān)管部門復(fù)雜而嚴(yán)苛的監(jiān)管要求，又要兼顧關(guān)鍵業(yè)務(wù)的安全性與連續(xù)性之間的平衡，還要應(yīng)對安全預(yù)算和專業(yè)人才不足的問題。

日前，研究機(jī)構(gòu)Gartner開展了一項關(guān)于CISO的專項調(diào)查，通過對227名CISO過去三年職業(yè)發(fā)展情況的跟蹤觀察與分析，研究人員發(fā)現(xiàn)，那些表現(xiàn)出色的頂級CISO往往都具有一些共性的素養(yǎng)和習(xí)慣，他們不會陷入技術(shù)性的安全運(yùn)營工作中去，而是善于溝通與授權(quán)，并且能夠讓網(wǎng)絡(luò)安全工作和企業(yè)的數(shù)字化發(fā)展目標(biāo)保持一致。

圖：CISO工作成效衡量體系

在Gartner的研究報告中，將“頂級CISO”定義為CISO工作成效衡量中得分最高的那一小部分人。通過從管理能力、安全保障能力等4個維度對CISO的工作成效進(jìn)行衡量評價，只有11%的受訪CISO在全部四個工作成效類別中表現(xiàn)出色。研究人員發(fā)現(xiàn)，這些表現(xiàn)最出色的頂級CISO通常具有以下五個職業(yè)素養(yǎng)：

1. 關(guān)注新技術(shù)發(fā)展趨勢

數(shù)字環(huán)境和網(wǎng)絡(luò)安全都在不斷變化，如果CISO在應(yīng)對新舊威脅時變得過于自負(fù)或自滿，他們的專業(yè)知識會變得落伍，這將可能使組織面臨潛在的安全風(fēng)險。研究發(fā)現(xiàn)，那些頂級CISO會在整個企業(yè)主動談?wù)摬粩喟l(fā)展的國際安全領(lǐng)域監(jiān)管要求與規(guī)范，他們也會與業(yè)務(wù)負(fù)責(zé)人討論他們感興趣的話題，比如地緣政治、網(wǎng)絡(luò)安全風(fēng)險和數(shù)字資產(chǎn)安全等方面。對于優(yōu)秀的CISO來說，愿意學(xué)習(xí)、提出批判性的問題和運(yùn)用最新解決問題的技能是必不可少的。

2. 合理分配工作時間

CISO的工作非常繁雜：既要應(yīng)對越來越多的新型安全威脅，還要和信息化部門保持溝通，幫助他們保持敏捷、加快開發(fā)速度、轉(zhuǎn)向遠(yuǎn)程工作。當(dāng)工作壓力越來越大時，CISO們的倦怠感也隨之而來。因此，頂級CISO通常都具備較好的壓力管理能力，善于對額外的工作時間和責(zé)任說不。CISO及其團(tuán)隊?wèi)?yīng)該明確地對那些非重點(diǎn)工作說不，這不僅僅是為了管理壓力，也是為了盡量減少干擾，由注重工作過程轉(zhuǎn)為注重工作結(jié)果。

圖片

 3. 與IT之外的人建立關(guān)系

Gartner表示，頂級CISO會用更多的時間去和非IT利益相關(guān)者進(jìn)行溝通交流，因為在他們的意識中，銷售主管、市場主管和業(yè)務(wù)部門負(fù)責(zé)人都是他的關(guān)鍵工作合作伙伴。在現(xiàn)代企業(yè)中，與人打交道已經(jīng)成為CISO的重要工作，他們既要向領(lǐng)導(dǎo)匯報工作、爭取預(yù)算與資源；又要向下屬下達(dá)意見、統(tǒng)籌指揮。這意味著，他們要更廣泛地參與到組織各項業(yè)務(wù)運(yùn)營工作中。因此，CISO需要利用網(wǎng)絡(luò)安全之外的廣泛技能，探究企業(yè)內(nèi)更值得關(guān)注的方面。隨著網(wǎng)絡(luò)安全形勢不斷變化，網(wǎng)絡(luò)安全工作已經(jīng)觸及企業(yè)的各個部門，這會促使CISO積極參與到企業(yè)運(yùn)營的各個方面，并不斷學(xué)習(xí)成長。

4. 了解企業(yè)的風(fēng)險偏好

Gartner研究認(rèn)為，CISO準(zhǔn)確理解企業(yè)的風(fēng)險偏好對于推動網(wǎng)絡(luò)安全能力建設(shè)至關(guān)重要。麥肯錫公司指出，網(wǎng)絡(luò)安全和風(fēng)險專業(yè)人士需要深入地了解風(fēng)險，這樣才能確保制定的防護(hù)策略真正有效，否則可能造成重大的業(yè)務(wù)損失。了解企業(yè)的風(fēng)險偏好同時帶來的好處是，這種風(fēng)險視角有助于CISO更好控制安全建設(shè)成本。頂級CISO通常能夠準(zhǔn)確認(rèn)識到高層決策者對其工作效果的影響，并在項目之外與他們建立良好溝通關(guān)系，共同確定企業(yè)的風(fēng)險偏好。

5. 積極推動企業(yè)的數(shù)字化變革

CISO崗位的一個重要價值就是有機(jī)會成為推動企業(yè)變革的角色，而變革型CISO擅長解決問題，優(yōu)化不足和打破孤島。頂級的CISO通常都能夠積極應(yīng)用創(chuàng)新的安全技術(shù)。很少有CISO認(rèn)為這是應(yīng)該由下屬去負(fù)責(zé)的事情。頂級CISO通常會密切關(guān)注新興技術(shù)、新技術(shù)部署后帶來的威脅面變化。此外，頂級的CISO還有能力改變組織成員在安全方面的傳統(tǒng)觀念，幫助他們將這種轉(zhuǎn)變帶到個人生活中，使員工不僅反饋工作中安全成熟度有所提高，還會向家人和周圍朋友傳授安全經(jīng)驗，這些都能夠體現(xiàn)出頂級CISO工作的意義和價值。

參考鏈接：

https://www.thestack.technology/the-five-key-habits-of-top-cisos-best-performing-cisos/