谭晓生:首席信息安全官需要具备五项能力

发布时间:2018/8/24 9:17:09

      2018 ISC互联网安全大会即将举办,360集团技术总裁兼CSO谭晓生撰文谈首席安全官的五项能力。
      随着全球网络威胁与风险环境的日益变化,企业对信息安全问题的关注上升到了前所未有的高度,企业需要一位高层人物专门领导信息安全与风险管理工作,首席信息安全官就扮演着这样举足轻重的角色。
      1995年Stephen Katz被花旗银行聘为首席信息安全官,从这时起首席信息安全官作为企业内部不可或缺的重要角色开始登上历史舞台。首席信息安全官的职位已经存在二十多年。但首席信息安全官是一个动态角色,在不断变化和演进:从过去单纯的面向技术性基础工作,逐渐更多地融入业务,发挥提升公司核心业务生产力和效率的作用;从传统的安全技术专家角色转变为可信赖的业务风险顾问角色。
      首席信息安全官可谓信息安全专业人士职业生涯的金字塔塔尖,对企业整体安全风险全权负责。在这一职业生涯的顶峰上,安全技术能力不再那么强调,更多的是战略性、商业头脑和软技能,集结一支处理日常安全运营的坚实安全团队,同时打造全员齐心协力共担安全责任的企业安全文化。
      想要成为一名出色的首席信息安全官,没有“一招鲜、吃遍天”的模式可以照搬,是一门“活”的学问,需要在实际工作中不断摸索,但仍有一些经验值得参考和借鉴。
      理解业务、展现价值!
      首席信息安全官必须深刻理解企业的愿景、战略和业务方向,采取一切必要步骤,确保信息资产得到适当保护,确保组织的安全态势与业务愿景保持一致。CEO、股东和董事会最优先关注的永远是利润,只有带来利益或者减少损失,才能证明首席信息安全官存在的必要性。学会如何以业务术语思考并向高级管理层展示安全战略是什么?需要什么资源?对内平衡业务目标与安全目标,对外与企业面临的威胁作斗争,证明安全对业务的价值。
      多沟通、搞关系!
      关系、关系、还是关系!善于与公司内外的各利益相关方建立并保持协同、共生的关系是首席信息安全官成功的关键因素!强大的沟通技巧有助于提高各业务部门对网络安全愿景的理解,随着时间的推移建立起信任关系,有助于获得必要的支持、资金和预算,顺利地将安全融入业务,更好地发挥首席信息安全官职能的影响力。
      有远见和前瞻性!
      如果没有高瞻远瞩,那就只能亡羊补牢,疲于奔命应对各种安全风险!首席信息安全官 需要适应不断变化的网络空间威胁环境,适应不断变化的业务要求。在信息安全领域,首席信息安全官拥有远见意味着能够在风险发生之前就能预见它们,看到威胁的未来,努力带领着安全团队领先黑客和其他威胁一步,在麻烦的苗头发生前将其掐灭。
      不断持续学习!
      技术每天都在变化,信息安全格局和网络威胁每天都在演变。首席信息安全官需要拥抱变化,抱着始终是学生的心态。例如:随着人工智能、区块链等新技术和新趋势的出现,首席信息安全官需要考虑这些技术如何应用于安全领域。
      塑造企业安全文化!
      首席信息安全官可以搭建最好的安全团队班子,但如果忽视打造企业安全文化,员工仅仅是未及时升级修补系统漏洞,或不经意间点击了一封邮件中的一个链接或附件,就有可能葬送掉安全团队的全部努力。首席信息安全官应该在最高管理层的有力支持下,监督、促进和鼓励组织内的安全行为习惯与最佳安全实践,确保所有员工接受适当的安全意识培训,努力打造“网络安全人人有责、人人参与”的良好文化氛围,从而将员工从“最薄弱一环”转变为安全防御的“最强大资产”!
      2018 ISC互联网安全大会特别举办首席安全官高峰论坛,希望论坛的举办,能成为各行业的安全主管交流和分享成功实践、经验得失的重要平台。