首席信息安全官这一角色首次出现距今已经过去了数十年。而且尽管不少大型企业目前仍然没有设置专门的CISO职位，但众多网络安全事件接连发生以及信息安全重要性的不断攀升将很快改变其固有观念。

企业高管团队该如何帮助统辖下的部门实现信息安全？他们又该如何将技术理念与领导能力以独立方式加以结构，从而构建起业界领先的网络安全部门？通过下面对几位网络安全高管职业生涯的回顾，相信大家能够了解到他们是如何迈入高团层级，又是如何交付安全保障方案的。

二十年前，几乎很少有企业会专门设立一个高管职位来关注网络安全事务。然而时至今日，很多企业及政府机关都已经建立起专门的网络安全部门及高层领导者。下面列出的几项数据将足以说明CISO这一角色的突出作用。

• 超过1600个:这是目前领英之上以CISO头衔标注自身职位的美国用户数量。从地理层面来看，CISO主要分别在一线城市：举例来说，华盛顿特区有着200位CISO，而纽约市区的CISO数量亦超过150位。

• 设立CISO职位的组织机构往往拥有更低的安全损失数额。根据Ponemon协会发布的2013年数据泄露成本研究报告显示，设立有CISO职位的企业在数据泄露事故当中每条记录产生的平均损失为8美元，而那些未设立CISO职位的企业在数据泄露事故当中每条记录产生的平均损失则高达24美元。

• 18万9323美元:根据Salary.com网站发布于2015年12月的数据，美国本土首席信息安全官（简称CISO）的平均数字为18万9323美元。

• MBA关注网络安全：已经有多个著名商学院面向网络安全领域提供MBA学位（或者显著强调网络安全内容）。其中包括英国考文垂大学、美国乔治华盛顿大学全球EMBA课程以及奥尔巴尼大学。

储备知识并积极争取职位

要成为一名成功的CISO，我们需要拥有技术层面的专业知识、出色的沟通能力以及强大的人脉网络。通往CISO的道路多种多样，这是因为该角色在高管团队当中属于后来者，而且安全挑战本身的发展速度亦非常惊人。太平洋天然气与电气公司的CISO Bernie Cowens早在美国陆军服役时就开始了自己的安全职业之路，他当时的任务主要是保护物理资产与军方情报。太平洋西北国家实验室的CISO Troy Thompson则凭借着在支持高复杂性安全研究项目过程中的出色表现而得到晋升。好事达保险公司的CISO Jeff Wright则立足于网络安全一步步迈上高管殿堂。而无论具体选择怎样的发展道路，可以看到坚实的知识储备都是成为CISO的关键性起点。

要成功晋升为CISO，我们需要经历复杂的过程并面对众多竞争对手。“我在六个月之前与国内一家猎头公司联系并开始争取CISO职位，”Cowens表示，他后来参与到了这家企业的面试环节，而与他同时入围的还有20多名其他竞争者。其它一些企业则强调个人人脉网络，并以此作为衡量应聘者是否合格的重要标准。“在担任CISO之前的几年，我曾经与几位好事达公司的高管碰过面。随着时间推移，我与他们逐渐熟识，他们也鼓励我加入到这家企业当中，”好事达保险公司的Wright回忆称。总而言之，迈向CISO的道路上几乎不可避免地会碰到多方面试以及其它扩展性招聘流程。

从消极面对到积极贡献

信息安全专家在某些圈子里的名声往往不太好。“从传统角度讲，企业往往采取防御性的安全保护姿态，即等待着攻击活动的出现，”Cowens表示。“我曾经遇到过一位CISO，人们喜欢称他为‘NO先生’或者‘NO博士’，因为他在面对企业业务时总是抱有一种消极的态度，”TeleTech公司CISO Sam Masiello告诉我们。而这种消极且不利于商业声誉的信息安全保护理念正随着桌上首席信息安全官们的不懈努力而有所改观。

主动性信息安全领导方式已经成为相关工作最高水平的标志。“董事会已经开始对网络安全事务抱有兴趣，而我则几乎负责主持董事会会议中的所有此类议程，”Cowens表示。“董事会、CEO以及其他高管人员都对网络安全抱有深厚兴趣。我会定期与他们就特定议题进行交流，即：这不是那种一年一次的检查性工作，”Wright指出。“我采取的实施方案之一就是编写一页网络安全议题概要，帮助各位董事会成员了解安全知识，”Cowens提出了自己的工作心得。

将安全工作视为一种风险管理任务，而非单纯的安全或者不安全这类二元观点，这样的理念对于CISO向高管团队传达信息非常重要。“我建议大家在身为安全领导者的前提下，采取‘我们是如此这般解决问题的’态度进行细心讲解，”Cowens表示。“如果大家总是站在业务的对立面上，那么业务部门则会‘耍流氓’，即在完全无视安全部门支持与建议的情况下自作主张，”于2015年出任TeleTech公司CISO的Masiello解释称。

积极建立相关安全文化

CISO们也许能够在部门当中建立起最出色的安全团队与技术方案，但如果没有相关文化作为加持，那么其结果仍然会一败涂地。“网络安全培训就像是去看牙医：虽然很多人发现过程疼痛难忍，但却是必不可少的，”太平洋西北国家实验室网络安全负责人Troy Thompson表示。当然，必须强调的是如果培训本身让人感到痛苦及抵触，那么非安全员工恐怕不太可能愿意坚持采取新的安全工作方式。

“我们在推进企业内网络安全培训工作时采取了一种市场营销手段，”好事达公司CISO Wright指出。面对数万名员工，好事达公司要想普及网络安全知识显然难度很大。“我们利用我们从保险产品营销工作中积累到的经验来推动网络安全培训事务，”Wright告诉我们。“在交流过程中，必须传达的一项核心消息在于每一位员工的决定——包括点击某条链接或者如何处理包含有敏感信息的电子表格——都会给整家企业造成影响，”Wright进一步补充称。立足于这项培训项目，好事达公司制定了一整套计划，要求全体工作人员各自承担起对应的安全责任。

写给未来CISO们的建议

如果大家已经拥有良好的安全技能与专业知识，接下来该如何将自己培养成一名合格的CISO？以高效方式同他人沟通的能力绝对不可或缺。“立足于自己的职能角色，我会与董事会、内部工作人员以及政府监管部门探讨安全议题，”Wright指出。解决由监管机构提出的安全与隐私保护问题已经迅速成为众多保险企业、银行、公共事业单元以及其它高度管制领域的重要任务。

“IT运营方面的丰富经验能够帮助我们在成长为CISO的道路上显著加分。这意味着我们已经迈出了职业生涯中非常重要的第一步，”Thompson补充道。“另外，记得与导师及同学培养良好的关系——包括那些效力于其它企业的熟人——这对于我们的职业发展非常有益，”Thompson强调称。“考虑到网络安全工作具备高度敏感性，我建议大家拿出一定时间不断培养自己的人脉关系，”他补充称。要想成为一名成功的CISO，我们必须有能力快速适应不同的交流对象，并以基于风险的安全观点为方针同对方建立起良好的协作关系。

转载请注明来自 E安全 （www.easyaq.com）

您也可以下载E安全app获取及时最及时的安全资讯