对CISO来说,下一份工作最好是怎样的?薪酬更高?福利更好?得到他人的尊重更多?这些要求非常正常,也应该满足,但正因为如此,CISO需要去了解企业想从你们身上寻求哪些技能和品质,这样才能最大限度地提高获得好工作的机会。对大部分人而言,工作或许只是生存的工具,但也有不少人会在职场上追求自己的梦想。从“黑客”、“攻防”、“解密”所诞生的兴趣爱好能否在为你带来利益的同时见证出个人的价值和成就,这就需要每个人对工作、对生活有不同的定义。因此我们看企业和员工之间的双向选择,并不只局限于媚俗或规则,而是更多地会符合理性和逻辑,即为自己寻觅平台的同时恰巧成为了时代推动者中的一员。回到正题,那对企业来说,他们需要招聘来的CISO具备哪些特质呢?
首当其冲的一定是经验,企业必然希望新来的CISO是身经百战的,他除了能面对各种安全事件外,还能为安全团队带来丰富的技能和知识。IT人才招聘公司Fortium Partners的合伙人兼首席执行官 Burke Autrey 表示,企业往往会寻找经验丰富的安全人员,最好是那种“在多家公司多次”担任过CISO的候选人。他说,在他们以前的职位上,CISO职责包括了“常规CISO的安全治理、安全合规运作、监控/威胁检测和事件响应”等,同时他们的CISO在“财务、人力资源、高管和董事会互动以及执法、保险等联络责任”方面都需要有相应的经验。 “企业甚至在寻找过去曾处理过违规事件或公司亏损事件的CISO,企业需要了解这些CISO是怎么处理这些情况的,包括他们曾遗漏过什么、他们如何应对、以及他们之后又是怎么加强公司防御的。”
与此同时,许多小公司愿意成就安全专业人员第一份CISO工作,只要他们具备必要的技能,他们就可以在这些小公司里从安全人员蜕变为CISO。可见“经验”二字多么重要,这就是为什么各行各业都需要“阅历丰富”的人才,因为业内浸染数年的知识财富、专业技能是书本上学不到的,而只有和时代共同进步、和行业不断磨合才能让自己去面对各种风险和突发事件。
作为安全人员的专业知识
“毫无疑问,最重要的专业知识是对应用程序和产品安全的全面了解。”国外知名安全专家Piacente 说道:“这是一种与产品开发、工程团队在深层次技术层面进行协作的能力。”
对于科技公司来说尤其如此。Piacente说:“我所接触到的大多数企业都属于影响重大的颠覆性软件公司,他们的产品安全合规性、客户支持和招聘是他们会成功的关键因素,在他们的要求里,安全不仅仅是必需品或项目,而是他们所拥有的一个功能,是本身就携带和具备的要素。”
而当下的CISO更需要兼备管理方面的专业知识,所谓三分技术、七分管理,只有同时掌握了技术和管理才能做好信息安全。比如得明白怎么和IT对接、怎么和运维对接,得知道IT在说什么,网络拓扑怎么看,同时也该明白上网行为如何分析,后台审计策略如何设置。能和IT沟通,也要学会怎么和业务主管沟通,从入职到离职的员工都要有所交流、有所管理。言下之意就是CISO在他们的职业发展上不可过于偏向技术,要高屋建瓴,拥有大局观,对各部门、各领域都有所涉及、有所掌握。
还有一项必备的技能是了解风险和合规性的发展趋势。Piacente说:“公司希望CISO能了解让公司走上ISO或SOC2、FedRAMP或NYDFS(纽约金融服务部] 等认证之路的细微差别。未来,越来越多的企业会要求CISO能够经历这些完整的认证周期,因为只有这样CISO才能了解公司需要做些什么或不需要多做什么。”
更确切的来说,企业希望CISO能够致力于降低预期风险,包括政策带来的合规要求。若CISO能够知道在产品安全、合规要求和潜在威胁方面即将出现的问题,企业就可以及时将这些风险规避掉,这在市场上将是最大的领先。
负责任的CISO还必须能够证明他们可以帮助公司的销售、营销团队提高其产品和服务安全性的信任度。例如,可能会要求CISO填写客户或合作伙伴发送的调查表,以审查公司的安全实践制度。
Piacente说:“我们的许多客户都是软件公司,他们正在寻找能够管理企业IT运营的CISO,包括应用程序、业务技术、基础设施等等。虽然CISO传统上和客户、合作伙伴之间的联系较少,但在过去三年多的时间里,CISO的人群接触范围正呈现出快速的增长和强度,也就是说和客户、合作伙伴们之间越来越多的沟通离不开CISO的参与。”
而关于如何建立信任,有一句话怎么说:在基于公司的供应商管理制度、原则和要求下进行正常的工作交往,是良好合作关系的基础。其次,定期的沟通,从技术趋势、产品和服务、投诉和建议,到日常运营的最佳实践,建立坦诚的高层沟通渠道也是必不可少。
许多企业在招聘CISO时会考虑到认证、资格。根据Autrey 的说法,具有技术/工程背景的CISO通常会获得各种安全方面的认证,比如CISSP(认证信息系统安全专家)、CISA(认证信息系统审计员)或CISM(认证信息安全经理)。
然而,随着CISO角色的蜕变,对基于风险/混合技术安全领导者的评估更多地取决于他们的经验、高管评价和董事会认可,而不是他们的技术知识和认证。许多CISO认为认证的核心是良好的继续教育,而并不只是考试、应试。而企业则更希望能将认证和继续教育作为CISO全面发展的一个要素来进行评估。 当谈到普通学位和证书时,毫无疑问,大部分企业都会寻找计算机系毕业的CISO,就像国外的许多公司,他们所聘用的CISO大多是从软件开发人员和工程师转业而来,这源于信息安全还并未成立为多么引人注目的行业,因此缺少相对应的学位背景和学业体系。
Piacente 指出,对CISO的背景要求更倾向于在软件工程或相关技术/开发背景方面拥有更深的学位。他说:“在认证方面,我也可看到过这种现象,然而我们在五年多的时间里并没有对任何类型的认证提出过硬性要求。在云原生领域,CISO拥有何种背景并不是一个多高优先级的选项,但它对于其他企业里的CISO而言依旧具备意义。”
“许多企业还希望他们的CISO能拥有工商管理硕士学位 (MBA)。这可能会让人们感到惊讶,但企业希望他们的 CISO能拥有MBA学位,原因在于CISO就过去三到五年中在企业里的存在感得到了显著提升,他们在业务、事务和向董事会的报告中发挥了更多的作用,因此即使MBA学位对于被聘用的CISO而言并不重要,但它肯定会有所帮助。”
鉴于CISO需要与公司中的其他人进行建设性的合作,企业正在寻找具有良好人际交往和社交能力的CISO。这意味着被招聘之人要表现出能在压力之下保持冷静,能在面对权威挑战时保持决心,以及能用商业语言翻译威胁和影响。
而当下的CISO还需要拥有一处关键的人格特质:同理心。CISO需要对企业内部、合作伙伴和潜在客户等拥有共情能力,CISO需要明白并不是每个人都像他们一样理解安全,并不是每个人都能用安全术语进行交谈,太多的专业词汇只会降低彼此的沟通效率。同时,就像处理病情的医生,虽然在医生眼里各种奇难杂症都已是寻常,但对病人来说这就是天大的事,因此CISO需要考虑各类人员的承受能力,尽量站在对方的角度与之沟通。
另一方面,企业希望他们的 CISO 能够为他们的部门制定切合实际的计划、目标和截止日期,并能够用清晰的、非技术性的术语来解释这一切。Piacente 说:“CISO所接触的人群是非常多样化的,从销售到营销,从各委员会到法律、财务等,应有尽有。如果CISO试图通过在公司周围‘建一堵墙’而不考虑其他人的需求来处理网络安全问题,那他的同事将不会再尊重安全,而是会试图绕过安全。相反,如果CISO能与他们合作构建网络安全解决方案,让他们在完成工作的同时降低风险,那么这就是成功的关键所在了。”
对于企业招聘时希望CISO具备怎样的特质、其中什么特质对企业而言最为重要、CISO又希望企业能看重自己哪些优势等,国内安全专家如此建议。
CDP Group 安全专家梁龙亭认为,企业更希望所招聘的CISO是一名“集大成者”。这源于从业者在大学阶段往往只能专其一,比如软件工程、计算机科学与技术、网络工程、密码科学与技术、审计专业等,而在工作后要想成为真正的CISO,应当触类旁通,跨学科、跨专业,横向、纵向“裂变”,因为只有成长为一名“集大成者”,企业才会更多的关注到你,CISO不只是技术人员。
“由于合格的CISO需要跨学科、跨专业“裂变”成长,因此,具备不断探索学习,超越自我的能力,是对企业而言最重要的特质。同时,单一优势的长板,无法弥补其他方面的短板,因此CISO应当具备‘管理+技术+法律合规’的综合优势,这样才能使得企业安全基线越筑越高。”
而某集团安全负责人曾永红觉得,CISO该具备三项特质。其一,CISO该匹配公司战略,理解公司业务,系统、流程;其二,CISO该做好执行层面的业务,风险评估、合规管理,团队领导;其三,CISO该掌握新技术、协同数字化业务,赋能员工。而其中,洞察业务、掌控风险则是对企业而言最重要的需求。而对于CISO而言,曾永红觉得,他们可能更希望企业能看到自己技术和管理全面发展存的综合素质。
某电商公司安全专家杨文斌同样认为,CISO作为企业核心高级管理人员,是一个综合能力要求很高的角色。首先企业当然希望他们可以为企业提供有效的安全机制和方法,帮助企业以最合理的资源投入取得最优的安全效果,将安全投资回报率ROI平衡到最佳状态,转变企业负责人关于安全是成本部门的惯性思维,提升安全地位和价值。同时企业也希望他们能将安全思维紧密贯穿于业务流程,从业务的角度思考和开展信息安全工作,在业务风险治理成效中体现安全价值,建立形成安全架构应对安全问题,最大化缓解安全风险降低到可接受范围内,使得企业内部信息化能力持续完善。
而关于安全架构和方法论思维也很重要,强大的沟通协调能力同样必不可少,安全工作的推进需要上下游关联部门之间协调顺畅,在部门之间建立坚固的信任关系。CISO应可以快速看清企业的安全形势和现状,能够全局掌控企业的风险、控制措施以及能够承受的风险应对压力,针对性建立安全策略和程序。
“而对于企业来说,价值创造能力一定是最核心的要素。企业需要业务持续发展和创造更大的价值,CISO作为重要管理层人员,应有能力为企业规划出适合自身业务发展的价值路径,借助安全能力和信息化赋能业务发展,实现业务的降本增效,规划出可以体现安全价值甚至效益转化的战略思路和框架。企业的根本是发展,持续的创造出更多更大的价值才是王道,作为CISO应能够在安全保障的前提下,开拓出更广泛直接价值转化的方法,可以通过安全手段降低企业风险损失和业务影响概率,也可以推动安全市场化能力,实现安全能力的效益转化。”
而在CISO希望企业能看重自己的哪些优势方面,杨文斌认为,CISO会希望企业能从多角度审视自己的个人能力,对此她提出了五点:
1、抗压能力。安全是风险系数最高的岗位,特别是随着新技术和新场景的衍生,安全隐患复杂多变,需要CISO能够展现超强的抗压能力,快速解决各方面的威胁和攻击。
2、领导才能。安全问题的解决需要专业性很强的人才队伍,技术人才通常具有独立的个性,要想将安全工作顺利的推进落地,需要强大的领导才能,赢得团队内人才的尊重和拥护,在团队内建立形成良好的信任关系和协同文化。
3、组织协调能力。安全工作会牵扯到企业的所有部门和岗位,想快速有效的解决安全问题和落地解决方案,需要多个部门协同推进,特别是当安全工作影响到业务的进度时,如何有效的协调资源和收集信息来支撑安全工作是非常关键的,必须具备强大的跨部门协调能力。
4、解决问题的能力。安全问题是影响企业稳定发展的重要因素,如何快速的响应风险和解决问题是非常重要的,精准定位问题原因,协调有效的资源在最短时间应急处置,将企业损失最小化是很关键的。
5、安全解读能力。不仅可以将安全政策有效转化为企业内部制度流程和发展战略,还能够有效的将安全成效梳理成通俗易懂的结果,让企业负责人及各部门负责人时刻了解安全价值,确保业务可以更好的利用安全,安全可以更好的赋能业务。
参考文献《6 top attributes employers want in new CISOs》