诸子笔会2023 | 陈圣:如何成为一名优秀的CSO?
自2023年4月起,“诸子笔会2023第一季”正式拉开帷幕。10位专家作者组成新一届“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取万元高额奖金以为,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
如何成为一个更优秀的人
文 | 陈圣
陈圣
中通快递高级安全专家,15年以上内控及内审监察、IT审计、信息安全管理等工作经验,目前深耕并专注于网络安全、隐私保护、数据合规管理、风险评估等领域。
还记得自己上高中那会儿,住在虹桥世贸商城附近,那时候这里可以说是各种展会、会议、高端对话的集散地了,三天两头有各种各样的活动举办,以至于高考结束的那一整个暑假,我可以说不是在高安路的上海图书馆看书,就是在会议厅里参加各种会议和讲座。
这可能是我最早接触社会的一个渠道了,通过大大小小的会议、讲座及展会,最先接触到的就是那些主席台上意气风发侃侃而谈的人,他们有些是行业领袖,有些是教授专家,还有些是公司的负责人,看着他们意气风发的样子,年纪轻轻的我内心中就树立了一个理想——成为一个职业经理人。
看着从作者手上亲手拿到的《CSO进阶之路-从安全工程师到首席安全官》这本书,看着扉页上面清晰的作者签名,高兴和兴奋之余我就迫不及待地品读起来。似乎像拿到了通往CSO的钥匙一般,脑子里回想着高中毕业后的那个暑假,过得充实而又快乐。通过这本书接触到形形色色的人,看到并聆听各个行业的大咖大佬们分享在公司管理、行业布局、产品营销中的各种分享,梦想着自己有一天也能站在那里,不断地输出自己的经验并成为一个优秀的人。
继续翻看这本书,拿在手里沉甸甸的,它被誉为“网络安全从业人员升职宝典”,是来自不同行业的几位资深网络安全专家,结合和累积了各自十余年工作经验的呕心之作,可以说全面剖析了首席安全官成长的关键路径和实操操作实践。那么作为读者,我们是否能够按照书上所述,成为一个真正意义上CSO呢?
为了回答这个问题,我将自己一晃将近十几年的职场生涯结合当前工作的经验,同时带着前言中告诉我的4个问题,一头扎进了这段“进阶之路”……
在数字化时代,信息安全已经成为企业和个人不容忽视的问题。不仅是因为大量的商业和个人信息都存储在互联网上,更是因为网络攻击手段日益狡猾且难以防范。书中通过讲述各种真实的安全事件,让我深刻认识到了信息安全对于企业乃至个人的重要性。
作为一名安全工程师,我们需要具备扎实的技术基础和丰富的实践经验,很多安全工程师需要掌握的各种技能,包括网络安全、系统安全、应用安全、数据安全等,需要具备敏锐的洞察能力,不断关注安全领域的新动态和新技术,以便在不断变化的网络环境中保持领先地位。然而,作为首席安全官(CSO,Chief Security Officer),或者正朝着这个方向发展的你,CSO的职业路径和技能图谱是怎样的呢?
安全工程师到CSO的成长路径,包括技能拓展、管理能力提升、团队建设、企业战略规划等方面。想要成为一名优秀的CSO,不仅要在技术层面上不断精进,还要在管理和战略层面不断提高自己。事实上,这个成长路径并不是一蹴而就的,需要长时间的积累和努力。作者们给出了新人在网络安全方面从业的建议,并帮我们找到CSO的人设;在技能树层面,CSO需要兼具技术与管理能力,既要关注信息安全的战略规划,也要关心企业安全建设的具体实施。此外,CSO还需要具备良好的沟通和协调能力,以便在企业内部和外部建立有效的合作关系。
本书的第7章列举了11个场景,基本涵盖了企业可能受到的攻击面及企业面临危机时所带来的基本特征,让我们读者认识到处理危机是至关重要的。通读11 个案例,你可以学习以下关键步骤:
首先是认清危机。要认识和处理危机,首先需要识别和了解危机。举例中很多场景下企业都应该建立一个危机预警系统,以便尽早发现潜在的危机。了解危机的类型和来源可以帮助企业更好地应对危机。请一定要注意“小贴士”,这里都是经验之谈,我觉得更多理解成彩蛋。
当然还需要制定应对计划。企业应该制定应对危机的计划,包括预防和应对计划。预防计划应该涵盖风险评估、安全措施和员工培训等方面;应对计划应该明确危机的类型、责任人、行动计划和沟通计划。
这里不得不提到紧急响应。当危机发生时,企业应该立即启动应对计划,采取紧急措施,以减轻危机的影响。紧急响应措施应该包括确保员工安全、保护企业资产和维护声誉等方面。
很多情况下,我们都不能忘记危机沟通,这是危机公关的一个必备环节。危机发生时,有效的危机沟通是至关重要的。企业应该制定一个危机沟通计划,明确谁负责沟通、沟通的方式和内容。企业需要尽快向员工、客户、供应商和其他利益相关者通报危机,并提供实时更新和信息。
在应对机制生效后会遇到一系列的次生影响,我的理解是次生灾害,就会涉及后续处理。企业应该在危机发生后进行后续处理,包括评估危机的影响、修复损失、纠正错误和改进应对计划等方面。
企业还应该把危机视为一个学习机会,从中吸取经验教训,以提高危机应对的能力。认识和处理企业面临的危机需要企业制定全面的应对计划和沟通计划,并在危机发生时采取及时和有效的措施。
在第四篇中作者们分4个章节强调了CSO三阶能力,从而有效地构建面向未来的安全体系。“未来”这个词更多是一种未知和拓展,未来充满了更多的未知和不确定性,在公司使用技术方面发生高速变化的时刻,网络安全可能是所有企业技术领域中最具活力的领域。该领域和依赖它的公司正在发生转变,因为不确定的外部环境助长了潜在的网络攻击者,快速的技术创新创造了发起和击退网络攻击的新方法,而网络安全作为一项关键业务功能的出现促使人们对组织和运营模式进行试验。在这样的环境中,完美地预测是不可能的。
然而,CSO应对业务、技术和安全都有责任了解存在很多的不确定性,并就如何管理它们制定切实可行的战略体系。通常我们会想到建立一个完整的安全政策:
首先,CSO应与管理团队合作,制定全面的安全政策,包括数据安全、网络安全、物理安全和员工安全等方面。这些政策应该与组织的业务目标相一致,并一定确保员工遵守这些政策。
其次需要进行风险评估。CSO应对所有业务流程进行风险评估,以确保能够识别和管理所有潜在风险。这些评估应该包括所有技术和非技术风险,如社交工程、供应商风险和自然灾害等。
当识别出风险后,就应当想到实施安全控制。根据风险评估结果,CSO应实施必要的安全控制措施,以确保组织的安全性。这些措施应该包括技术和非技术控制,如加密、访问控制、备份和灾难恢复等。
有了以上的搭建,就会提到培训,其实就是对内构筑网络安全文化了。应定期为员工提供安全培训,以确保他们能够识别和处理各种安全威胁。这些培训应该涵盖各种主题,如密码安全、社交工程和网络安全等,深入并上升到“个人信仰”层面,从而打造企业所独有的“网络安全感”。
网络攻击的日益普遍通常是CSO 最为关心的问题,也是他们大部分日常工作的动力,因为很少有其他威胁对公司的收入流、品牌价值和一般运营能力构成更大的风险。
以无处不在的分布式拒绝服务 (DDoS) 攻击为例。DDoS 攻击发生在攻击者试图通过向网络注入大量流量、用冗余请求使网络拥塞并削弱其正常运行能力来破坏网络的情况下。对于处理软件解决方案的面向客户的公司而言,这种攻击在公司收入和客户满意度方面可能是致命的。恶意行为者在漏洞期间访问敏感数据的可能性也将严重影响客户信任并对整体品牌价值造成近乎无法弥补的损害。
虽然每个 CSO 都面临着独特的挑战,但似乎需要为组织的关注和资金而战,这削弱了其优化网络和企业系统以实现安全和风险缓解的能力。书中将安全能力分为三阶,分别是一阶“日常安全危机应对”,二阶“全面保障企业网络安全”,三阶“构建面向未来的安全体系”,系统地阐述了CSO如何面对可能的未知风险及解决之道。
归根结底,CSO 对公司信息网络的安全性和完整性负有最终责任。有效的 CSO 比组织中的任何其他人都更深入地了解业务风险,并且最能理解新工具和解决方案的优点。他们比任何人都更了解不同部门如何相互沟通,并能够提出控制方法来保证组织内信息流的安全。即使不可避免地发生意外灾难,CSO 也已经准备好事件响应策略,有望减轻损失并保持公司平稳运行。难怪这份工作虽然压力很大,但比以往任何时候都重要。
鉴于如此广泛的关键职责以及网络攻击和安全漏洞的日益普遍,CSO 必须在风险管理方面看到全局,同时还要制定有关公司信息安全的日常决策。如果你想成为一名合格的CSO,相信这本书能够带给你很多启发。
推荐阅读
2023诸子笔会第一季
杨文斌 刘顺 于利新 刘志诚
孙琦 王忠惠 李玲
推荐阅读
2022第二届诸子笔会
推荐阅读
2021首届诸子笔会