从军营到董事会：资深CISO Lefteris Tzelepis 谈现代安全、API 防护与团队领导

CISO聚焦：Lefteris Tzelepis谈领导力、战略和现代安全使命

Steelmet /Viohalco Companies的首席信息安全官（CISO）Lefteris Tzelepis，是在网络安全中成长起来的。从他早期在希腊国防部接触真实世界攻击，到在复杂企业内建立和领导安全项目，他的职业生涯映射了CISO角色本身的演变。如今，作为一位负责监督多个组织安全的集团CISO，Lefteris将实践者的思维带入了领导力和事件响应。在本次聚焦中，他分享了军用级安全思维如何影响他的方法，为什么人员管理是工作中最难的部分，以及安全真正需要什么来支持业务。

从军营到董事会：Lefteris的网络安全旅程

Lefteris表示，他并非真正“开始”从事网络安全；他是在其中成长的。年轻时在服兵役期间，Lefteris进入希腊国防部工作。在那里，他与一个安全专家团队并肩工作了11个月。 “那是我第一次接触安全，”他说。“我学会了如何配置Linux和OpenBSD防火墙，甚至在理解路由之前。看到对国防部网站的攻击非常吸引人，这开启了一切。” 据Lefteris说，这是他首次接触后来被称为“安全设计”原则的理念。“这些家伙并不是想征服每个黑客，”他说。“他们试图阻止所有可能被发现的攻击途径。我觉得这太有意思了。” 兵役结束后，Lefteris开始了他的计算机和网络工程师职业生涯，但始终被他工作中的安全方面所吸引。在此期间，他在多家服务提供商公司积累了管理客户和项目的宝贵经验。然而，他职业生涯的真正转变发生在他加入希腊国家彩票公司时。 “2014年我加入时，安全官不久后就离职了，留下了一个空缺，”他说。“作为一名网络安全工程师，我挺身而出领导IT安全工作，实际上创建了这个角色。突然间，我发现自己在项目管理并领导内部和客户工程团队。” 如今，Lefteris担任集团CISO职位，监督工业领域大量公司的安全。但在他攀登企业阶梯的过程中，他学到了一些关于成为一名优秀领导者的真谛。

艰难的角色需要软技能：人员管理与CISO

根据Lefteris的说法，人员管理是他职业生涯中最大的挑战。随着他向CISO职位晋升，他的焦点逐渐从技术专长转向软技能。 “我参加的一个网络研讨会上，一位演讲者曾说，在安全领域晋升到管理层意味着失去技术深度。这让我有点恼火，”他说。“但我意识到这是真的：你的主要焦点确实转移到了人员管理上。如果你是一名信息安全经理，你首先是一名经理，其次才是一名信息安全专业人士。” 对Lefteris来说，最困难的部分是发现他不能仅仅“参加一个研讨会”来获得这些技能。你需要在工作中学习。 “要想成功发展，你必须不断观察周围环境，密切关注人们的思维方式、他们倾听的能力和意愿，以及他们在顺境和逆境中的理解力。我还没找到其中的秘诀；这是一个持续的过程，”他说。最终，Lefteris希望作为一名领导者，而不仅仅是老板，来激励和赋能他的团队。 “做老板和做领导者完全不同。当我照镜子时，我想成为一名领导者——我希望我的人与我共事是因为他们相信目标，而不仅仅是因为我要求他们，”他说。

CISO角色的演变

对Lefteris而言，CISO有三种类型：运营型、战术型和战略型。 “虽然每个组织都不同，但在CISO领域向上攀登需要两件事：你必须变得具有战略眼光，并且必须与业务保持紧密联系，”他说。他认为，安全从根本上是为了支持更广泛的业务而存在的。这意味着CISO必须知道业务的发展方向，并调整他们的计划以支持这一路径。 “虽然我们经常讨论在业务和安全之间找到平衡，”他说。“但我现在主张我们必须积极支持业务。这是实现双赢的唯一途径。” Lefteris还仔细观察到一种趋势，即IT职能直接向CISO汇报。 “我看到一种趋势，也读过一些研究，IT职能正在转向CISO角色之下，”他解释道。“这是因为这些组织认识到网络安全卫生的重要性，而IT的主要职能之一就是服务于这些安全需求。” 然而，Lefteris对这种模式表示担忧，指出它可能长期不可持续。“我不确定我是否相信这一点，”他说。“因为这意味着将更多担忧置于CISO的保护伞下。而伞下的东西已经太多了。” 随着CISO角色的不断演变，Lefteris强调了仔细考虑该角色的范围和结构的重要性。他希望确保CISO不会因那些偏离其核心使命——安全——的职责而不堪重负。

高效的事件响应 = 强大的安全

Lefteris认为，培养一支能够响应安全事件的安全团队是现代CISO最关键的任务之一。对他来说，事件响应负责人是所有事件响应工作的核心。 “当事件发生时，你需要一位事件响应负责人来接管。每个人都必须停下来，围绕他/她，接受一份行动项目清单。即使是已知的应急预案，负责人也必须指挥，”他说。对Lefteris而言，安全团队必须在安全事件期间准备好进行反射性反应。他主张建立清晰、经过充分演练的应急预案，让团队几乎无需思考即可执行，而不是依赖临时反应。根据Lefteris的说法，所有事件都必须“对绕过流程零容忍”。这能建立应对关键事件所需的肌肉记忆和自动化反射。

可见性与安全编码是API安全的核心

由于即使在运营技术环境中，AI的应用也越来越广泛，企业无法承受延迟采用AI的代价，API已成为现代基础设施的机器对机器骨干。一个配置错误就可能使整个系统瘫痪。因此，可见性和发现是一切的起点。 “你无法保护你不知道的东西，”他陈述道。“攻击者不会敲你的前门，他们会直奔API。所以，首要挑战是了解你的工厂、你的车间、你的业务、你的组织。你必须了解你有多少个API以及它们处理什么数据。如果你想有效地进行安全防护，你需要了解一切。” Lefteris还强调了强大的API安全实践的重要性，包括安全编码。 “安全编码至关重要，”他说。“这包括培训开发人员，使用SAST和DAST等工具评估他们的工作，进行安全代码审计，并维护一个包含定期评估的稳健发布流程。” 然而，Lefteris承认，即使采取了这些措施，仍然可能存在差距。但他敦促组织不要简单地“摧毁一切并重新构建”。相反，他主张采取更审慎的方法。“进行上线前的安全评估，以确定需要修改的内容，而不是先摧毁一切，再从头开始重建。”

即使CISO也需要远离技术

最后，Lefteris描述了他的梦想假期。他并不挑剔；他只是想去一个没有手机信号或技术的地方，和家人在一起。