现代CISO必备的六大技能

首席信息安全官（CISO）的角色复杂多变，就像网络安全本身一样正在快速演变。86%的CISO表示，自他们开始担任这一职位以来，角色发生了如此大的变化，几乎已经变成了一个不同的职位。曾经这是一个深度技术性和安全功能导向的职位，而现代安全领导者必须提供更多价值。网络安全现在对业务成功至关重要——CISO的责任不仅是确保数据和系统免受不断变化的威胁，还要确保安全设计、构建和实施以促进业务发展。

这需要一种既多样化又独特的技能组合，尽管某些具体的细节可能因职位而异。Cyber Security Hub采访了几位CISO，他们都认为以下六项技能对成功至关重要。

CISO必须具备商业敏锐度和理解力

十年前，商业敏锐度和理解力可能并不在CISO技能要求列表的前列，但现在它们已成为工作的组成部分。在最近的一项Cyber Security Hub调查中，43%的受访者将商业敏锐度评为当今CISO最重要的技能。数字银行Kroo的CISO Guillaume Ehny表示：“现代CISO首先需要成为业务领导者，展示其活动和计划如何为业务带来超越安全职责范围的价值。”

安全行业长期以来一直呼吁安全领导者不应被视为真正的执行成员，在董事会层面缺乏代表性。这种情况终于开始改变——例如，美国证券交易委员会（SEC）的新规则要求董事会职位具备网络安全专业知识，缺乏专业知识可能会受到SEC和/或股东的审查。

Ehny说：“目前对CISO的普遍看法是他们缺乏董事会准备度，被视为技术人员，不适合进行业务对话。”他补充说，现代CISO需要在这里通过展示对业务的理解来区分自己，包括其目标、挑战、行业和竞争对手，超越严格的安全范围。“执行成员被期望理解、挑战并为业务的任何领域做出贡献，即使这不直接属于他们的职责范围，现代CISO应将自己置于能够这样做的位置。”

他补充说，未能实现这一点的CISO将继续被视为技术人员，向高管汇报，其言论被翻译并可能被淡化。National Highways的CISO Keith Price同意这一观点，并警告说，没有扎实的商业敏锐度，CISO将遭受执行委员会和董事会的“很少或没有接受”。为了在这一领域发展技能，他建议其他CISO请首席财务官（CFO）和首席运营官（COO）等业务同行担任导师，“参加商业课程，即使只是为期一天的模块”，并自愿参与非安全项目。

CISO必须是有效的沟通者和故事讲述者

现代CISO的另一项关键技能是有效且易于理解地沟通“技术”主题的能力。ProcessUnity的CISO Dave Stapleton表示：“CISO制定并领导对组织各个方面都有影响的复杂安全计划。为了有效实施安全，他们必须能够与所有公司部门和个人层级进行沟通。”他补充说，这种沟通包括从激励和指导自己的团队，到在整个组织内培养安全意识文化，再到有效管理与安全相关的危机。

全球数字资产交易所Kraken的CSO Nick Percoco表示，有效的领导者会根据每个受众调整沟通方式以获得所需的支持，CISO也必须效仿。“例如，CISO将在高管层中使用说服力来争取资源，但也会使用信息性和指导性语言来教育员工有关企业面临的网络风险。”

Ehny说，CISO工作的至少50%是与各种群体沟通想法、机会、担忧和计划。“我们在组织内是真正的销售人员，而安全通常不在产品或交付的关键路径上。”他补充说，做不到这一点可能会强化安全是“否决”部门的观念，并缩小其影响力——使安全在业务中处于追赶状态。

Ehny表示，有许多方法可以发展和提高沟通技巧，并且所有这些方法都可以并行使用。“最好的组合始终是理论知识和实践经验与经验的结合，导师指导是一个明显的选择。可以是与经验丰富的CISO或非安全高管合作，他们会为情况提供不同的视角。”他补充说，另一种培养这些软技能的方法是通过消费相关文献，如关于销售策略、情商、业务管理和行业趋势的书籍、杂志、文章、播客、网络研讨会和YouTube频道。

CISO必须具备技术能力和知识

Stapleton说，虽然在大多数情况下，CISO不需要成为安全团队中技术最精通的成员，但为了做出明智的决策、有效指导团队并保持可信度，CISO必须了解当前的网络安全威胁、防御机制和新兴技术。他补充说，CISO经常直接与可能精通各种技术领域的首席信息官（CIO）和首席技术官（CTO）接触，为了有效协作，CISO至少需要对所讨论的技术有操作上的熟悉。

网络安全公司Centripetal的CISO Jess Parnell同意这一观点：“如果你没有那种技术技能，你就没有准备好保卫你的组织——你会在与人开会时迷失方向。网络中的一切都很紧急，你需要知道如何分类。保护宝贵的公司资产不是儿戏。拥有适合这个角色的正确技能和背景至关重要，否则你会让公司面临风险。”

Stapleton说，未能具备足够的技术能力和知识可能导致的潜在后果包括：现有安全解决方案未充分利用、未识别和处理的技术风险，以及在持续安全事件期间缺乏有效性。

“这是在个人担任CISO角色后很难获得的技能。想要提高技术能力的CISO应该寻找向员工学习的机会。例如，自愿与安全工程师合作，在工作中学习。其他选择可能包括在线培训、安全认证课程和当地大学提供的技术训练营，”Stapleton继续说道。

CISO必须具备学习心态

Percoco说，由于网络风险和攻击向量不断变化，现代CISO必须具有持续学习的心态，以便能够适应新的发展。“任何优秀的CISO都会花时间寻求理解当前已知的差距如何与不断变化的威胁形势相交，以及如何不断改善组织的安全状况以减轻攻击。”他补充说，网络安全是一场持续的“猫鼠游戏”，因此，虽然保持领先对于成功至关重要，但对组织当前能力（或缺乏能力）的强烈意识对于保持对最重要事项的关注至关重要。

MongoDB的CISO Lena Smart表示，这也指学习并理解影响CISO自身及其组织的许多当前和即将出台的网络安全法规和规则。她警告说，未能这样做可能导致罚款和失去客户。

例如，SEC最近对软件公司SolarWinds Corporation及其CISO Timothy G. Brown提起诉讼，指控其与据称已知的网络安全风险和漏洞相关的内部控制失败。SEC寻求对Brown的永久禁令、返还违法所得加判前利息、民事处罚以及高管和董事禁令。

Smart说：“与你的法律部门密切合作，确保你对问题、所需的控制措施以及每个实体的具体要求有清晰的了解。”

CISO必须能够确定优先级并平衡成本

安全团队被视为成本中心，经常发现自己被迫在不太理想的预算下运作。Stapleton说，优先级确定确保即使在运行精简计划时，CISO也能与业务目标保持一致，有效分配资源，解决最关键的风险，并满足内部和外部利益相关者的期望。他补充说，在这方面出错可能导致安全计划中浪费时间和精力、预算减少、对业务产生不必要的负面影响以及合规性失败。

“你是在防止坏事发生，但有些东西你无法总是衡量它可能花费多少，”Parnell说。“你可以评估，但你永远不知道实际成本。没有发生的事情也很难转化为切实的节省，这最终会影响你的预算。”CISO需要能够用有限的预算获得真正的安全性，知道他们必须每次都做对。“如果你错过一件事，你就会被解雇。”

Stapleton说，安全计划优先级确定的一个关键要素是与业务保持一致。“提高这一技能的第一步是理解你组织的成功标准。将SWOT分析（优势、劣势、机会和威胁）视为一个良好的起点。有了这些知识，CISO就有能力将其计划的优先级与公司的优先级对齐。”

CISO必须保持冷静且意志坚定

最后，Percoco说，现代CISO必须展现出冷静和“钢铁般的意志”，同时果断地执行他们预定的策略。“危机管理在这一职位中很常见，因此能够保持冷静和镇定的态度怎么强调都不为过。”组织内的其他人在高压事件响应场景中会向CISO寻求指导。“因此，CISO在部署响应策略时必须在其领导方法中表现出信心。”

Parnell同意这一观点，并补充说耐心和冷静是CISO可以拥有的一些最重要的软技能。“对你的员工放松一点；推动到他们不会离开你的程度，但在事情平静时给他们休息时间，这样他们可以喘口气。”