未來(lái)的信息安全領(lǐng)導(dǎo)者所需要的技能將遠(yuǎn)遠(yuǎn)超過(guò)安全方面。如今，首席安全官（CSO）和首席信息安全官(CISO)越來(lái)越多地發(fā)現(xiàn)，與十年以前自己的這種角色初次出現(xiàn)在各個(gè)單位中的時(shí)候相比，現(xiàn)在這個(gè)頭銜中的“首席”二字總是伴隨著人們的不同期望。

當(dāng)今的CISO需要建立一個(gè)全面的技能矩陣，要像其它高級(jí)管理人員一樣，將這些技能放到極其重要的水平上。在選擇CISO時(shí)，公司現(xiàn)在需要尋求哪些關(guān)鍵的技能和品質(zhì)呢？

下面筆者談一下四個(gè)最重要的技能，并給出安全專家如何才能獲得這些技能的一些建議。

一、與業(yè)務(wù)有關(guān)的技術(shù)知識(shí)

雖然專門技術(shù)是CISO必需的東西，但扎實(shí)豐厚的技術(shù)知識(shí)仍是CISO和CSO的基礎(chǔ)。事實(shí)上，正是這個(gè)水平的知識(shí)將會(huì)使差距進(jìn)一步擴(kuò)大，并將繼續(xù)區(qū)分高級(jí)安全領(lǐng)導(dǎo)者與那些僅有物理安全背景的安全人員，而且會(huì)使他們?cè)谌瞬攀袌?chǎng)中更加有吸引力。

隨著企業(yè)越來(lái)越依賴于技術(shù)增強(qiáng)其業(yè)務(wù)，企業(yè)就越發(fā)要求CISO擴(kuò)展和增強(qiáng)其技術(shù)能力和意識(shí)。這類知識(shí)的廣度將成為維護(hù)其可信性的關(guān)鍵要素，且有助于建立對(duì)CISO核心技術(shù)領(lǐng)導(dǎo)能力的信任，這種職責(zé)包括軟件開(kāi)發(fā)、基礎(chǔ)架構(gòu)、工程學(xué)和運(yùn)營(yíng)。

CISO不必考慮一個(gè)組件能夠干什么以及它怎樣“酷”，而是要思考：“這種技術(shù)將怎樣影響我們的企業(yè)？如果我們依靠供應(yīng)鏈或訪問(wèn)管理或移動(dòng)應(yīng)用程序等來(lái)做這件事情，會(huì)造成怎樣的影響？”

在企業(yè)為擴(kuò)展開(kāi)始評(píng)估新技術(shù)時(shí)，CISO必須幫助企業(yè)理解這些新技術(shù)所帶來(lái)的風(fēng)險(xiǎn)和暴露程度。

當(dāng)前，這方面最好的例子是圍繞著移動(dòng)設(shè)備的安全問(wèn)題。許多單位正在考慮這種可以促進(jìn)銷售、增加生產(chǎn)率和使性能最大化的方法，然而，CISO需要清楚地闡明這些新技術(shù)如何給企業(yè)帶來(lái)風(fēng)險(xiǎn)，以及如何正確地實(shí)施這些技術(shù)才能滿足合規(guī)要求，并遵循行業(yè)標(biāo)準(zhǔn)和框架。

二、在全新水平上的業(yè)務(wù)敏銳性

安全人員現(xiàn)在面臨的最大問(wèn)題是：過(guò)去他們將同行業(yè)的安全專家的技能作為自己的技能標(biāo)準(zhǔn)，而現(xiàn)在他們應(yīng)當(dāng)將管理團(tuán)隊(duì)真正需要的技能作為其技能標(biāo)準(zhǔn)。

也許你是一位應(yīng)用程序安全專家，將自己與應(yīng)用程序安全專家相比只會(huì)使你處于應(yīng)用程序安全的領(lǐng)域，而不會(huì)使你升級(jí)到管理領(lǐng)域。

你必須將自己與管理層的人員相比較。許多安全人員認(rèn)為自己在管理層并沒(méi)有適合的位子。但事實(shí)上，他們得不到管理層的職位的真正原因是其他管理人員并不確信他們配得上這樣的位子。

因此，我建議安全人員從管理的角度學(xué)習(xí)和提升技能并進(jìn)行職業(yè)投資。要理解一個(gè)單位的關(guān)鍵要素，絕不僅僅是安全，而是安全人員應(yīng)當(dāng)關(guān)注的內(nèi)容。要了解單位正在應(yīng)對(duì)的外部因素，要理解該單位在市場(chǎng)上還面臨著除安全和風(fēng)險(xiǎn)之外的哪些阻礙。

多數(shù)安全專業(yè)人員認(rèn)為自己擁有業(yè)務(wù)技能。但是安全人員定義業(yè)務(wù)技能的方法與CIO或CFO定義業(yè)務(wù)技能的方法不同。

三、交流能力，其中包括傾聽(tīng)技能

為了正確實(shí)施一個(gè)安全項(xiàng)目，你必須將這方面的消息告知每個(gè)人。每個(gè)人都應(yīng)當(dāng)形成某種安全意識(shí)。

在整個(gè)單位中，在與其他人的進(jìn)行交流的早期階段，傾聽(tīng)技能也許比表達(dá)能力更為重要。理解人員和文化是一種很重要的技能，但多數(shù)人都會(huì)忽視。

例如，在你與技能運(yùn)營(yíng)團(tuán)隊(duì)進(jìn)行交流時(shí)，所使用的方法與同企業(yè)領(lǐng)導(dǎo)人交流時(shí)是不同的。

安全領(lǐng)導(dǎo)者的有效交流意味著擁有廣泛的知識(shí)庫(kù)，理解企業(yè)的競(jìng)爭(zhēng)利益。

四、領(lǐng)導(dǎo)能力——不管你現(xiàn)在的職位如何

在所有的技能中，必須重視CISO或安全管理員的領(lǐng)導(dǎo)能力。許多公司雇傭一個(gè)CISO只是因?yàn)楣菊趯で笠粋€(gè)可以將單位的安全態(tài)勢(shì)推動(dòng)到一個(gè)新方向的信息安全管理人員。

因?yàn)樾畔踩噪y以預(yù)料的不同方法滲透到單位中，單位必須有效傳達(dá)安全方面的信息。不僅要傳達(dá)給熟悉此領(lǐng)域的人員，還要傳達(dá)給必須重視安全的各方,這必然需要一定的領(lǐng)導(dǎo)能力。

如果現(xiàn)在你并沒(méi)有處于領(lǐng)導(dǎo)的地位，你可以在當(dāng)前的職位培養(yǎng)這種技能。

要努力使自己成為在某個(gè)項(xiàng)目上做得出色的人員。部署一個(gè)軟件補(bǔ)丁或合規(guī)工具可以成為贏得領(lǐng)導(dǎo)能力的一個(gè)機(jī)會(huì)?；蛘吣憧梢猿蔀橐粋€(gè)傳達(dá)領(lǐng)導(dǎo)思想從而在整個(gè)單位中構(gòu)建安全文化的人員。領(lǐng)導(dǎo)能力并不總是一種可以描述的東西，但它確實(shí)可以識(shí)別。

【編輯推薦】

1. 創(chuàng)建規(guī)則遵從文化　促進(jìn)信息安全合規(guī)管理和風(fēng)險(xiǎn)管理
2. 部署安全信息事件管理(SIEM)的最佳實(shí)踐
3. 漏洞管理工具方面的幾點(diǎn)注意事項(xiàng)
4. 解析漏洞管理的五個(gè)階段