隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問題越來越嚴(yán)峻，相對(duì)應(yīng)的，安全人士的一些工作方向，職業(yè)生涯也有了相應(yīng)的變化。職業(yè)發(fā)展專家Lee J. Kushner說，一個(gè)組織內(nèi)的安全計(jì)劃已經(jīng)發(fā)生了新的變化。安全專業(yè)人員若想在這個(gè)職業(yè)市場(chǎng)中具有競(jìng)爭(zhēng)力，需要掌握哪些技能呢？

未來的信息安全領(lǐng)導(dǎo)者需要掌握超出安全領(lǐng)域之外的技能。經(jīng)過幾年的成熟期后，CSO（首席安全官）和CISO（首席信息安全官）日益發(fā)現(xiàn)他們頭銜中的"首席"一詞，被寄予與這些職位不同的預(yù)期，這與10年前這些頭銜首次出現(xiàn)時(shí)有很大的不同。

Kushner說："今天的CISO需要全面發(fā)展多種技能，以使自己能夠處于與其它高級(jí)經(jīng)理同樣的水平。" Kushner近期在RSA主持了一次有關(guān)CISO技能和職業(yè)的介紹。

公司現(xiàn)在在選擇CISO時(shí)，尋找的關(guān)鍵技能和品質(zhì)有哪些呢？Kushner告訴了我們4個(gè)最重要的技能，并給出了一些建議，幫助安全專業(yè)人員能夠獲得這些技術(shù)。

與業(yè)務(wù)運(yùn)營(yíng)相關(guān)的技術(shù)知識(shí)

雖然技術(shù)專業(yè)知識(shí)是CISO始終需要的東西，但Kushner認(rèn)為，雄厚的技術(shù)知識(shí)依然是未來的CSIO也是CSO的基礎(chǔ)。事實(shí)上，正是這種知識(shí)的水平將他們拉開差距，這些知識(shí)把高級(jí)信息安全領(lǐng)導(dǎo)者與只擁有物理安全背景的同行區(qū)分開，使他們的遴選過程更有吸引力。

Kushner說："隨著企業(yè)為加強(qiáng)自己的業(yè)務(wù)而更加依賴于技術(shù)，CISO將需要擴(kuò)大和發(fā)展他們的技術(shù)能力和意識(shí)。這種知識(shí)面將是保持核心技術(shù)職能領(lǐng)先性（包括軟件開發(fā)、基礎(chǔ)設(shè)施、工程和運(yùn)營(yíng)），以及保持他們的可信度和建立信任關(guān)系的關(guān)鍵因素。"

這也意味著CISO的技術(shù)能力必須擴(kuò)展，他們的職責(zé)將不僅僅局限于幫助一家公司應(yīng)對(duì)新的威脅和攻擊。

Kushner說："CISO必須考慮這項(xiàng)技術(shù)將對(duì)我們的業(yè)務(wù)產(chǎn)生什么影響，而不是考慮某個(gè)微件（widget）能干什么，以及它有多酷。他們應(yīng)該考慮的是，如果在供應(yīng)鏈、接入管理、移動(dòng)應(yīng)用或其它任何東西上這樣做，將會(huì)產(chǎn)生怎樣的影響。"

隨著業(yè)務(wù)部門開始對(duì)技術(shù)進(jìn)行評(píng)估來幫助他們進(jìn)行擴(kuò)展，CISO必須幫助業(yè)務(wù)部門了解這些新技術(shù)帶來的風(fēng)險(xiǎn)。

Kushner說："這方面的一個(gè)例子是有關(guān)平板技術(shù)和移動(dòng)設(shè)備的安全性。許多機(jī)構(gòu)正在考慮這項(xiàng)技術(shù)是幫助銷售人員提高生產(chǎn)力和實(shí)現(xiàn)業(yè)績(jī)最大化的途徑。但是CISO必須能夠清楚地說出這些新技術(shù)會(huì)使業(yè)務(wù)部門面臨怎樣的風(fēng)險(xiǎn)，以及他們應(yīng)該如何正確地使用才能確保法規(guī)遵從性和遵守行業(yè)標(biāo)準(zhǔn)與框架。"

全新水平的業(yè)務(wù)才干

Kushner解釋說："安全人員目前面臨的最大的安全問題是：過去他們利用同行的作為來衡量自己掌握的技能應(yīng)當(dāng)是什么的基準(zhǔn)，現(xiàn)在衡量基準(zhǔn)實(shí)際上是經(jīng)理團(tuán)隊(duì)。"

Kushner又說，雖然你可能是應(yīng)用安全領(lǐng)域的專家，將你自己與一組應(yīng)用安全專業(yè)人員比較只會(huì)讓你局限在應(yīng)用安全領(lǐng)域，不會(huì)讓你的水平提升到管理級(jí)。

"你必須讓自己與坐在會(huì)議室中的另一些人比較。許多安全人員說：'經(jīng)理會(huì)議桌旁沒有我的座位。'但事實(shí)是由于沒有讓其它經(jīng)理經(jīng)歷級(jí)別的人相信他們應(yīng)當(dāng)擁有經(jīng)理級(jí)的座位。"

Kushner建議發(fā)展技能并進(jìn)行一些職業(yè)投資，幫助自己進(jìn)入經(jīng)理級(jí)別。另外還要了解機(jī)構(gòu)的關(guān)鍵組成部分--不僅僅只是它的安全部門，這是使你被人注意的要素。最后還要了解機(jī)構(gòu)面臨哪些超出安全與風(fēng)險(xiǎn)范圍的阻礙。

"多數(shù)安全人員認(rèn)為自己擁有足夠的業(yè)務(wù)技能。但是安全人員定義業(yè)務(wù)技能的方式和CIO及CFO或其它C級(jí)人員定義業(yè)務(wù)技能的方式可能是兩種不同的東西。"

溝通能力--包括傾聽技能

Kushner說："為了安全項(xiàng)目能夠被正確實(shí)施，你必須能夠讓每個(gè)人知道這個(gè)信息，而且每個(gè)人都必須培養(yǎng)某種安全意識(shí)。"

Kushner指出在與機(jī)構(gòu)中其它人溝通的第一階段中，傾聽技能可能比談話技能更重要。他說："了解人們的想法和文化就是這樣一種技能。很多人忽略了這種技能。"例如，你不會(huì)用與業(yè)務(wù)領(lǐng)導(dǎo)人交流的方式與技術(shù)運(yùn)營(yíng)團(tuán)隊(duì)進(jìn)行交流。

Kushner說："找到不同的語(yǔ)言，以及找到如何把你正在做的事情翻譯成一種他們尊重和理解的語(yǔ)言十分重要。與安全領(lǐng)導(dǎo)者的有效交流意味著更廣泛的知識(shí)基礎(chǔ)。"

領(lǐng)導(dǎo)技能--不管你是什么職位

據(jù)Kushner說，今天所有的雇主想要從CISO或安全經(jīng)理那里尋找的所有技能中，最重要的是領(lǐng)導(dǎo)技能。許多公司可能由于尋求公司中的變革而雇用一位CISO，他們需要一位能夠推動(dòng)安全性向新方向發(fā)展的CISO。

Kushner說："由于信息安全以從未預(yù)料到的不同方式滲透到公司的各個(gè)角落，這種信息，以及對(duì)信息安全的設(shè)想是必須向所有人傳達(dá)的信息。"他說："不僅向知道內(nèi)幕的人員傳達(dá)，而且還要向忽視安全性的人員傳達(dá)。"即使你現(xiàn)在沒有擔(dān)任領(lǐng)導(dǎo)職位，你也可以在當(dāng)前的職位上培養(yǎng)這種技能。Kushner說，領(lǐng)導(dǎo)技能有許多種表現(xiàn)形式。

他建議："培養(yǎng)領(lǐng)導(dǎo)技能的前期，可以嘗試在一個(gè)項(xiàng)目里做那個(gè)工作最積極的人。這就是領(lǐng)導(dǎo)能力。另外，部署用于解決法規(guī)遵從問題的軟件包或工具也可以是成為帶頭人的機(jī)會(huì)?；蛘吣憧梢猿蔀榫哂性跈C(jī)構(gòu)中推廣安全文化想法的人。領(lǐng)導(dǎo)能力是某種不能描述的東西，但當(dāng)你逐漸擁有之后，就會(huì)意識(shí)到它的存在。"