【51CTO 3月28日外電頭條】多年來(lái)，我總是看到CSO唉聲嘆氣的樣子，不是他們沒(méi)有能力做好信息安全工作，而是大環(huán)境太糟糕，現(xiàn)在情況正慢慢發(fā)生變化，但要做好CSO仍然不是一件容易的事情，不僅要做好安全團(tuán)隊(duì)的建設(shè)，還要和領(lǐng)導(dǎo)以及其他部門(mén)建立良好的溝通渠道，一個(gè)失敗的CSO肯定是犯了許多錯(cuò)誤，特別是溝通上的錯(cuò)誤，一個(gè)成功的CSO一定是善于溝通的人。下面是CSO在溝通上常犯的7個(gè)錯(cuò)誤，看看你是否也在犯這些錯(cuò)誤。

1、不主動(dòng)

Lorna Koppel是位于美國(guó)威斯康星州的制造公司Kohler的IT安全總監(jiān)，她在安全領(lǐng)域混跡了數(shù)十年，除了喜歡軍事和大氣科學(xué)外，Koppel發(fā)現(xiàn)自己對(duì)IT安全的興趣越來(lái)越濃厚，因?yàn)檫@個(gè)世界越來(lái)越計(jì)算機(jī)化。

她說(shuō)："我們現(xiàn)在的工作越來(lái)越復(fù)雜，因?yàn)槲覀儽仨毺幚硭型{，而且還需要為更復(fù)雜和更先進(jìn)的技術(shù)做好準(zhǔn)備"。

對(duì)Koppel和她的團(tuán)隊(duì)來(lái)說(shuō)，需要同時(shí)處理好當(dāng)前的威脅和對(duì)未來(lái)做好計(jì)劃。

她說(shuō)："我們將走向何方？我們的戰(zhàn)略是什么？對(duì)安全人員來(lái)說(shuō)這些問(wèn)題的確很難回答，因?yàn)槲覀円恢碧幱诒粍?dòng)的地位，我們就好像一支消防隊(duì)伍，雖然如此，我們也有非常清晰的計(jì)劃"。

她說(shuō)她很努力地維護(hù)和團(tuán)隊(duì)的關(guān)系，總是希望和大家和睦相處，她希望團(tuán)隊(duì)成員要有遠(yuǎn)見(jiàn)。

Koppel說(shuō)："我會(huì)保持積極主動(dòng)，但不是每個(gè)人都有這種心態(tài)，只有這樣才會(huì)讓工作和生活更美好"。

2、忽視他人的意見(jiàn)

Koppel相信組織中的每個(gè)人，不僅僅是安全團(tuán)隊(duì)，她需要完全理解如何保護(hù)所有人，這意味著需要傾聽(tīng)用戶的痛苦，并提出解決方案。

最近為了實(shí)施一個(gè)身份管理解決方案，Koppel和她的團(tuán)隊(duì)向用戶征詢了對(duì)現(xiàn)有基礎(chǔ)設(shè)施的意見(jiàn)和問(wèn)題，如快速訪問(wèn)，跨應(yīng)用同步密碼等，通過(guò)解決用戶提出的問(wèn)題，Koppel贏得了尊敬。

Koppel說(shuō)："從安全角度來(lái)看，雖然新系統(tǒng)達(dá)不到鉑金標(biāo)準(zhǔn)，但卻讓Kohler的總體安全形勢(shì)變得更好，因?yàn)橛脩舯仨氃O(shè)置一個(gè)強(qiáng)密碼，以前雖然有各種密碼，但強(qiáng)度不夠，形同虛設(shè)。現(xiàn)在我和公司其它部門(mén)的同事在一起時(shí)，我告訴他們我就是在你們背后保護(hù)你們安全的人，他們會(huì)說(shuō)'哦，原來(lái)是你，非常感謝你！'，如果我們能為用戶解決問(wèn)題，我們可以實(shí)施更嚴(yán)格的安全控制，他們是不會(huì)反對(duì)的"。

3、不重視文化差異

Roger Dixon是全球投資管理公司Invesco信息安全負(fù)責(zé)人，管理公司設(shè)在全球的安全部門(mén)。

他說(shuō)："我的團(tuán)隊(duì)分散在全球各地，溝通時(shí)總會(huì)遇到語(yǔ)言挑戰(zhàn)，并且每個(gè)地區(qū)的文化也不同，我所說(shuō)的每一句話，發(fā)出去的每一封郵件都要經(jīng)過(guò)特殊處理，避免引起反感或誤解，在北美人眼中太正常不過(guò)的一句話，到了其它地方意思可能發(fā)生翻天覆地的變化，沒(méi)有通用的方法，否則會(huì)引起問(wèn)題。我會(huì)在每個(gè)地區(qū)挑選出合適的溝通代表，消除文化鴻溝"。#p#

4、不能讓公司其它人員也考慮安全

過(guò)去10年，安全在企業(yè)中的地位得到了顯著提升，因此才有了CSO/CISO的稱呼，但Dixon說(shuō)盡管不斷強(qiáng)調(diào)安全的重要性，管理層和員工卻很難真正重視它，非安全部門(mén)的人一般都是嘴上說(shuō)說(shuō)，不見(jiàn)行動(dòng)。

Dixon說(shuō)："他們認(rèn)為所有與安全相關(guān)的問(wèn)題都應(yīng)該由安全部門(mén)來(lái)解決，這給IT部門(mén)留下了一個(gè)巨大的挑戰(zhàn)，每當(dāng)我向他們解釋他們所面臨的風(fēng)險(xiǎn)，以及可能發(fā)生的后果時(shí)，他們總是能配合"。

Koppel非常贊同Dixon的做法，她總是喜歡把安全問(wèn)題放大講給大家聽(tīng)，效果還不錯(cuò)，她說(shuō)："我們不想簡(jiǎn)單地部署一臺(tái)防火墻，阻止他們做出一些破壞行為，相反，我們希望所有人員都參與到安全保衛(wèi)戰(zhàn)中來(lái)，早些結(jié)束一個(gè)團(tuán)隊(duì)的戰(zhàn)斗，齊心協(xié)力才能杜絕安全隱患"。

5、找不準(zhǔn)時(shí)機(jī)

荷蘭超市行業(yè)巨頭Royal Ahold的全球CISO John Kirkwood說(shuō)："我學(xué)到的最大教訓(xùn)是掌握好時(shí)機(jī)"。

在此之前，Kirkwood是美國(guó)運(yùn)通和瑞士信貸的CISO，他記得有一次他的安全報(bào)告被大多數(shù)人忽略，緊接著就發(fā)生了9/11事件，后果可想而知。

他說(shuō)："如果你在正確的時(shí)間，向正確的人說(shuō)了正確的事情，你會(huì)獲得許多快樂(lè)，如果你時(shí)機(jī)掌握得不好，你的消息會(huì)被忽略"。

Kirkwood以PCI相關(guān)的技術(shù)舉了一個(gè)例子，他說(shuō)："放在幾年前，如果我說(shuō)我們需要幾百萬(wàn)來(lái)做這件事，我可能會(huì)被萬(wàn)人唾棄，但現(xiàn)在許多組織都想引入這些技術(shù)來(lái)保護(hù)自己，所以說(shuō)時(shí)機(jī)很重要"。

6、在溝通中不善于改變自己的角色

Kirkwood說(shuō)他更喜歡使用郵件交流，這樣有充分的時(shí)間調(diào)整自己的用語(yǔ)，調(diào)整自己在郵件中扮演的角色，他說(shuō)："我經(jīng)常會(huì)問(wèn)自己是一個(gè)領(lǐng)導(dǎo)，還是一個(gè)顧問(wèn)，抑或是壞消息發(fā)布者，無(wú)論何時(shí)我都不會(huì)以領(lǐng)導(dǎo)的口吻說(shuō)話，也不會(huì)以老師或顧問(wèn)自居，但我必須要有那種能力，因?yàn)樵诓煌瑫r(shí)間我實(shí)際上要扮演這些角色"。

Koppel同意Kirkwood的觀點(diǎn)，她說(shuō)她需要她的團(tuán)隊(duì)知道更多的安全技術(shù)，因?yàn)樗麄冊(cè)诓煌瑘?chǎng)合也要扮演不同的角色，她說(shuō)："他們需要了解網(wǎng)絡(luò)，了解大量的事情，那樣他們才能告訴我非技術(shù)小組是否正在以錯(cuò)誤的方式解決問(wèn)題，有助于我在關(guān)鍵時(shí)刻做出正確的決策"。

7、認(rèn)為溝通是在浪費(fèi)時(shí)間

有時(shí)，你需要非常努力才能取得有效的溝通，要想成為好的CSO，你必須認(rèn)識(shí)到溝通的重要性，Dixon說(shuō)他在一個(gè)職位上呆了兩年時(shí)間，每天都要面壁思考，力圖說(shuō)服每一個(gè)人真正重視安全，但他發(fā)現(xiàn)他的領(lǐng)導(dǎo)角色根本起不到作用，Dixon感到他只不過(guò)是一個(gè)徒有其名，毫無(wú)實(shí)權(quán)的領(lǐng)導(dǎo)罷了，因此他最后選擇了離開(kāi)。

Dixon說(shuō)："我花了兩年時(shí)間仍然無(wú)法改變，因此，你的求職時(shí)一定要多留個(gè)心眼，除非管理層非常重視，并極力支持安全建設(shè)，否則不要留下來(lái)"。

原文出處：http://www.cio.com/article/678014/7_Communication_Mistakes_CSOs_Still_Make

原文名：7 Communication Mistakes CSOs Still Make

作者：Joan Goodchild

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. 網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展之網(wǎng)絡(luò)時(shí)代
2. CISO（首席信息安全官）所需要的四種技能
3. CIO：做好IT治理 是否就能安全過(guò)冬