在過去15年里，Renee Guttmann一直在財富500強企業(yè)領(lǐng)導(dǎo)安全和風(fēng)險管理項目。Guttmann曾擔(dān)任Gartner高級研究分析師，她現(xiàn)在仍然是全球信息安全社區(qū)的活躍成員，在本文中，她與安全及隱私領(lǐng)域的同行們和供應(yīng)商們分享了她來之不易的建議和技術(shù)指導(dǎo)。

[[120343]]

在她非凡的職業(yè)生涯中，Guttmann曾分別擔(dān)任可口可樂公司、時代公司和時代華納公司(合并后)以及Capital One公司的首席安全架構(gòu)師、首席信息官(CISO)和副總裁。目前，她是信息安全服務(wù)公司Accuvant公司CISO辦公室副總裁。CISO的生活到底是怎樣的?為此Marcus Ranum采訪了Guttmann，詢問她應(yīng)對全球信息安全和隱私項目永無止境的挑戰(zhàn)所需要的領(lǐng)導(dǎo)力和核心技能。

MARCUS RANUM：對于信息安全從業(yè)人員，CISO位于金字塔的頂端。我們的觀念和現(xiàn)實相符嗎?我聽到了很多人談?wù)揅ISO的工作就是‘向董事會呈現(xiàn)數(shù)據(jù)指標(biāo)’之類的事情。但你的工作真的是這樣嗎?你怎么安排你的時間?

RENEE GUTTMANN：對于大多數(shù)大型企業(yè)，信息安全問題已經(jīng)上升到應(yīng)引起董事會關(guān)注的層面。這是一個瞬息萬變的環(huán)境，我們面對著各種惡意動機的群體，從有組織的犯罪、尋求競爭優(yōu)勢的民族國家和公司，到攻擊品牌的網(wǎng)絡(luò)積極分子。

向董事會報告數(shù)據(jù)指標(biāo)是非常有必要的，這樣可以量化和簡化企業(yè)及其業(yè)主所面臨的的風(fēng)險情況。

但我真正的時間都花在創(chuàng)建、‘溝通’和部署戰(zhàn)略，來積極管理企業(yè)面臨的潛在風(fēng)險。在你制定好戰(zhàn)略并獲得主要利益相關(guān)者的支持后，如果部署進(jìn)展順利的話，向董事會和其他人提供有意義的數(shù)據(jù)指標(biāo)成了相對簡單的任務(wù)。我想說，在信息安全領(lǐng)域工作這么多年，擔(dān)任幾家大公司的首位CISO給我?guī)砹钊穗y以置信的回報。#p#

安全從業(yè)人員如何為CISO職位做好準(zhǔn)備?你認(rèn)為成功的CISO需要的核心技能是什么?你如何獲取這些技能?

并沒有萬能的技能。我認(rèn)識從未在信息安全領(lǐng)域工作過的CISO，并且他們都是優(yōu)秀的企業(yè)領(lǐng)袖。我從事過信息安全領(lǐng)域各個層次的工作，我認(rèn)為現(xiàn)在最重要的技能是能夠?qū)⑿畔踩惋L(fēng)險管理轉(zhuǎn)化為讓其他人理解的信息。

安全從業(yè)人員需要積極參與更廣泛的信息安全社區(qū)—分享想法和經(jīng)驗教訓(xùn)。Larry Boosidy將這稱為“厚著臉皮地偷”，畢竟利用其他地方的好想法并沒有壞處。

當(dāng)你剛開始你的職業(yè)生涯時，與其他杰出的CISO共處一室會很恐怖，但作為一個有抱負(fù)的CISO，這可能是你可以做的最重要的事情之一，要知道，與成功的同行在一起絕對沒有壞處。

你必須愿意接受新想法、愿意改變以及成為一個變革者。在達(dá)爾文的《物種起源》中，我最喜歡的理論之一是：生存下來的不是那些最強壯或最聰明的，而是那些適應(yīng)力最好的。如果你不適應(yīng)變化，可能很難成為CISO。

如果企業(yè)淪為攻擊目標(biāo)，CISO發(fā)揮怎樣的作用?如果發(fā)生數(shù)據(jù)泄露事故，你是否需要承擔(dān)責(zé)任?

我們都知道，每當(dāng)出現(xiàn)網(wǎng)絡(luò)放緩的情況時，肯定有一個錯誤配置的安全設(shè)備。好啦，我是在開玩笑。我并不喜歡指責(zé)的游戲，但我認(rèn)為，當(dāng)問題出現(xiàn)在其工作職責(zé)內(nèi)時，CISO需要承擔(dān)責(zé)任。

另一方面是確保在問題發(fā)生之前發(fā)現(xiàn)風(fēng)險，CISO需要負(fù)責(zé)確保企業(yè)清楚這個潛在風(fēng)險，并妥善處理它—即使這意味著失去一些支持。當(dāng)然，我們有不同的方法來管理風(fēng)險，包括接受風(fēng)險。利益相關(guān)者需要參與進(jìn)來，并且，我覺得目標(biāo)應(yīng)該不是局限于個人關(guān)注的內(nèi)容。

我有時聽到信息安全從業(yè)人員談?wù)撜f，通過讓業(yè)務(wù)部門對某些工作簽字確認(rèn)來管理風(fēng)險—如果發(fā)生泄漏事故者可以轉(zhuǎn)移責(zé)任或保護(hù)他們免受譴責(zé)。但我覺得這不實際，我也從沒有嘗試過。你覺得呢?

而且這并沒有那么容易。即使一個業(yè)務(wù)部門領(lǐng)導(dǎo)簽字，如果出現(xiàn)重大后果，他們可能會說他們并沒有真正理解這個問題。這就是說，信息安全的工作是管理風(fēng)險，而CISO必須要更加實際。我建議清楚明確各自的職責(zé)。

例如：‘我們不會允許網(wǎng)站包含讓攻擊者可以很容易地從數(shù)據(jù)庫竊取個人數(shù)據(jù)的漏洞。’同樣重要的是，讓高層領(lǐng)導(dǎo)支持這些‘職責(zé)分配’。并且，最終，人們知道他們不能推出不安全的網(wǎng)站。

還有一個好辦法是建立一個跨職能管理團(tuán)隊(包括從業(yè)人員和高層領(lǐng)導(dǎo))來幫助評估和接受信息安全風(fēng)險。你不希望將每次例外都標(biāo)記為異常，所以CISO需要幫助這個管理團(tuán)隊來確定政策的合理例外情況。例如，企業(yè)可能允許網(wǎng)站存在低風(fēng)險問題，并計劃在90天內(nèi)解決這些問題。你和你的團(tuán)隊必須實事求是，畢竟沒有絕對安全的事情。#p#

你在跨職能方面的經(jīng)驗是什么?你花多少時間與業(yè)務(wù)部門探討安全問題或者讓你的團(tuán)隊嵌入其他團(tuán)隊?成功的安全部門有時候是顧問和教育工作者，其他時候則是守護(hù)者。

我的大部分工作都是全球性的，IT也很分布化。在每種情況下，我都有員工在國外為我工作，有時候他們也報告給區(qū)域業(yè)務(wù)部門。

我們花了很多時間來教育關(guān)鍵利益相關(guān)者，以及提高整體員工的意識。我曾告訴IT部門的1000個人，我認(rèn)為他們是團(tuán)隊的一部分。我的團(tuán)隊需要理解和支持其他人，這對于其他人也同樣重要，包括員工和顧問，他們應(yīng)該了解保護(hù)企業(yè)信息的重要性。

你知道，當(dāng)員工知道你是誰時，信息安全項目才可以進(jìn)展，他們在遇到問題時會打電話給你。這又回到了“無指責(zé)的游戲”。作為一名CISO，我寧愿早些知道潛在問題的存在，這樣我可以及時解決問題。我告訴人們，‘總有一些小火在燃燒，只是不要讓它們燒毀建筑物了。’

你花了多久才進(jìn)入角色?我總是覺得，隨著企業(yè)規(guī)模的擴大，我們需要花更久的時間來了解正在發(fā)生什么——我是個控制狂!你在使用任何特定的方法嗎?對于你來說，這是一個程序，還是總是有不同?

在我最開始的前90天工作中，我的一位經(jīng)理給了我一個禮物：他給了我一本書，教我如何開始我的工作。這本書建議(經(jīng)理)提出三個問題：什么正在運行?什么需要改進(jìn)?以及哪里我沒有出錯?我驚喜地發(fā)現(xiàn)這非常管用，這讓我能夠快速發(fā)現(xiàn)信息安全程序成功的區(qū)域，以及需要對人員、流程和技術(shù)進(jìn)行調(diào)整的區(qū)域。

我告訴我的團(tuán)隊，‘完美是成功的大敵’。在我的辦公室有一個牌子，上面寫著，因為我不知道發(fā)生了什么事情，于是我笑了。當(dāng)你不知道所有答案的時候能夠笑，并承認(rèn)你不知道，這對職業(yè)壽命和個人壽命都很重要。順便說一句，我不知道你是控制狂!

對于‘控制狂’，我的意思是，我必須很清楚事情的發(fā)展，否則我會很不舒服。這是很困難的事情，因為我認(rèn)為這潛在地限制了我能有效工作的范圍。當(dāng)我看著你從事過的職位，讓我感到昏亂。從你的職位，你怎么知道在不同層面發(fā)生的事情?我的態(tài)度是‘信任，但要核查’，并且，在核查部分，我總是缺乏足夠的帶寬，你如何平衡這一點?

這又回到了管理風(fēng)險的話題。我并不會使用安全這個詞，除非我在談?wù)撐?60磅的狗。這也是為什么你需要有一個非常社會化且獲得高層支持的戰(zhàn)略的原因。我們需要付出很多來獲得成功。我也認(rèn)為，對于擴展信息安全，你需要人員、流程和技術(shù)。我很擔(dān)心過于人工且需要有人花數(shù)小時查看細(xì)微內(nèi)容的整治計劃。并不是反復(fù)說到這一點，但這方面確實會出問題。對于信息安全，我們面對不同水平的問題，你需要專注于對企業(yè)很重要的事情。#p#

是否有想要重新來過或第二次機會?

前車之鑒很美好，這個問題的答案是肯定的。首先，我會在我的職業(yè)生涯的更早期聘請更多的高校畢業(yè)生、退伍人員和實習(xí)生，因為他們會給團(tuán)隊帶來新視角和信譽。我可以告訴你，從事社交媒體項目的20多歲的年輕人更愿意聽到我20多歲員工的信息安全言論，而不是從我這里。其次，我會更多地向系統(tǒng)管理員和員工(出于他們報告可疑活動的工作)，還有我的團(tuán)隊、顧問和同行說聲“謝謝”。我會利用所有公司提供的機制來認(rèn)識人員，但這確實需要付出很多，而且你需要慶祝成功，你還需要有指標(biāo)來展示成功。

最后想說些什么?

作為CISO，重要的是要非常清楚信息安全的發(fā)展?fàn)顩r。昨日應(yīng)有的注意可能恰恰就是明日的疏忽。

我建議信息安全從業(yè)人員看看T.J. Hooper案件的裁決，該案件涉及在20世紀(jì)30年代，被拖船拖走的兩艘駁船在風(fēng)暴中沉沒。駁船所有者起訴這個過失問題，并指出拖船沒有正常的天氣傳送無線電。拖船所有者反駁說，天氣傳送無線電并不是行業(yè)標(biāo)準(zhǔn)。

法官Learned Hand在60 F.2d737(1932年第二巡回法院)裁決，該拖船所有者應(yīng)承擔(dān)責(zé)任：法院最后必須說公道話;預(yù)防措施非常有必要，即使是他們的普遍漠視也不能成為疏忽的借口。

換句話說，如果有一個做法是合理的，但不是普遍的‘習(xí)慣’做法，這仍然應(yīng)該作為標(biāo)準(zhǔn)的量度。只做最少的必要的事情或僅僅遵循法規(guī)是不夠的。云計算、物聯(lián)網(wǎng)和移動正在改變一切，我們需要作為一個社區(qū)，與我們的供應(yīng)商(包括新型技術(shù)公司)一起開發(fā)使我們能夠支持企業(yè)向前發(fā)展的產(chǎn)品和解決方案。