安全一直都是企業(yè)建設的重要環(huán)節(jié)，隨著企業(yè)安全受重視的程度越來越高，安全的幕后推手CISO也越來越為人所熟知，那么CISO具體工作究竟是什么，具備哪些素質(zhì)才能成為CISO，CISO又是如何來保證企業(yè)安全的呢?關于以上問題，【W(wǎng)OT2016企業(yè)安全技術峰會】特邀講師、聯(lián)想集團IT安全總監(jiān)李濤老師將為我們細細講解。

【嘉賓簡介】

李濤，聯(lián)想集團IT安全總監(jiān)，主要負責全球信息安全。曾供職于IBM, Cisco, PwC 以及多家海外金融機構(gòu)，有著豐富的IT從業(yè)經(jīng)驗。

什么是CISO?

CISO翻譯成中文就是***信息安全官，全權(quán)負責機構(gòu)內(nèi)信息安全工作。包括對信息安全風險進行評估，制定安全政策和標準，落實控制手段，監(jiān)督合規(guī)和政策執(zhí)行，有效降低安全風險。李濤老師顯然對CISO這個詞有著更深層次的理解。李濤老師表示CISO不只是一個職業(yè)，更是一場關乎企業(yè)生存的挑戰(zhàn)。企業(yè)的安全防線被攻破是不可避免的，CISO就像生活在刀尖上的，始終都要保持***狀態(tài)以迎接隨時出現(xiàn)的挑戰(zhàn)。

CISO應該具備的素質(zhì)

CISO是一個集技術與管理于一身的綜合性職位。編程、網(wǎng)絡、軟件工程、Web安全、OS安全等等都是CISO必備的技術修養(yǎng)。除此之外作為一個管理者，CISO還必須善于傾聽和學習，知人善任，能夠在下屬中建立威望和憑借良好的溝通解決業(yè)務困難。

CISO的日常

“安全這件事是一個日積月累的工作，不是某一天的一個亮點，安全要在每一天的具體工作中穩(wěn)步推進”。在問及CISO日常工作的時候，李濤老師是這樣回答的。相比較企業(yè)內(nèi)的其他工作，CISO每天要做的事情相對復雜的多，而且比較瑣碎。什么事情需要排在***位，什么事情需要在***時間處理，什么事情需要***時間響應，都是CISO必須要考慮的問題。除此之外新技術、政策法規(guī)、威脅趨勢變化，業(yè)務需求和安全平衡等也都是他們需要考慮的事情。

CISO的腦圖

如何做好CISO

安全圈里流傳著這樣一句話：沒有安全事故的時候安全工作就顯示不出價值。眾所周知，安全是不夠直接產(chǎn)出經(jīng)濟效益的，所以安全部門在一定程度上會被忽視，那么作為安全部門領導的CISO應該如何做才能讓企業(yè)高層重視安全建設呢?李濤老師給出的答案很簡單：有效溝通!

有效溝通小妙招：

• 放棄縮寫。不要再在報告中寫什么ATP，DDoS了，并不是所有人都能看得懂你簡明扼要的縮寫，所以有效溝通的***步就是拋棄這些專有名詞的縮寫，把它們用簡單的話描述出來，這樣比較容易被別人接受。
• 有圖有真相。相較于文字來說，圖片的表達能力似乎更強一些，更容易被理解。密密麻麻的文字總是讓人沒有讀下去的欲望，尤其是一些技術類的，如果能用一些圖片來代替是再好不過的了。
• 簡單類比。有一些安全技術對于非安全人士來說理解是可能會有一些困難，但是如果把這些技術用類比的方式講述，就可以把彼此之間的溝通距離拉的更近。
• 數(shù)字說話。數(shù)字是最直觀的表現(xiàn)形式，公司的高層關注重點是業(yè)務如何快速增長，每天的現(xiàn)金流和利潤，而數(shù)字無疑是說明這些的***方式，一旦安全問題會影響這些數(shù)字的變化，那么跟高層解釋起來就會比較容易被接受了。

CISO還要善于利用成熟易懂的安全框架去向管理層清晰闡述安全工作態(tài)勢，獲取支持，持續(xù)推動安全工作的改進。

寫在***

采訪到***，張濤老師說道：“未來的企業(yè)安全會越來越好?，F(xiàn)在在安全圈里有很多專注解決某些安全業(yè)務痛點的初創(chuàng)企業(yè)，這是一個很好地趨勢，這說明越來越多的人在關注企業(yè)安全這件事，相比于幾年前實在是進步了很多。我希望以后IT圈能有更多的活動來增強安全意識，讓安全意識駐扎在每一個人的心中。”