過(guò)去幾年，***信息安全官(CISO)角色已從戰(zhàn)術(shù)性IT經(jīng)理發(fā)展到了戰(zhàn)略性業(yè)務(wù)主管的地位。那么，身份上的轉(zhuǎn)型對(duì)CISO邁向成功提出了哪些能力素質(zhì)上的要求呢?

[[238487]]

從企業(yè)戰(zhàn)略集團(tuán)(ESG)和信息系統(tǒng)安全聯(lián)盟(ISSA)去年發(fā)布的數(shù)據(jù)中可以窺探一二。

數(shù)據(jù)顯示：

• 54%的CISO認(rèn)為，CISO的成功取決于領(lǐng)導(dǎo)力

CISO必須要能通過(guò)網(wǎng)絡(luò)風(fēng)險(xiǎn)教育、創(chuàng)建定制安全意識(shí)培訓(xùn)項(xiàng)目、全面確立公司網(wǎng)絡(luò)安全文化等手段來(lái)領(lǐng)導(dǎo)公司通往更好的安全態(tài)勢(shì)。

• 49%的CISO認(rèn)為，CISO的成功取決于溝通能力

CISO必須要能以業(yè)務(wù)部門(mén)人員能夠理解的方式闡述清楚晦澀難懂的一些概念，比如軟件漏洞、威脅情報(bào)、加密等等，讓業(yè)務(wù)部門(mén)人員可以消化吸收這些概念并以之指導(dǎo)自身行動(dòng)。而且，CISO要與諸多利益相關(guān)者打交道，比如律師、人力資源、司法機(jī)構(gòu)、審計(jì)、合作伙伴等等。好口才無(wú)疑會(huì)對(duì)成功助力良多。

• 44%的CISO認(rèn)為，CISO的成功取決于與業(yè)務(wù)主管的良好關(guān)系

如果業(yè)務(wù)主管積極主動(dòng)參與安全事務(wù)，并將CISO當(dāng)做平級(jí)伙伴對(duì)待，CISO無(wú)疑就有了成功的沃土。如果情況不是這樣，那CISO***還是另謀高就吧。

• 33%的CISO認(rèn)為，CISO的成功取決于管理能力

管理能力排位不高的事實(shí)或許有點(diǎn)令人驚訝，這可能是因?yàn)榘踩藛T的管理工作往往被委派給了直接下屬，而CISO自己則集中精力在風(fēng)險(xiǎn)管理和與業(yè)務(wù)主管溝通上。

• 21%的CISO認(rèn)為，CISO的成功取決于技術(shù)能力

僅這一條就足以反映出CISO角色在這幾年間的演變。過(guò)去，CISO傾向于通過(guò)IT和網(wǎng)絡(luò)安全部門(mén)監(jiān)管殺毒軟件、防火墻和達(dá)成合規(guī)要求。如今，CISO更多地倚靠業(yè)務(wù)部門(mén)。

總結(jié)：

• 公司規(guī)模和公司里安全員工的多寡，極大地影響著CISO的成功。公司規(guī)模越小，CISO需要親力親為的事就越多。
• 成功的CISO都與CIO保持著良好的合作關(guān)系。事實(shí)上，很難嚴(yán)格劃分出IT與網(wǎng)絡(luò)安全之間的界限。往IT團(tuán)隊(duì)中嵌入安全技術(shù)似乎是個(gè)特別有用的模式。
• CISO成功的絕對(duì)關(guān)鍵因素是高管團(tuán)隊(duì)。高管的態(tài)度和行動(dòng)要么成就CISO，要么毀掉CISO。

ESG和ISSA報(bào)告地址：https://www.issa.org/default.aspx

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文