隨著首席信息安全官發(fā)揮越來越重要的作用，擔(dān)負的責(zé)任也越來越大，許多網(wǎng)絡(luò)安全專業(yè)人士需要了解他們是否具備成功勝任這一角色的條件。

技術(shù)專長和知識經(jīng)驗顯然是巨大的資產(chǎn)。優(yōu)秀的首席信息安全官可以評估和選擇安全技術(shù)，與技術(shù)人員溝通，并就安全基礎(chǔ)設(shè)施和架構(gòu)方面做出關(guān)鍵決策。大多數(shù)首席信息安全官具有領(lǐng)導(dǎo)和管理團隊的經(jīng)驗，與企業(yè)內(nèi)部的利益相關(guān)者建立了緊密關(guān)系，并應(yīng)對過網(wǎng)絡(luò)安全方面的危機。他們知道如何快速做出決定并推動企業(yè)變革。

然而，很多人并不具備成功的首席信息安全官的一些品質(zhì)和能力。以下是表明他們是否勝任首席信息安全官的5種方法。

1、規(guī)避風(fēng)險

根據(jù)定義，首席信息安全官的職責(zé)是管理網(wǎng)絡(luò)風(fēng)險。這包括評估和管理企業(yè)面臨的風(fēng)險，并根據(jù)這些評估做出選擇。如果網(wǎng)絡(luò)安全專業(yè)人士不能做出基于風(fēng)險的決策，或者很難弄清楚如何優(yōu)先處理威脅，尤其是在壓力很大的情況下，那么他就不會成為一名成功的首席信息安全官。如果他們有避免為自己的決定和行動承擔(dān)責(zé)任的傾向，也是如此。

Blackcloak公司創(chuàng)始人兼首席執(zhí)行官Chris Pierson表示，首席信息安全官的角色不適合那些不愿為自己可能倡導(dǎo)或?qū)嵤┑男袆映袚?dān)責(zé)任的人。Pierson說：“如果網(wǎng)絡(luò)安全專業(yè)人員從CYA、對抗或風(fēng)險規(guī)避的角度來處理，那么可能會降低與他人合作實現(xiàn)聯(lián)合任務(wù)或目標的能力。而成為一個不能容忍或不能承擔(dān)風(fēng)險的人，可能會影響其有效運作的能力，并使其他人不愿與他合作?！?/p>

首席信息安全官當(dāng)然不適合那些害怕在危險時刻做出艱難決定的人。

2、難以適應(yīng)變化

首席信息安全官主要負責(zé)領(lǐng)導(dǎo)和管理安全專業(yè)人員團隊。他需要善于管理人員并與他人有效溝通，這意味著愿意傾聽和考慮他人的反饋。Pierson表示，“如果網(wǎng)絡(luò)安全專業(yè)人員是一位總是希望獲勝的人，不能與不同的觀點或優(yōu)先事項進行談判或達成一致，那么就不適合成為首席信息安全官。”

另一個危險信號是，人們普遍不愿意授權(quán)給其他安全負責(zé)人，因為他們認為首席信息安全官比周圍的人更了解正在發(fā)生的事情。Delinea公司的首席信息官Stan Black表示，如果網(wǎng)絡(luò)安全專業(yè)人員不愿意雇傭一些更聰明的人，那么最好放棄成為首席信息安全官的想法，因為當(dāng)他所在的公司被黑客攻擊時，可能遭到更多的指責(zé)和社會關(guān)注。

Bugcrowd公司的首席信息安全官Nicholas McKenzie表示，那些難以適應(yīng)變化的人需要避免擔(dān)任首席信息安全官。首席信息安全官需要靈活應(yīng)變，并根據(jù)不斷變化的業(yè)務(wù)需求和網(wǎng)絡(luò)威脅環(huán)境調(diào)整策略。如果是那種固執(zhí)地實施會破壞流程或影響用戶或客戶體驗措施的人，那么他就會知道自己不適合擔(dān)任首席信息安全官。

3、不理解業(yè)務(wù)需求和目標

如果網(wǎng)絡(luò)安全專業(yè)人員缺乏對業(yè)務(wù)需求和目標的深刻理解，無法開發(fā)與企業(yè)目標一致的安全策略，那么就不適合擔(dān)任首席信息安全官。如果開發(fā)和實現(xiàn)企業(yè)范圍的安全流程以及管理預(yù)算的想法讓他感到不安，那么最好遠離首席信息安全官這一角色。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者應(yīng)該很好地理解其特定行業(yè)的法規(guī)和合規(guī)性要求，以及相關(guān)的數(shù)據(jù)保護和隱私法律。

McKenzie表示，如果網(wǎng)絡(luò)安全專業(yè)人員不能理解企業(yè)的業(yè)務(wù)語言、業(yè)務(wù)流程以及安全控制能夠或可能進一步發(fā)揮作用的地方，那么他就沒有資格成為首席信息安全官。不能或不愿意定期與供應(yīng)商交談的網(wǎng)絡(luò)安全專業(yè)人員難以擔(dān)任首席信息安全官。Pierson說：“如果不想與供應(yīng)商談?wù)擃I(lǐng)先的技術(shù)或新方法，就不要擔(dān)任這一職位，因為這是首席信息安全官工作的關(guān)鍵部分?！?/p>

歸根結(jié)底，如果網(wǎng)絡(luò)安全專業(yè)人員是那種傾向于將安全團隊的目標置于企業(yè)目標之上的人，那么并不適合擔(dān)任首席信息安全官。Pierson說，“作為團隊合作者，這意味著首席信息安全官明白自己在公司的角色是保護客戶、員工和公司的數(shù)據(jù)。但這一切都需要符合其公司的目標?！?/p>

4、難以爭取更多的資金

成為首席信息安全官意味著能夠向企業(yè)管理層和首席財務(wù)官推銷其安全理念。有時，首席信息安全官需要能夠清楚地說明和辯護增加網(wǎng)絡(luò)安全預(yù)算或在項目上增加支出的理由。如果他沒有能力在需要的時候提出令人信服的理由來爭取更多的資金，那么就很難成為首席信息安全官。Stan Black表示，如果不是那種能找到令人信服的理由把資金花費在不能帶來直接收入的網(wǎng)絡(luò)安全的人，那么說明他并不適合擔(dān)任首席信息安全官。

金融服務(wù)行業(yè)的安全高管Larry Larsen曾擔(dān)任過各種網(wǎng)絡(luò)安全領(lǐng)導(dǎo)職位。他表示，通常情況下，成為成功的首席安全信息官的最大不利因素之一是過度關(guān)注獲得預(yù)算。那些認為首席安全信息官能夠得到了他們所需的所有資金的人，很可能對現(xiàn)實沒有準備。Larsen說：“如果他不能自信地去董事會為其提議的支出進行辯護，以抵御日益復(fù)雜的網(wǎng)絡(luò)威脅，而且不能得到他們的支持和理解，那么他可能不適合擔(dān)任首席安全信息官。”

5、過于技術(shù)化

技術(shù)和技能對于良好的網(wǎng)絡(luò)安全至關(guān)重要。但是過于技術(shù)化是一個缺點，因為它表明作為首席安全信息官，其采用的方法可能傾向于使用技術(shù)應(yīng)對面臨的每個安全挑戰(zhàn)?，F(xiàn)實情況是，作為一個安全領(lǐng)導(dǎo)者，首席安全信息官的角色實際上是管理網(wǎng)絡(luò)風(fēng)險，同時使其公司繼續(xù)實現(xiàn)業(yè)務(wù)目標。

McKenzie說：“那些認為采用某種工具或?qū)崿F(xiàn)審計或合規(guī)控制清單是解決所有安全問題的靈丹妙藥的人，并不勝任首席安全信息官。如果他認為網(wǎng)絡(luò)安全是非此即彼的事項，或者如果無法調(diào)整自己的思維和戰(zhàn)略，以跟上不斷變化的威脅格局和業(yè)務(wù)方向，那么他并不勝任首席安全信息官?！?/p>

Larsen表示，從其他方面來看，過于注重技術(shù)的首席安全信息官是不合格的。那些認為首席安全信息官的職責(zé)就是確保企業(yè)擁有最新的下一代防火墻、自適應(yīng)端點檢測和響應(yīng)工具以及其他技術(shù)的人，往往無法理解網(wǎng)絡(luò)攻擊者的行為和動機。

他說，“作為首席安全信息官，需要了解網(wǎng)絡(luò)攻擊者到底想要什么?為什么要進行攻擊?他們和誰合作?如果網(wǎng)絡(luò)攻擊者想在遭到網(wǎng)絡(luò)威脅之前采取行動，就必須考慮這些因素以及其他許多變量，更不用說在威脅發(fā)生時做出的反應(yīng)了?！?/p>