對CISO來說,下一份工作最好是怎樣的?薪酬更高?福利更好?得到他人的尊重更多?這些要求非常正常,也應該滿足,但正因為如此,CISO需要去了解企業想從你們身上尋求哪些技能和品質,這樣才能最大限度地提高獲得好工作的機會。對大部分人而言,工作或許只是生存的工具,但也有不少人會在職場上追求自己的夢想。從「黑客」、「攻防」、「解密」所誕生的興趣愛好能否在為你帶來利益的同時見證出個人的價值和成就,這就需要每個人對工作、對生活有不同的定義。因此我們看企業和員工之間的雙向選擇,並不只局限於媚俗或規則,而是更多地會符合理性和邏輯,即為自己尋覓平台的同時恰巧成為了時代推動者中的一員。回到正題,那對企業來說,他們需要招聘來的CISO具備哪些特質呢?
首當其衝的一定是經驗,企業必然希望新來的CISO是身經百戰的,他除了能面對各種安全事件外,還能為安全團隊帶來豐富的技能和知識。IT人才招聘公司Fortium Partners的合伙人兼首席執行官 Burke Autrey 表示,企業往往會尋找經驗豐富的安全人員,最好是那種「在多家公司多次」擔任過CISO的候選人。他說,在他們以前的職位上,CISO職責包括了「常規CISO的安全治理、安全合規運作、監控/威脅檢測和事件響應」等,同時他們的CISO在「財務、人力資源、高管和董事會互動以及執法、保險等聯絡責任」方面都需要有相應的經驗。
「企業甚至在尋找過去曾處理過違規事件或公司虧損事件的CISO,企業需要了解這些CISO是怎麼處理這些情況的,包括他們曾遺漏過什麼、他們如何應對、以及他們之後又是怎麼加強公司防禦的。」
與此同時,許多小公司願意成就安全專業人員第一份CISO工作,只要他們具備必要的技能,他們就可以在這些小公司里從安全人員蛻變為CISO。可見「經驗」二字多麼重要,這就是為什麼各行各業都需要「閱歷豐富」的人才,因為業內浸染數年的知識財富、專業技能是書本上學不到的,而只有和時代共同進步、和行業不斷磨合才能讓自己去面對各種風險和突發事件。
「毫無疑問,最重要的專業知識是對應用程序和產品安全的全面了解。」國外知名安全專家Piacente 說道:「這是一種與產品開發、工程團隊在深層次技術層面進行協作的能力。」
對於科技公司來說尤其如此。Piacente說:「我所接觸到的大多數企業都屬於影響重大的顛覆性軟件公司,他們的產品安全合規性、客戶支持和招聘是他們會成功的關鍵因素,在他們的要求里,安全不僅僅是必需品或項目,而是他們所擁有的一個功能,是本身就攜帶和具備的要素。」
而當下的CISO更需要兼備管理方面的專業知識,所謂三分技術、七分管理,只有同時掌握了技術和管理才能做好信息安全。比如得明白怎麼和IT對接、怎麼和運維對接,得知道IT在說什麼,網絡拓撲怎麼看,同時也該明白上網行為如何分析,後台審計策略如何設置。能和IT溝通,也要學會怎麼和業務主管溝通,從入職到離職的員工都要有所交流、有所管理。言下之意就是CISO在他們的職業發展上不可過於偏向技術,要高屋建瓴,擁有大局觀,對各部門、各領域都有所涉及、有所掌握。
還有一項必備的技能是了解風險和合規性的發展趨勢。Piacente說:「公司希望CISO能了解讓公司走上ISO或SOC2、FedRAMP或NYDFS(紐約金融服務部]等認證之路的細微差別。未來,越來越多的企業會要求CISO能夠經歷這些完整的認證周期,因為只有這樣CISO才能了解公司需要做些什麼或不需要多做什麼。」
更確切的來說,企業希望CISO能夠致力於降低預期風險,包括政策帶來的合規要求。若CISO能夠知道在產品安全、合規要求和潛在威脅方面即將出現的問題,企業就可以及時將這些風險規避掉,這在市場上將是最大的領先。
負責任的CISO還必須能夠證明他們可以幫助公司的銷售、營銷團隊提高其產品和服務安全性的信任度。例如,可能會要求CISO填寫客戶或合作夥伴發送的調查表,以審查公司的安全實踐制度。
Piacente說:「我們的許多客戶都是軟件公司,他們正在尋找能夠管理企業IT運營的CISO,包括應用程序、業務技術、基礎設施等等。雖然CISO傳統上和客戶、合作夥伴之間的聯繫較少,但在過去三年多的時間裡,CISO的人群接觸範圍正呈現出快速的增長和強度,也就是說和客戶、合作夥伴們之間越來越多的溝通離不開CISO的參與。」
而關於如何建立信任,有一句話怎麼說:在基於公司的供應商管理制度、原則和要求下進行正常的工作交往,是良好合作關係的基礎。其次,定期的溝通,從技術趨勢、產品和服務、投訴和建議,到日常運營的最佳實踐,建立坦誠的高層溝通渠道也是必不可少。
許多企業在招聘CISO時會考慮到認證、資格。根據Autrey 的說法,具有技術/工程背景的CISO通常會獲得各種安全方面的認證,比如CISSP(認證信息系統安全專家)、CISA(認證信息系統審計員)或CISM(認證信息安全經理)。
然而,隨着CISO角色的蛻變,對基於風險/混合技術安全領導者的評估更多地取決於他們的經驗、高管評價和董事會認可,而不是他們的技術知識和認證。許多CISO認為認證的核心是良好的繼續教育,而並不只是考試、應試。而企業則更希望能將認證和繼續教育作為CISO全面發展的一個要素來進行評估。
當談到普通學位和證書時,毫無疑問,大部分企業都會尋找計算機系畢業的CISO,就像國外的許多公司,他們所聘用的CISO大多是從軟件開發人員和工程師轉業而來,這源於信息安全還並未成立為多麼引人注目的行業,因此缺少相對應的學位背景和學業體系。
Piacente 指出,對CISO的背景要求更傾向於在軟件工程或相關技術/開發背景方面擁有更深的學位。他說:「在認證方面,我也可看到過這種現象,然而我們在五年多的時間裡並沒有對任何類型的認證提出過硬性要求。在雲原生領域,CISO擁有何種背景並不是一個多高優先級的選項,但它對於其他企業里的CISO而言依舊具備意義。」
「許多企業還希望他們的CISO能擁有工商管理碩士學位(MBA)。這可能會讓人們感到驚訝,但企業希望他們的 CISO能擁有MBA學位,原因在於CISO就過去三到五年中在企業里的存在感得到了顯著提升,他們在業務、事務和向董事會的報告中發揮了更多的作用,因此即使MBA學位對於被聘用的CISO而言並不重要,但它肯定會有所幫助。」
鑑於CISO需要與公司中的其他人進行建設性的合作,企業正在尋找具有良好人際交往和社交能力的CISO。這意味着被招聘之人要表現出能在壓力之下保持冷靜,能在面對權威挑戰時保持決心,以及能用商業語言翻譯威脅和影響。
而當下的CISO還需要擁有一處關鍵的人格特質:同理心。CISO需要對企業內部、合作夥伴和潛在客戶等擁有共情能力,CISO需要明白並不是每個人都像他們一樣理解安全,並不是每個人都能用安全術語進行交談,太多的專業詞彙只會降低彼此的溝通效率。同時,就像處理病情的醫生,雖然在醫生眼裡各種奇難雜症都已是尋常,但對病人來說這就是天大的事,因此CISO需要考慮各類人員的承受能力,儘量站在對方的角度與之溝通。
另一方面,企業希望他們的 CISO 能夠為他們的部門制定切合實際的計劃、目標和截止日期,並能夠用清晰的、非技術性的術語來解釋這一切。Piacente 說:「CISO所接觸的人群是非常多樣化的,從銷售到營銷,從各委員會到法律、財務等,應有盡有。如果CISO試圖通過在公司周圍『建一堵牆』而不考慮其他人的需求來處理網絡安全問題,那他的同事將不會再尊重安全,而是會試圖繞過安全。相反,如果CISO能與他們合作構建網絡安全解決方案,讓他們在完成工作的同時降低風險,那麼這就是成功的關鍵所在了。」
對於企業招聘時希望CISO具備怎樣的特質、其中什麼特質對企業而言最為重要、CISO又希望企業能看重自己哪些優勢等,國內安全專家如此建議。
CDP Group 安全專家梁龍亭認為,企業更希望所招聘的CISO是一名「集大成者」。這源於從業者在大學階段往往只能專其一,比如軟件工程、計算機科學與技術、網絡工程、密碼科學與技術、審計專業等,而在工作後要想成為真正的CISO,應當觸類旁通,跨學科、跨專業,橫向、縱向「裂變」,因為只有成長為一名「集大成者」,企業才會更多的關注到你,CISO不只是技術人員。
「由於合格的CISO需要跨學科、跨專業「裂變」成長,因此,具備不斷探索學習,超越自我的能力,是對企業而言最重要的特質。同時,單一優勢的長板,無法彌補其他方面的短板,因此CISO應當具備『管理+技術+法律合規』的綜合優勢,這樣才能使得企業安全基線越築越高。」
而某集團安全負責人曾永紅覺得,CISO該具備三項特質。其一,CISO該匹配公司戰略,理解公司業務,系統、流程;其二,CISO該做好執行層面的業務,風險評估、合規管理,團隊領導;其三,CISO該掌握新技術、協同數字化業務,賦能員工。而其中,洞察業務、掌控風險則是對企業而言最重要的需求。而對於CISO而言,曾永紅覺得,他們可能更希望企業能看到自己技術和管理全面發展存的綜合素質。
某電商公司安全專家楊文斌同樣認為,CISO作為企業核心高級管理人員,是一個綜合能力要求很高的角色。首先企業當然希望他們可以為企業提供有效的安全機制和方法,幫助企業以最合理的資源投入取得最優的安全效果,將安全投資回報率ROI平衡到最佳狀態,轉變企業負責人關於安全是成本部門的慣性思維,提升安全地位和價值。同時企業也希望他們能將安全思維緊密貫穿於業務流程,從業務的角度思考和開展信息安全工作,在業務風險治理成效中體現安全價值,建立形成安全架構應對安全問題,最大化緩解安全風險降低到可接受範圍內,使得企業內部信息化能力持續完善。
而關於安全架構和方法論思維也很重要,強大的溝通協調能力同樣必不可少,安全工作的推進需要上下游關聯部門之間協調順暢,在部門之間建立堅固的信任關係。CISO應可以快速看清企業的安全形勢和現狀,能夠全局掌控企業的風險、控制措施以及能夠承受的風險應對壓力,針對性建立安全策略和程序。
「而對於企業來說,價值創造能力一定是最核心的要素。企業需要業務持續發展和創造更大的價值,CISO作為重要管理層人員,應有能力為企業規劃出適合自身業務發展的價值路徑,藉助安全能力和信息化賦能業務發展,實現業務的降本增效,規劃出可以體現安全價值甚至效益轉化的戰略思路和框架。企業的根本是發展,持續的創造出更多更大的價值才是王道,作為CISO應能夠在安全保障的前提下,開拓出更廣泛直接價值轉化的方法,可以通過安全手段降低企業風險損失和業務影響概率,也可以推動安全市場化能力,實現安全能力的效益轉化。」
而在CISO希望企業能看重自己的哪些優勢方面,楊文斌認為,CISO會希望企業能從多角度審視自己的個人能力,對此她提出了五點:1、抗壓能力。安全是風險係數最高的崗位,特別是隨着新技術和新場景的衍生,安全隱患複雜多變,需要CISO能夠展現超強的抗壓能力,快速解決各方面的威脅和攻擊。
2、領導才能。安全問題的解決需要專業性很強的人才隊伍,技術人才通常具有獨立的個性,要想將安全工作順利的推進落地,需要強大的領導才能,贏得團隊內人才的尊重和擁護,在團隊內建立形成良好的信任關係和協同文化。
3、組織協調能力。安全工作會牽扯到企業的所有部門和崗位,想快速有效的解決安全問題和落地解決方案,需要多個部門協同推進,特別是當安全工作影響到業務的進度時,如何有效的協調資源和收集信息來支撐安全工作是非常關鍵的,必須具備強大的跨部門協調能力。
4、解決問題的能力。安全問題是影響企業穩定發展的重要因素,如何快速的響應風險和解決問題是非常重要的,精準定位問題原因,協調有效的資源在最短時間應急處置,將企業損失最小化是很關鍵的。
5、安全解讀能力。不僅可以將安全政策有效轉化為企業內部制度流程和發展戰略,還能夠有效的將安全成效梳理成通俗易懂的結果,讓企業負責人及各部門負責人時刻了解安全價值,確保業務可以更好的利用安全,安全可以更好的賦能業務。
《6 top attributes employers want in new CISOs》
留言列表