譚曉生：首席信息安全官需要具備五項能力

2018 ISC互聯網安全大會即將舉辦，360集團技術總裁兼CSO譚曉生撰文談首席安全官的五項能力。

隨着全球網絡威脅與風險環境的日益變化，企業對信息安全問題的關注上升到了前所未有的高度，企業需要一位高層人物專門領導信息安全與風險管理工作，首席信息安全官就扮演着這樣舉足輕重的角色。

1995年Stephen Katz被花旗銀行聘為首席信息安全官，從這時起首席信息安全官作為企業內部不可或缺的重要角色開始登上歷史舞台。首席信息安全官的職位已經存在二十多年。但首席信息安全官是一個動態角色，在不斷變化和演進：從過去單純的面向技術性基礎工作，逐漸更多地融入業務，發揮提升公司核心業務生產力和效率的作用;從傳統的安全技術專家角色轉變為可信賴的業務風險顧問角色。

首席信息安全官可謂信息安全專業人士職業生涯的金字塔塔尖，對企業整體安全風險全權負責。在這一職業生涯的頂峯上，安全技術能力不再那麼強調，更多的是戰略性、商業頭腦和軟技能，集結一支處理日常安全運營的堅實安全團隊，同時打造全員齊心協力共擔安全責任的企業安全文化。

想要成為一名出色的首席信息安全官，沒有“一招鮮、吃遍天”的模式可以照搬，是一門“活”的學問，需要在實際工作中不斷摸索，但仍有一些經驗值得參考和借鑑。

理解業務、展現價值!

首席信息安全官必須深刻理解企業的願景、戰略和業務方向，採取一切必要步驟，確保信息資產得到適當保護，確保組織的安全態勢與業務願景保持一致。CEO、股東和董事會最優先關注的永遠是利潤，只有帶來利益或者減少損失，才能證明首席信息安全官存在的必要性。學會如何以業務術語思考並向高級管理層展示安全戰略是什麼？需要什麼資源？對內平衡業務目標與安全目標，對外與企業面臨的威脅作鬥爭，證明安全對業務的價值。

多溝通、搞關係!

關係、關係、還是關係!善於與公司內外的各利益相關方建立並保持協同、共生的關係是首席信息安全官成功的關鍵因素!強大的溝通技巧有助於提高各業務部門對網絡安全願景的理解，隨着時間的推移建立起信任關係，有助於獲得必要的支持、資金和預算，順利地將安全融入業務，更好地發揮首席信息安全官職能的影響力。

有遠見和前瞻性!

如果沒有高瞻遠矚，那就只能亡羊補牢，疲於奔命應對各種安全風險!首席信息安全官 需要適應不斷變化的網絡空間威脅環境，適應不斷變化的業務要求。在信息安全領域，首席信息安全官擁有遠見意味着能夠在風險發生之前就能預見它們，看到威脅的未來，努力帶領着安全團隊領先黑客和其他威脅一步，在麻煩的苗頭髮生前將其掐滅。

不斷持續學習!

技術每天都在變化，信息安全格局和網絡威脅每天都在演變。首席信息安全官需要擁抱變化，抱着始終是學生的心態。例如：隨着人工智能、區塊鏈等新技術和新趨勢的出現，首席信息安全官需要考慮這些技術如何應用於安全領域。

塑造企業安全文化!

首席信息安全官可以搭建最好的安全團隊班子，但如果忽視打造企業安全文化，員工僅僅是未及時升級修補系統漏洞，或不經意間點擊了一封郵件中的一個鏈接或附件，就有可能葬送掉安全團隊的全部努力。首席信息安全官應該在最高管理層的有力支持下，監督、促進和鼓勵組織內的安全行為習慣與最佳安全實踐，確保所有員工接受適當的安全意識培訓，努力打造“網絡安全人人有責、人人蔘與”的良好文化氛圍，從而將員工從“最薄弱一環”轉變為安全防禦的“最強大資產”!

2018 ISC互聯網安全大會特別舉辦首席安全官高峯論壇，希望論壇的舉辦，能成為各行業的安全主管交流和分享成功實踐、經驗得失的重要平台。