顶流CISO谈职场天花板和“提权”路径

CISO通常被看作是企业网络安全的领军人物，但这是否意味着CISO是网络安全人才的职场天花板呢？

近日，Zoom的CISO Jason Lee和Thycotic的首席安全科学家兼CISO Joe Carson接受了媒体采访，就远程办公时代企业CISO职业发展道路和策略进行了深入探讨，内容如下：

CISO不是网络安全的天花板

“CISO不是网络安全事业的终点站，”Carson指出：“您在业务的某个方面已经达到了支柱的顶端，但这并不是CISO可以占据的唯一位置。CIO通常被认为是比CISO更高级别的董事会或执行团队成员。”CIO/CISO的联合职位将使CISO对公司的全部信息负责，而不仅仅是其安全性——但不能完全确定CISO是否会将其视为职场的“横向活动”还是“权限提升”。

此外，Carson认为，一个非常注重技术的CISO可能有机会担任首席技术官(CTO)角色。这两种机会之间的区别在于，CTO角色需要能敏锐地捕捉新兴技术的机会，而CIO角色则需要更深入的业务视角。

Lee则表示已经看到CISO接管CIO角色的发展趋势。这是一个商业界并不陌生的概念，当子公司获得巨大成功，就可能接管或变得比母公司更重要，网络安全在企业IT中的地位也是如此。

“有几个案例，”他说，“CISO开始接管IT组织的角色和IT职责。”Lee感兴趣的是CISO的风险管理专业知识正在被添加到IT运营中——具有风险管理专业知识的技术CISO正在成为现代企业CIO的一个极有吸引力的选择。

所有CISO都必须理解风险管理的概念，这是CISO“提权”的重要元素。我们在本系列中多次看到现代CISO需要了解并完全沉浸在组织的业务方面。因此，现代CISO需要具有技术头脑，深入参与业务的各个方面，并熟悉风险管理的原则和实践。这几乎是对首席风险官的工作描述——而CRO是任何公司中最高级的职位之一，当然是任何有职业头脑的CISO的潜在愿望。

向谁汇报？

目前，CISO最常见的汇报对象是CIO。这仍然是一个复杂的问题。虽然许多CISO声称只要两者之间存在良好的强大支持关系，并不介意向谁报告。但剃头挑子并不总是两头都热，CISO需要这种互助关系来完成工作，但CIO并不需要CISO来管理IT和基础设施方面的事情。因此，现实是，使这种不对等关系发挥作用主要靠CISO单方面的“热度”和努力。

核心问题是不同的优先级引起的潜在利益冲突。CIO可能希望推动新的数字化业务，而CISO关心的则是这些业务产生的新的安全风险。“CISO不希望看到的是，”Carson说，“CIO为了业务优先级而牺牲安全性。”

他提供了两种解决方案：第一种是被动的，第二种是更主动的。被动的方案是始终坚持自己的道德规范，坚持做正确的事情，即使明知会被否决，也要提出自己的建议。

更主动的解决方案是设立决策委员会。虽然从技术上讲，CISO仍可能向CIO报告，但安全决策应该由一组人做出，理想情况下应该包括CEO、CFO、CRO和CIO。如果这种机制尚不存在，CISO就应该尝试设计它。这意味着重大安全决策流程涵盖了执行董事会团队的主要成员，他们都对组织的安全负有一定的责任，并在决策中发挥作用。它消除了CISO和CIO之间的利益冲突。

招聘和多元化

招聘仍然是让CISO头疼的问题。人才和技能的短缺意味着CISO通常必须降低或者放宽他的选材标准，对此不同的CISO制定了不同的方法来解决这个问题。

“我有一套招聘理念，”Lee说，“我真正关注的是行为。一个人不一定需要具有计算机科学背景，也不必具有核心技术背景才能担任我组织中的角色，甚至领导角色。”

“潜力”是Lee关注的重点。“我正在寻找具有学习者心态的人，”他继续说道。“技术在安全方面不断变化，您必须不断学习并不断前进。因此，我不一定要寻找技术专家——我正在寻找对技术感兴趣并对其感到兴奋的人；并且可以展示思考未来技术的能力。”

但他补充说，“我发现的另一件事是拥有强大的合作者和沟通者至关重要。这些软技能是必要的，因为安全性存在于组织的许多不同部分。我目前是首席运营官，但我见过首席法务官、首席信息官和其他部门的角色。无论哪种方式，这都意味着安全团队必须与工程、IT和所有这些组织中的同行进行真正的良好合作。因此，对我而言，能够建立这些关系的人比拥有一长串认证的人重要得多。”

Lee还强调了安全领域的另一个流行词——多样性。多样性通常侧重于让更多女性参与安全的需要。这很重要，但多样性本身要广泛得多。现代CISO寻求将广泛的人员纳入安全团队：种族、宗教、学术和社会背景以及性别。理论是多样性带来了看待和解决问题的不同方式——这比专一团队更好。

“今天，多样性比我过去整个职业生涯中任何时期都更加重要，”Joe Carson表示同意：“这不再仅仅与技术有关。十五年前，网络安全只是技术，但现在远不止于此——你必须具备沟通技巧；你必须有一个了解用户行为的人；你必须有一个了解品牌和影响的人；你必须有一个危险的人。行业的多样性是如此重要，以至于它不再只是拥有良好的技术技能。当您遇到网络攻击或网络事件或勒索软件攻击时，需要大量多样化的技能和背景才能应对。”

在当今世界，技术无处不在，每个人都相互联系，“多样性对于企业来说至关重要，以确保它拥有360度安全策略，而不仅仅是旧的传统技术策略。”

当被问及招聘多元化的终极问题：“你会雇佣一个洗心革面后的黑客吗？”Carson毫不犹豫地回答：“绝对会！黑客对世界有独特的看法。不过CISO需要对审查格外关注，确保两者之间有足够的相互信任，并确保对正在完成的工作的持续可见性。”

Carson指出：“组织中帮助您检测攻击的最佳人选是以前的受害者和黑客。攻击的受害者有时是组织内最好的拥护者，而曾经的黑客正是您最好的威胁猎手，能够确定可疑事件何时发生。他们是拥有黑客思维和视角的人；而且我认为所有组织都必须至少有拥有一个这种心态的人。”

现代CISO的特质

担任CISO显然是一项复杂而艰巨的工作，需要特定的个人素质。Carson列出了四项：领导力、沟通技巧、技术和业务之间的转换能力以及倾听的能力。领导力涉及始终掌控一切，随时知道在哪里可以找到所需资源。

“领导力是可以学习的东西，”Carson说道：“有些人比其他人学得更快，但这是可以教授和学习的东西。寻找在该领域表现出色的人，观察并学习，并将其中一些技能吸收到自己的个人能力中。领导力不是与生俱来的，也不是遗传的。不过，根据人的个性不同，学习速度有快慢之分。”

Lee认同领导力是可以学习的：“领导力有很多种。您需要了解自己的优势是什么，并且可以在这些优势的基础上再接再厉。我最喜欢的书之一是马库斯·白金汉的《现在，发现你的优势》。我非常相信‘仆人式领导’的概念。当我和我的团队交谈时，我喜欢问，‘我如何让你工作得更有效率？你有什么障碍吗？你需要什么？’。所以，我觉得我在赋予团队权力，因为我真的只是一个渠道，确保安全计划向前推进，整个公司的合作伙伴关系进展顺利。所以，仆人式领导是我喜欢关注的一件大事。”

“但磨练这些技能需要时间，仅仅因为你是人事经理，并不能使你成为领导者。您甚至不必管理人员即可成为领导者。”

Carson强调，沟通和“翻译”是二元一体的：“你需要有很强的沟通技巧，但这本身还不够。在与其他部门人员交流时，您还必须是一名优秀的翻译员——您必须能够将非常技术性的问题转化为简明易懂的商业演讲，反之亦然。”要达到这个水平，你需要具备第四个属性：做一个好的倾听者。

Lee也同意需要类似的沟通/解释技能。“能够传达该业务背景并能够与整个组织的所有同行建立真正牢固的关系非常重要。我和Zoom的工程总裁关系很好。我们将举行会议，实际上我们的帽子会发生变化——他从CISO的角度处理问题并进行讨论，而我从技术方面做同样的事情。能够建立那种牢固的关系，在那里你可以相互切换和来回，嗯，真的很重要！”

Lee的其余属性是适应性强并且能够快速移动。“我认为所有经历大流行的CISO都不得不这样做，或者如果他们无法适应，就会陷入困境。”

做一个倾听者和倍增器

倾听的一部分是听取好的建议，沟通的一部分是提供好的建议。卡森收到的最好的建议来自布赖恩·霍南，他在22年前是他的经理——今天仍然是他的导师。“我是一名技术人员，”Carson解释说，“我也是一个完美主义者。艺术家在创作新画作时通常是完美主义者——他们不喜欢其他人看到他们的作品直到完成和完美为止。但这可能需要很长时间，而且这种方法对CISO不起作用。布莱恩给我的建议是，‘乔，我知道你是一个完美主义者，但你必须敞开心扉，让其他人看到你在做什么，因为他们的反馈很重要。’”

Carson给有抱负的安全领导者的建议是：我们在这个世界上拥有的最重要的资产是“时间”。“我们必须确保最有效地利用我们的时间。如果我做一件事需要三个小时，而一个同事需要一个小时，我应该委派给可以做得更快的同事。时间是我们最宝贵的资产——不要浪费它。”

Lee建议任何希望成为CISO或任何期望在其他领域发展的人专注一件事：成为别人的乘数。“作为个人贡献者，工作效率和价值创造的提升是有限的。最成功的人是帮助其他五个人加倍工作的人。真正能够帮助他人成功的人，才是真正成功的人。寻找成为倍增器的机会。”

未来威胁

两位CISO对未来威胁的见解略有不同，Lee认为，优先级必须在端点：“没有更多的外围可以防守。而端点，无论在哪里，都是网络边缘。”他提倡零信任保护模式。

“但是，”Lee补充说，“你必须关注当今流行的勒索软件和网络钓鱼——这意味着你需要为所有远程工作人员提供一种新的学习和培训系统。当你不能把每个人都带进大会议室时，你如何使（在线培训）引人入胜、包容和有效？我是游戏化和围绕学习开展比赛的忠实粉丝。我们必须继续推动这一领域的发展。”

Carson关注的重点略有不同，他认为边界已经消失，远程工作将继续存在。大流行加速了远程办公的转变以及云和云应用程序的增长。但这给SOC带来了困难。“今天很难获得真正的可见性，”他说，“因为你可能有不同的仪表板，只能让你对整个产业的某些部分有一定的可见性。您可能有一个显示您的云的仪表板；您可能有一个显示您自己场所的仪表板，一个显示某些设备的仪表板。获得全面和集中的可见性至关重要。”

在端点上，他说，“远程工作将成为许多组织未来的标准工作模式，这意味着云和‘从任何位置使用任何设备’将成为常态。这就是新边界的真正所在：身份、数据和访问。这就是未来的安全所在，这是组织必须投资的三个重要因素，以确保他们能够继续创新并安全地提供访问权限。”

但是，远程办公的增长也带来了意想不到的好处。“传统上可能拥有基于外围办公室的文化类型的组织，会发现他们现在能够扩大人才库——因为现在他们可以拥有全球人才库，而不仅限于特定地理位置的人才库。组织现在拥有更广泛、更灵活的人才库可供招聘，因为世界正在适应远程工作文化。”