在成为CISO之前，你需要知道的10件事

虽然掌握技术是必不可少的，但技术并不足以应对所有情况。Cloudsec.ai的CISO兼主管Nate Lee对此表示：“CISO的职责不仅仅是加强服务器和修复笔记本电脑的安全，更重要的是确保整个企业的信息安全。”

BforeAI的CSO Dimitri Chichlo认为，CISO应当采取一种全面性的视角，将人员与流程都纳入考量之中，因为技术的主要作用是增强所有必要的环节。“一个高效的流程，即使搭配较弱的技术，也比一个低效的流程搭配先进的技术更为有效。”

职业拳击手Mike Tyson曾言：“在遭遇重击前，每个人都有计划。”这句话对于CISO而言同样适用。Britton表示：“我在上任之初就认识到，自己原先设想的许多内容都需要摒弃。相反，我需要迅速判断哪些事项至关重要且急需关注，并将这些工作置于长期转型项目之前。作为外部招聘的CISO，你必须随时准备调整最初的计划。”

适应能力是工作中不可或缺的一部分，它不仅涉及避开办公室政治，还包括建立人际关系。Britton补充道：“虽然建立信誉可能会让人感到不安，但这也是一个展现适应能力的绝佳机会。”

在谈到适应能力时，Phosphorus的CISO John Trier给出了简明的建议：“要学会在不适中找到自在。通常而言，当事件发生时，CISO会感到不适，但我们不能沉溺于过去，沉溺于事态之中，我们更多的是要专注于自己能掌控的事情。”

确实，无论个人如何努力，都无法完全避免安全事件的发生。因此，对于新任CISO而言，不应感到自己是在孤军奋战保护公司。Trier指出：“作为CISO，你并非是那背负整个世界重担的阿特拉斯。出色的项目往往源于坚实的流程、应对能力和不懈的努力。同时，CISO们也应避免过度劳累，并避免为自己设定过高的期望。我们要牢记一点，没有人能通过熬夜来阻挡高级威胁的入侵。”

为了确保所有安全负责人都能安心享受正常生活，Chichlo建议：“除了专注于防护工作外，还应将大量精力和预算投入到响应和恢复工作中，特别是备份和恢复能力的建设上。”

网络安全不仅仅是守护企业大门，其更关乎于通过生命周期管理、变更策略以及确保IT基础设施的稳固，来让一切井然有序。

为了降低勒索软件的威胁，我们需要定期测试备份和恢复功能，并确保其他所有基础性工作都得到妥善落实。Chichlo指出：“每位CISO都应制定基于威胁建模和桌面演练等活动的事件响应计划，这是最基本的要求。”

然而，常被忽视的一点是未能优化现有平台。Britton强调：“这一领域的疏忽往往会导致警报疲劳，因为安全运营人员最终需要能够区分警报的真实性，以应对即将发生的攻击。”

始终保持良好的工作习惯，确保基础性工作正确无误，这对于网络安全至关重要。Trier表示：“安全工作的大部分内容都是预防性维护，这意味着你的角色更像是管理一支计算机维护团队，而不是参与高级战斗。”

尽管CISO的生活和职责常会围绕网络安全，但他们的C级高管同事们或许并不具备同等程度的了解。因此，每位CISO都需要确保自己的沟通方式能够让同事们轻松理解。Chichlo对此表示：“如果满口技术术语，你可能会失去听众的关注，使他们转而关注其他事项。”

一个初级CISO常犯的错误是过度分享技术细节。Britton补充道：“我们误以为所有人都对‘安全部门每月成功抵御了多少次攻击’感兴趣，但说实话，这样的信息其实并不吸引人。”

CisoHive的创始人及CISO Renee Gutmann，也表达了相同的观点：“在展示数字之前，要确保了解它们的相关性，同时还要去理解这些数字的意义。”

Britton指出：“当发生安全事件时，CISO们应该强调以下这些内容：公司未遭受重大损失；收入和品牌形象未受影响；所使用的技术持续有效；员工正在全力保障整体的网络安全。”

CISO的核心职责之一，是全面理解公司业务，这能帮助他们“为实现业务目标而采取适当的风险管理措施”。然而，如果CISO强制推行那些虽然安全但过于复杂的规程，那他们就会被视为阻碍者，甚至可能被认为在其岗位上表现不佳。

对于初次担任CISO的人来说，Chichlo建议他们认识到：“CISO的主要服务对象是业务人员，即那些为公司创造收入的人。而CISO所设立的每一项安全措施都可能给他们带来潜在的限制。因此CISO必须在安全性和实用性之间找到平衡点。过于刻板只会损害信誉、安全，甚至可能会影响到公司收入。”

Trier也持相同观点：“如果你让工作变得过于困难，导致人们难以完成任务，那么你对公司造成的威胁可能比外部攻击者还要大。”

CISO往往需在资源有限的环境中作业，对此，Chichlo建议道：“安全负责人要学会应对无力感。作为CISO，我们几乎不可能获得保障环境安全所需的足额预算。因此遗憾的是，我们必须学会如何确定风险处理的优先级，从而最大限度地提升安全投资的回报率。”

鉴于资源的稀缺性，明智使用至关重要。Trier表示：“很多时候，特别是在网络安全产品领域，解决方案并不会让问题消失，反而会带来新的问题和更多的工作。而如果能通过支付一笔费用就真正解决一个问题，那可是对CISO来说最为幸运的神迹奇事。”

众多企业的员工在网络安全知识方面颇为匮乏。Chichlo指出：“无论身处何职，我们的同事对网络安全风险的普遍认知往往只停留在基础层面，甚至可能带有一定的天真想法。然而，通过有效的安全培训，这一现状能得到很大的改善。因此CISO需要在提升员工安全意识方面耗费更多的精力和努力。”

除了加强教育，我们还应积极营造协作氛围。CISO应致力于建立合作伙伴关系，而非相互指责，因为他们的职责在于提供支持，而非谴责错误。Chichlo对此建议：“公司应尽可能让信息技术团队承担更多的网络安全职责，安全应当是默认且内置的。从项目启动之初，操作人员就应确保安全。”

Gutmann补充道：“在提供培训和现场建议时，我们应怀揣善意，并展现出同理心。作为CISO，我们要牢记：不要让自己陷入总是扮演反面角色的困境，不要让其他团队将我们视为替罪羊或反面人物。”

不可否认，CISO在职场上往往不受欢迎。他们偶尔会采取严苛的安全措施，给每个人的日常工作带来些许不便。Lee对此表示：“我们时常扮演着传递真相与坏消息的角色，而我们实施的控制手段也常被视作引发摩擦的源头。”

虽然无法让CISO始终在职场上保持微笑和谦卑，但与其他团队建立联系并发展深厚关系却至关重要。Gutmann表示：“我们的目标是成为值得信赖的伙伴，而非对立面。其关键在于影响力，而非权力。对于CISO来说，最大的误区在于认为惩罚手段比激励措施更有效。”

因此，主动出击并与同事建立良好关系显得尤为重要。Britton指出：“要深入了解各个部门的个人需求与难处，而非仅在需要他们协助时才与他们接触。这样，当CISO需要支持或面临阻碍时，这种信任基础将发挥出不可估量的价值。”

在传达可能引发不满的安全决策时，最佳策略是尽早邀请所有利益相关者参与讨论，并确保他们理解这些决策背后的原因。Lee表示：“当人们理解了原因并感受到自己在决策过程中的发言权时，他们会更愿意接受改变，即使他们希望有不同的结果。获得CISO的职位本身并不会赋予我们固有的权威，关键在于如何明智地运用这一职位，建立尊重与联系，从而真正推动安全工作的进展。”

尽管我们的工作常常为我们贴上标签，但我们也要意识到，生活中还有更多值得我们去追求的东西。Gutmann曾因为开车回家的路上接到老板的电话而不得不与之长时间交谈，结果错过了女儿的万圣节游行，这让她至今深感遗憾。Gutmann回忆道：“我的一个朋友帮我拍下了女儿的照片，她当时哭得很伤心。直到如今，我的办公桌上还放着这张照片。”

因此，每当Gutmann的团队成员因为要看病、参加足球比赛或学校的活动而向她请假时，她会转身取出那张女儿哭泣的照片，展示给同事们看。显然，这是一种温柔的提醒，其告诉了众人工作可以等待，不必急于一时。

此外，对于想成为CSO/CISO的新人，国内安全专家也发表过自己的看法。

某科技公司信息安全总监刘凯曾建议过：一、当你在某一个安全细分领域学习和实践遇到瓶颈时，不妨换另一个细分领域清醒一下头脑，回过头来或许难关自通，但这并不是鼓励你浅尝辄止。二、当你成为CSO时要清楚认识到，它只是一个职业角色的起点，而非终点。三、做网络安全需要兴趣不是兴奋、需要初心不是动心、需要骄傲不是高傲，希望你能够干一行爱一行，放下得失与名利，使自己归复清净的生活。

此外，某跨国企业CSO赵锐曾说过：作为CSO/CISO，我们要想想自己工作的目的，以及自己的未来和现在的状态。

1、如果想让五年后的我工作和生活开心、无忧无虑，现在和后续几年，我要怎么做？

对于刚入行的安全人员，至少在安全技术、安全管理方面有实际的一线工作经验和项目管理经验。另外，肯定是努力学习、研究安全领域的专业技能，并扩大网络安全的知识面，这可能是最有效最有帮助的方式。

2、如果想让十年后的我工作和生活开心、无忧无虑。又该怎么做？

对于有一定工作经验的安全人员，现在的专业技能可能并不是最重要的了，因为这个世界唯一不变的是变化。经过成长以后，在后期里管理能力、换位思考、情商等更为重要，建议读读《CSO进阶之路》。另外，随着《网络安全法》、《数据安全法》、《个人信息保护法》等一系列法律、法规和国家标准的实施，解决管理层对于安全的焦虑也是必需掌握的技能。

而国内安全专家蔡俊磊则表示：作为CSO/CISO，既要低头看路，也要抬头看天。不要忽视基础的安全工作，持续精进，始终保持敬畏之心。

另一方面，某企业信息安全负责人吴致远表示：作为CSO/CISO，我们要培养自己的逻辑思维，无论是人还是事务，要有能发掘其本质的能力。绝大多数工作也并不需要你有创造力，不需要你特别聪明，普通人努努力能做到的事，反而是工作中需要的，比如：守时、守纪律、有秩序、有条理、交代的事情及时处理、细心、出错率低，这些做到了，到哪里都是受欢迎的员工。现在看到有些年轻人跳槽太频繁，要有耐心，你的努力，你的才能培训，可能十年后才出效果。