CISO 教你如何盡忠職守！

在過去15年裡，Renee Guttmann一直具有豐富500強企業領導安全和風險管理項目經驗。Guttmann 曾擔任 Gartner 高級研究分析師，她現在仍然是全球資訊安全社區的活躍成員，在本文中，她會在安全及私隱範疇中，分享同行們和供應商們的建議和技術經驗。

在她非凡的職業生涯中，Guttmann曾分別擔任可口可樂公司、時代公司和時代華納公司（合併後）以及Capital One公司的首席安全師、首席資訊師（CISO）和副總裁。目前，她是資訊安全服務公司Accuvant的CISO辦公室副總裁。CISO的生活到底是怎樣的？為此Marcus Ranum採訪了Guttmann，訪問她對全球資訊安全和私隱專案所需要的領導力和核心技能。

問：對於資訊安全人員，CISO職位位於最頂端。我們的觀念和現實相符嗎？我聽到很多人談論CISO的工作就是‘向董事會展示資料’之類的事情。但你的工作真的是這樣嗎？你怎樣安排你的時間？

RENEE GUTTMANN：對於大多數大型企業，資訊安全問題不斷上升，值得董事會關注這個事情。現在是一個瞬息萬變的環境，我們面對著各種惡意動機的組織，由組織的犯罪、尋求競爭優勢的民族國家和公司，到攻擊的網絡活躍分子。

向董事會報告資料是非常有必要的，這樣可以量度和簡化企業所面臨的風險情況。

但我真正花時間在創建 ‘溝通’和戰略部署，來積極管理企業面臨的潛在風險。在你制定好戰略並獲得相關人士的支持後，如果部署進展順利的話，向董事會和其他人提供有用的資料，這就完成了相對簡單的任務。我想說，在資訊安全範疇工作這麼多年，擔任幾家大公司的首位CISO給我帶來令人難以置信的回報。

問：安全從業人員如何為CISO職位做好準備？你認為成功的CISO需要的核心技能是什麼？你如何獲取這些技能？

RENEE GUTTMANN：我認識從未在資訊安全範疇工作過的CISO，並且他們都是優秀的企業領袖。我從事過資訊安全範疇各個層次的工作，我認為現在最重要的技能是能夠將資訊安全和風險管理轉化為讓其他人理解的資訊。

安全從業人員需要積極參與更廣泛的交流會來分享想法和經驗。Larry Boosidy稱為“厚著臉皮去拿資訊” ，畢竟利用來自他人的較好的想法並沒有壞處。

當你剛開始職業生涯時，要與其他傑出的CISO共處一室會很恐怖，但作為一個有抱負的CISO，這可能是你可以做的最重要事情之一，要知道，與成功的CISO在一起絕對沒有壞處。

你必須願意接受新想法、願意改變以及成為一個改革者。在達爾文的《物種起源》中，我最喜歡的理論之一是：生存下來的不是那些最強壯或最聰明的，而是那些適應力最好的。如果你不能適應轉變，就很難成為CISO。

問：如果企業淪為攻擊目標，CISO發揮怎樣的作用？如果發生資料洩露事故，你是否需要承擔責任？

RENEE GUTTMANN：我們都知道，每當出現網絡攻擊的情況時，肯定出現安全設備配置錯誤。我並不喜歡指責，但我認為，當問題出現在工作職責內時，CISO需要承擔責任。

另一方面是確保在問題發生之前發現風險，CISO需要負責確保企業清楚潛在的風險，並進行妥善處理，即使失去支援。當然，我們有不同的方法來管理風險，包括接受風險。相關人士亦需要參與進來，並且，我覺得目標應該不是局限於個人關注的內容。

我有時聽到資訊安全從業人員談論說，通過讓業務部門在工作上簽署確認來管理風險，如果發生洩漏事故者可以轉移責任或保護他們免受譴責。但我覺得這不實際，我也從沒有嘗試過。你覺得呢？

而且這並沒有那麼容易。即使業務部門主管簽署，當出現重大後果時，他們可能會說他們並沒有真正理解這個問題。這就是說，資訊安全的工作是管理的一部份，而CISO必須要更加實際。我建議清楚明確各自的職責。