谈谈企业对CISO的能力要求

我们平时经常会听到企业安全负责人的困惑或吐槽：

1、明明发现很多安全问题，各部门就是不改，整改也是拖拖拉拉，心急

2、做了一个很专业的安全规划，跟老板汇报，老板好像也不乐于听，一脸懵

3、安全部门做了很多事情，公司平时也不关注，推个项目也没多少人愿意配合，出了事情安全又要背锅，委屈

4、每次公司晋升加薪，安全人员就像后娘养的，需要不断解释做了什么事情，对公司产生什么价值，吐槽

5、......

类似问题还有很多，可能个别行业监管要求比较高会好一点，大部分企业安全负责人都会遇到这些问题，只是碰到问题的多少不一样，而且这么多年过去了，这些问题一直都存在。为什么会这样？

下面我们模拟一下企业老板和安全负责人各自的想法就能知道这些问题存在的背景。

----------------------------------------------------------------------

老板的想法：安全这个东西比较复杂，我也不懂，找你来就是搞定问题的，你只要做到不出安全问题、不影响我正常业务就行了。

安全负责人的想法：安全需要花钱、人也很难招，即使有钱有人也不能保证不出安全问题，因为安全问题时时都在，只是我们暂时没发现它而已。

----------------------------------------------------------------------

以上就是企业安全负责人的生存背景，也是客观事实。安全就跟建房一样，虽然底层架构的安全性很重要，但是住进去后人们关注的更多是舒适温馨的软装，因为其他东西大家认为本来就应该没问题。而且企业的生存法则就是降低成本，提高效率，增加利润。如果安全负责人的直接上司是CIO，那么CIO的第一责任是企业数字化建设，只要不影响CIO推进数字化建设，安全由安全负责人搞定就行。如果安全业务直接汇报董事长，董事长首要任务是为企业当前的生存、利润考虑很多的事情，安全要投入多少关注度、多少人力、多少资金就是一个财务上投入产出的数字对比。

看到这里，我们就知道企业安全负责人困惑和吐槽的的根本原因是双方对于安全在企业中的利益诉求不一样，安全负责人的一个重要工作就是处理好安全与业务的关系，要处理好企业中安全与效率的平衡问题。

虽然安全本身不产生价值，但安全涉及面也很广，有技术问题，也有管理问题，安全负责人不但要考虑企业科技的技术架构，还要考虑企业的业务方向，只有考虑好这些问题，才能平衡好安全与业务的关系，这也就是企业对于安全负责人的能力要求。概括起来，阿肯认为有以下几个方面的能力：

1、安全负责人要关注行业变化，看清安全未来方向

   20年前，国内大部分企业都在引入国外企业的管理经验，工艺流程、品质管理、物料管理、库存管理、计划排程，生产效率，并部署SAP、Orace等ERP系统提升企业运营能力。这个时候的信息安全只要围绕BSI 17799，或者ISO27001来开展，流程+人+少量技术就可以满足企业安全合规和保密需要。

    现在的情况是，随着中国互联网企业快速发展，从制造业更新升级，到目前的产业互联和数字化转型，接下来的5-10年信息安全将会快速融入了业务，成为业务的一部分。企业的安全将不得不实现信息化、数字化、自动化，甚至智能化，方向就是技术+人+少量流程。实现这一目标的思路就是零信任，也就是阿肯的“一句话安全”，之前的文章已经谈过很多了，这里就不重复。阿肯也在按照这个安全业务架构和建设路径去做。

    随着国家加速国有企业的数字化转型，以及新型基础建设的投入，IOT将是未来社会发展的重点。目前各行业的市场环境还不成熟、产业的标准不统一、技术的发展也不成熟，产业市场还没有形成。但是各行业的玩家都已经在积蓄力量，不断通过各个场景下的项目构建IOT的生态系统，形成事实上标准和话语权。这个阶段IOT安全的可能解决方案是：IOT设备安全+安全接入+平台安全+安全运营，也就是“一句话安全业务框架”+“IOT设备安全”+“安全ERP”。详细可以参考“回顾过去和现在的信息安全建设，展望10年后的物联网安全”

2、安全负责人要有清晰的安全定位和甘于寂寞的工作心态

   安全同行都知道安全的本质就是基于信息资产做好风险管理，我们不可能把所有风险消除/规避，但是可以通过安全的建设和管理将安全风险对企业的影响尽可能降到最低。站在老板的角度来看，企业的职责是生存、盈利，业务永远是最重要的，安全产生不了实际的利润，说的好一点，安全的职责就是为企业赚钱保驾护航。所以企业的安全负责人要从心里认可安全就是服务于业务的，你可以通过服务促管控，但是本质就是服务部门。

   把安全在企业中的位置看清了，安全负责人接下来就要摆正心态，不要总想着领导怎么不关心安全、安全是不是后娘养的，不要总想着安全要在企业内部刷存在感。安全负责人看清了安全定位，摆正了心态，就能带领团队将安全悄无声息融入业务过程中。安全团队按照这种方式，甘于寂寞，默默无闻为企业建设安全防火墙的时候，这就是老板想要的团队和状态。退一万步来讲，如果老板故意忽视或者真是没看到，但是你正在以老板的心态开展安全工作，这对个人和团队都是真正有意义的事情，因为你和团队的能力和价值都在提升。

3、安全负责人要有安全规划能力

   安全负责人对安全行业未来的方向有了大致的把握，也理解了安全在企业中的定位，接下来就是要根据企业自身的情况，制定一套适合企业发展需要的安全方案和架构，简单几句话说清楚安全要做成什么样子，先做什么后做什么，大概需要多长时间、多少资源等，有了这些规划，企业老板就不会太焦虑，安全团队就能赢得生存空间，上下同欲，力往一处使。

   为了做出适合企业自身的安全方案和架构，安全负责人要深入分析企业的现状，基于企业发展方向、科技架构和企业文化风格，作出适合企业实际情况和文化特点的安全规划，让公司和安全团队知道安全投入和产出的预期情况。比如，如果企业计划性强，注重稳健，那安全负责人就要将安全规划方案做的尽可能详细，并内外部多方验证；如果企业做事雷厉风行，安全负责人就要在确定大致方向的情况下，一边做一边修正方案；如果贵司科技能力很强，安全方案就要多考虑产品和技术方式，能自研的就不用外购；如果贵司钱多人少，那安全规划就要多考虑第三方的合作方式。

   虽然社会上千行百业不同的企业安全设计方案都不一样，比如设计制造型企业、高科技企业、互联网企业、企事业单位、物流企业、金融企业等各自都有自己的安全模式，但是不管企业属于哪个行业、哪个阶段，阿肯认为安全规划可以遵守3+3方案设计（3个原则+3种模式）。三个原则：安全本身是一种业务，需要同时考虑管控+治理；安全尽量融入业务，成为业务一部分；能技术解决，就不要用人管。在三个原则下，安全负责人根据企业实际情况，自由搭配组合以下三个模式：20年前的安全-流程+人+少量技术，现在的安全-技术+人+少量流程，10年后的安全-IOT供应链安全（详见：回顾过去和现在的信息安全建设，展望10年后的物联网安全）。

4、安全负责人要有安全建设和落地能力

   选择和努力哪个重要？其实两个都重要！安全的规划和概念大家都清楚，但就是无法落地，或者落地变型了。因为企业安全不是单纯的技术活，也不是单纯的业务问题。咨询公司的方案好吗？好，但能成功落地的不多。因为方案的落地跟企业文化、所处阶段、内外环境都有密切关系。安全负责人做好了适应企业自身需要的安全规划只是个开始，更重要的是如何将安全规划逐步落地执行。阿肯认为，安全负责人至少需要具备以下几个能力，才能落地好企业的安全规划。

1）人才培养和团队建设能力

    建团队的目的就是找到合适的人做合适的事情。首先，安全负责人把安全的事情梳理清楚，尽量不要相互交叉、搞得跟蜘蛛网一样，事情一旦分割清楚，就找合适的人做合适的事情，用人优点，将个人效能最大化。这就是事人匹配的能力。

   另外，安全负责人要能将自己融入团队，以合伙人的精神带领团队往前走，这就跟家长培养孩子一样，用行动说明一切。如果安全负责人每天都不务正业，每天迟到早退，还要团队人员努力干活、加班加点，这显然是很可笑的。这就是合伙人精神。

    最后，安全负责人要给团队成员提供成长的平台和机会，让团队成员在工作过程中不断打怪升级自己的经验值，有一天出去以后也能支起一片自己的天空。阿肯在：“努力成为最好的自己  之  记住三句话就可以做自己的老板！” 中有详细说明这一点，这里就不重复。

2）站在业务视角，复杂问题简单化

   把安全作为业务看，梳理清新安全的整个操作流程，简单明了。行业内很多安全负责人有安全技术能力，但在面对企业领导的要求时，总是感觉有话说不出来，总觉得领导不理解，不重视自己的成果，不认可自己的能力。如何处理这种困惑？首先，对于安全团队人员，流程不能太过复杂，但是很专业流畅，给人一看就懂的感觉，团队内部就能高效操作。其次，安全之外的部门也能看懂，不但能看懂，而且很方便就能看到，最好能通过信息化方便快捷提供各部门的安全健康状况，数字化一目了然。最后，老板要能看懂。前面讲过安全在企业老板心中的地位，决定了做安全需要甘于寂寞，学会低调，但是低调不代表不说话，不代表不需要争取，不代表不需要思考。安全负责人要能几个数字告诉老板公司整体安全情况，让安全变得更加简单透明。

3）安全管控和治理能力

   前面我们讲到，安全不是一个单纯的技术问题，而是一个管理和业务问题。根据安全规划3+3方案，不同企业、企业不同阶段的安全建设布局方式都是不一样的。对于集团总部和科技部门的安全建设，安全负责人要采取安全管控方式，尽量通过技术和产品手段落地安全标准体系要求。对于集团内部的各大BG/BU，安全负责人要采取安全治理的方式，搭台唱戏，为各BG/BU的安全BP提供一定的帮助，如安全知识、能力培训、技术工具和监管权力等，让双方能在某个点达成同盟，这样就能形成合力，共同推进安全建设，否则公司为你配再多的人力和资源也是不够用的。

4）聚焦重点项目和资源协调能力

   在公司的老板看来，虽然业务是第一位的，但是只要出了安全问题，或者想到哪个安全风险点，老板就会比较焦虑，担心企业的利益因为安全漏洞受损，只要这个这个风险没有解决，这个焦虑会不断放大，时间一长，安全团队就会比较被动，安全规划也就没有落地的空间了。

   如何规避这个问题？首先，安全负责人在资源、人力有限的情况下，需要梳理出重要紧急的事情先做，消除公司老板的焦虑，赢取安全团队的生存空间，后续才能将安全的规划不断落地，撒胡椒面的结果是什么都做不好！其次，对于重要项目、涉及全员和业务的项目，安全负责人都要预演，学会纸上谈兵。预演从发出通知开始，每个步骤怎么做，出现每个故障怎么回，故障的处理步骤，项目人员的分工，这样才能将重大项目上线的负面影响降到最低。最后，安全负责人在落地重点项目时，不能总以公司要求和监管需要去推动项目落地，需要以客户为中心的心态，以服务促管控，通过跨部门的沟通协调，形成合力去推动安全项目。否则，项目不做好，把自己变成孤家寡人，就可能会落得痛打落水狗的下场。

本文结束，安全无止境，让我们一起努力。

原文始发于微信公众号（阿肯的不惑之年）：谈谈企业对CISO的能力要求