CISO应该如何从职场困境中走出来？

有时CISO候选人能在面试的过程中嗅到“异常”。卡拉斯说：“面试是双向的，当企业在面试你时，你也在面试他们。”面试过程其实就是在斗智斗勇，因为彼此都不知道对方的底细，彼此又想从对方那里得到最有利的价值底细。卡拉斯表示，对CISO来说，首要任务是了解公司对安全的重视程度，他自己就会通过直接提问来印证这一点。比如有一次面试时，与他交谈的一位高管就亲口承认，管理层并不希望得到更好的保护。

CISO会被问到这么个典型的问题，“公司如果违约或者违规了，碰这种情况你会做些什么？”卡拉斯对此曾笑着说：“公司真的发生过这样的事件吗？”大多数HR会回应：“哦，不，不是的，只是询问一下而已。”卡拉斯表示，HR这种顾左右而言他的反应就是一种信号，说明企业在试探CISO的底线。

再者，了解CISO向谁报告也是面试时的优先事项，CEO、CFO、CTO甚至法律部门，Thrive的CISO奇普·吉本斯（Chip Gibbons）对此表示：“通过这点，你可以得知企业希望你做什么。”

此外，即使是面试官的角色也能反映出类似问题。CyberSheah创始人BAE Systems前CISO埃里克·努南（Eric Noonan）表示：“如果我只是单单被IT部门的人面试，没有其他相邻的高层比如首席财务官、首席人事官或首席收入官相伴，那这对我来说是不行的。说明这家企业并不重视网络安全问题，那他的安全文化底蕴就一定不过关。”

当然，询问组织的风险状况也是个不错的选择，因为这有助于了解企业的管理层是否考虑过安全风险，是否发生过安全问题。CyberGRX CISO戴维·斯塔普顿（David Stapleton）表示：“你可以从他们的视线中见微知著，是惶恐、是坦然、还是若有所思，这都能成为你的衡量标准。”

剩余的面试问题可以集中在预算、员工规模和员工保留率上。

02

协商可实现的安全KPI

Critical Insight联合创始人兼CISO迈克尔·汉密尔顿（Michael Hamilton）表示，CISO在找到工作后，第一件就要做的事，是去协商关键绩效指标（KPI），并确保这指标是可实现的。“一套适合的、可实现的KPI能告诉你，每年有多少事、多少工作是需要你去完成的。”

同时，CISO还需要了解该企业的可容忍风险水平，需要进行相关的风险评估，并将需要解决的问题转化为数字。汉密尔顿说：“当你进行风险评估时，你会发现安全控制方面的问题所在，因此你可向你的公司提出：‘我们的数据库中有一百万条记录，我们为此要承担两亿美元的责任。我们应该为安全控制措施提供资金，以降低风险。’看到了吗？你和高层之间讨论的内容？你们是在协商‘如何将一笔5万美元的支出用于减少1亿美元的风险’。”

削减风险的建议一定得优先考虑，并符合组织的使命。Bishop Fox的红色团队实践总监特雷文·埃奇沃斯（Trevin Edgeworth）表示：“你需要根据组织的特性来制定你的要求，而不是根据你自己的要求来制定要求。”

03

利用法规证明安全开支的必要性

作为CISO，通常很难说服董事会成员和C级高管为网络安全分配更多资金，谈论多因素认证的重要性可能不会让他们有所感触。然而，如果在谈话中涉及到合规内容或许会对提案产生影响，因为从人力资源到工程部，所有经理都知道合规对业务而言是至关重要的。努南说：“我总是鼓励CISO可以从合规的角度讲故事，因为每个人都‘害怕’合规。”

04

找到支持CISO的同僚

每个企业都有相信安全并希望能帮助到CISO的人群。卡拉斯的建议是从企业中找到他们并与之合作，这样对彼此而言都会是一条捷径。他还建议CISO可以去和情商较高的部门领导合作，让他们抽出点时间，每周安排几人来协助安全部门。卡拉斯说：“这些部门领导通常都会同意。找到他们每个人、每个部门都觉得应该修复的内容，这是关键所在，但就是这么简单的事，却很少有人去交涉。”

CISO每一次帮助到其他部门，公司的整体安全水准就会随之提高，这对公司、个人来说都是值得庆祝的，正如卡拉斯说的那样：“每一次的合作成功，都意味着CISO的地位在提升。”

这一战略与托尼娅·达德利（Tonia Dudley）的战略一致，后者在科芬斯内部担任CISO。她说：“当我第一次担任这个角色时，我立刻就联系了公司内部的几位同僚，向他们表示安全部门需要他们的帮助。所以，我首先和他们强调的是，彼此之间是合作和伙伴关系，我想确保大家都能取得成功。”

担任CISO意味着时不时地会成为一名“治疗师”。卡拉斯说：“员工会带着他们的事故来找你，而往往大家都不知道发生了什么，因此你必须先把他们的烦恼卸下来，比如对他们说：‘事情虽然糟糕，但这不代表你没有做好，现在让我们一起努力下，看怎么把这事变得更好。’”

05

学会就安全问题进行必要的对话

没有人喜欢反驳组织内有影响力的人，但有时这却是必要的。可口可乐、时代华纳和坎贝尔汤公司前CISO雷尼·古特曼（Renee Guttmann）表示：“你必须学会如何去和高层、和领导们对话。你可以用这样的句型结构，比如‘我理解你的立场，我认为我们可以在X上达成一致，但也许我们在Y上能有更好的方向’，又或者‘我可以看到你的观点，但这里还有另一种观点，你可参考’。”

古特曼甚至采取了一种策略来应对当她与下属意见不合时的情况。每当这种情况发生，她都会邀请首席财务官和法律主管进行多方会面，并让他方来打破僵局。这样，当她的“对手”一想到要参加这样的会议，很多时候就会退缩。

06

寻求外界的声音

尽管CISO有着良好的初衷，但有时他们无法让别人听见他们的声音。而当这种情况发生时，还有一个较好的选择，那就是联系专家。古特曼说：“有时候你必须依靠外部发出的声音来帮助你执行。”

吉本斯同意这一观点，并补充道，安全界里备受尊重的声音可以为CISO坐镇，而且公信力更高，因为他们在组织、企业之外。他表示：“聘请顾问是说服董事会或C级高管最好的方法。由他人来转述安全问题，可以更好地证明问题严重性，也可以更完整地说出问题覆盖面。”

同样的，如果CISO在网络安全社区中有很高的知名度，对话语权也一定有利。汉密尔顿说：“要面向外部，要以演讲者的身份被媒体和地区所熟知。作为CISO，你看起来越融入安全社区，你就越能带回共享的信息，你对组织的价值也就越大。”

07

保持良好社交

和他人保持社交可能会让CISO望而却步，因为大多数CISO虽有很高的技术背景，但并不重视软技能。成为一名优秀的CISO并不意味着只会解决技术问题，还需要能够解决业务问题和人员问题。

SecureWorks的CISO Ken Deitz表示：“CISO最需要关注他们的人际交往能力。这确实很难，因为那些在技术领域有着卓越成就的高手往往比常人更内向一点。提高人际交往能力是需要练习的，从自我介绍开始，逐步为工作、部门协同、融洽关系建立社交习惯。当你参加会议时，你得明白，你的工作是帮助他们把工作变得更轻松，这样你很快就能得到回报。”

与他人保持社交最简单的方法是向他们表明你的重视和尊敬。古特曼养成了一个习惯，即每周五给团队成员、同事或客户发三封感谢信。“这并不是矫情的表现，而是一种社交态度，这样至少在他人眼里我是好相处并乐意沟通的。”

08

寻求指导

对于新晋升的CISO而言，导师可以帮助到他们，有时还可以提供不同的观点和认知。每当进入一个新的职位，斯台普顿做的第一件事就是四处寻找潜在的导师，他对那些经验丰富、能够平衡压力的人特别感兴趣，他会找到他们并请求指导。“我从来没被拒绝过，而这并不是因为我说了什么或做了什么特别的事。很显然，人都是乐意沟通的，你只要虚心求教，人们就一定乐意分享自己的经验，而这种虚心求教的做法对任何职位来说都是必要的。”

09

将安全游戏化

有时，将安全“游戏化”也无妨。埃奇沃斯建议CISO引入相关的游戏规则，并附带奖品，如T恤、奖牌，甚至钱财。“无论哪个团队，只要报告了最多的网络钓鱼尝试，都将获得奖品。类似于这样的竞赛，每个月都可举行，然后每个月都可颁发一个奖项。我曾接触过的企业里，一些部门员工能有好几个奖杯、奖状，这可是名副其实的荣誉。”

10

警惕“冒名顶替综合征”

尽管CISO具备镇定、幽默的特质，但工作的复杂性使这些专业人士容易患上冒名顶替综合症，此症又名自我能力否定症，顾名思义，是指个体按照客观标准评价为已经获得了成功或取得成就，但是其本人却认为这是不可能的，他们没有能力取得成功，感觉是在欺骗他人，并且害怕被他人发现此欺骗行为。

斯台普顿说：“安全是一个广阔的领域，安全人员必须在这领域内尝试去做很多不同的事情。因此很多人在他所熟知的领域内就像是一位安全专家，作为CISO，你和这些人在他们的领域里相比，一定会有相关知识是落后于他们的，所以不要焦虑，因为CISO或说安全人员讲究的是在宽度上掌握更多，而不是在某一领域里需要多深入。”

很多CISO新人会常常自责，觉得自己哪哪不专业，斯台普顿对此补充道：“你必须把这种消极的自我暗示去除，不要任由焦虑控制了心神。”

11

知道及时止损

最后一种情况，当CISO发现一切都是徒劳时，该学会及时止损。斯台普顿说：“如果你一直在为公司付出，为公司的最大利益呕心沥血，但却没有人愿意听你的声音，或者发现其他高管正在削弱了你的能力，而公司经营者又无动于衷，那就说明这个企业的安全文化已经不适合你了，你得提早离开，不要让他们拖累你。”

卡拉斯对此表示赞同：“不要在企业里做无用功，要为自己的职业生涯着想，与其浪费时间混日子，不如提早出来以便日后更上一层楼。”

12

国内安全专家的建议

对于CISO该如何应对职场困境，国内安全专家如此建议。

CVTE安全部经理于利新认为，所谓建议不是CISO个人就能提出的，而是需要行业一起践行。她指出，CISO是一个高危的职业，需要承担很大的压力和风险。在企业建设中，CISO可能有多个职责，包括信息安全管理中风险责任人、数据安全保护官、个人隐私保护官、云安全保护官、安全事件责任人等。一旦出现重大安全事件、数据泄露、个人隐私泄露、业务风险，CISO都要承担相关责任。

除此之外，监管法规也越来越严格，《中华人民共和国个人信息保护法》中明确规定“对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”而除了职业的高危属性，CISO的工作还面临不被理解和支持，在公司中缺少话语权。

在这种情况下，怎么摆脱职业困境可能不是某一个人的事情，是一个从业者，是安全行业需要思考和解决的问题。于利新指出，主要有以下几点，可供大家参考：

1、对公司的高层进行安全风险的宣传和培训。高层包括但不限于CEO、CFO、CIO、CTO等，可通过行业峰会或行业的圆桌会议等。只有企业高层重视安全，理解安全对企业的重要性，才能更好的支持CISO 的工作，给CISO更多的支持和资源。高层的支持和重视度对安全建设至关重要。

2、找一些标杆案例，比如哪一家的CISO 是做的比较好的，哪一家的CISO可以切实给企业带来价值或在安全建设上是有所作为的，可以把这些真伪CISO作为行业标杆，后续跟企业谈论CISO的岗位职责、权限和对应的要求时，用来进行对标。

3、梳理一套可行的信息安全量化标准。把安全对企业的价值量化出来、可视化出来，比如帮企业查找20个高风险漏洞，规避20W数据泄露，节约了30w修复成本等。安全价值衡量体系的建立，可以更好地体现安全的重要性，提升安全的重要性和价值，给CISO带来更多的资源和便利。

4、CISO自身软实力的加强。软实力是指跨部门协调、沟通表达、文档撰写、PPT制作、方案包装、安全话术陈述等等。有时候技术并不是解决问题的关键，找对人或进行良好的沟通才能更好地解决问题。或者年底汇总的时候，有一份精彩的PPT或汇报材料，可能比干巴巴的表达要能传递更多的信息，更容易让人重视和理解。

5、有时候正面走不通，可以尝试旁路。比如正面提安全不好推动，换成合规性要求试试；预算不够买商业软件，部署开源软件试试；自己推不动，请权威的第三方专家过来交流试试。如果直球太难进，不如拐个弯。

于利新最后谦虚地表示道，自己只是抛砖引玉，发表的回答仅代表个人观点和想法，欢迎批评指正。

而某企业高级安全架构师肖文棣从技术的角度提出了对CISO的看法，他说：“作为CISO，毫无疑问，你会对公司的安全负有责任，但一定要记住，你绝对不是公司安全的最终责任人。根据国家的法律还有CISSP的建议，公司安全的最终责任人是公司负责人，比如CEO或者法人，其他人没有这个权利来做最终责任人，除非你获得CEO和法人的授权，但是有授权就一定有相应的支持，如果没有这一点，那么CISO就应该主动和CEO或者法人说清楚这一点，否则出法律问题要求CISO担责就是CISO本身存在的问题。”

肖文棣指出，CISO以及他身后的安全部门是安全政策落地的实施者，或者也可以是制定安全策略，采购安全工具来保证安全政策落地的关键环节，但是安全绝对不是安全部门自己的事情，需要整个公司参与，这一点CISO和安全团队必须清楚，如果自己不清楚而是希望投入更多的钱买更多的设备，招更多的人做更多的安全管控，从而认为自己的团队就能把安全干好了，那到时若真出了问题，安全团队背锅就是无可厚非的，不能怨别人。

某国有企业信息安全部经理曾树钊，针对于业务这一个“安全困境”给出了建议，他说安全走进业务也不失为一个较好的思路。每个企业应该都会碰到这个场景，就是面对高危风险，安全团队会要求开发业务团队尽快进行修复，而通常情况下，业务不怎么配合，从而提出了各种挑战。这是因为在业务潜意识的认知里，会觉得安全影响业务。

虽然网络安全法、数据安全法、个保法等监管要求已发布，但许多业务部门是无法理解相关监管要求与他们之间有什么关系的，他们只求不要影响到他们的业务就好。

“而这时候就需要我们安全人员尝试走进业务，和业务部门一起，对整体的业务流程进行梳理，根据监管要求去评估业务流程上可能存在的安全风险，并针对性的向业务部门指出，同时引导业务部门向监管合规看齐，让业务部门感知我们是帮助其业务满足合规红线，不会被监管叫停，保障其业务的可持续性，同时确保业务的安全。”

所以，尝试主动走进业务，理解业务，这样能为业务提供更好的安全支持，让业务部门感受到有团队为其业务保驾护航，有了业务部门的支持，公司的管理层也会给予安全部门更多的资源来支持业务，这更能体现安全的价值。