为什么要成为一名CISO?

admin 2022年10月1日11:25:02评论21 views字数 7839阅读26分7秒阅读模式

为什么要成为一名CISO?



当下,在安全工作开展上,企业CISO普遍都会面临各种问题或瓶颈。随着网络空间安全形势日益严峻,以及国家和行业的安全监管和处罚力度日益加大,安全工作需要涉及的内容无论在广度还是深度上均在不断扩大,但安全投入在绝大部分企业决策层眼中还会被认为是成本中心,安全投入比例普遍较低,安全团队人员配置严重偏少,安全人才缺口严重,这些都是目前国内企业网络安全工作普遍面临的瓶颈。


而就安全团队在一般企业中的工作需求来看,首先是“保障”,包括防御、风险控制与惩治等,这是第一层基础需求;其次是“促进”,包括陪伴业务、助力品牌、赋能生态等,这是第二层成长需求;最后是“发展”,包括能力输出、行业贡献、创新专利等,这是第三层实现需求。可以说安全团队的侧重不同决定了CISO的工作内容也略有不同,但不管如何,这些需求所涉及的领域和深度都意味着CISO 的工作是艰巨、困难、复杂并充满挑战性的。


为什么要成为一名CISO?


国外安全专家总结,对CISO来说,考验和磨难包括了保护企业最有价值的资产,保护企业数据免受不断变化的网络威胁,还需要满足复杂、严格的监管要求,并同时得平衡安全与关键业务的需求,以及要应对安全技能和人才短缺问题。


然而,即使这诸多事项会让CISO们夜不能寐,但这工作并非是什么厄运和悲剧。如果你愿意静下来心来看看CISO们的职业生涯,你就会发现许多有意义、有价值并充满乐趣的内容。根据国外安全专家们的经验之谈,他们例举了自己愿意成为CISO的理由。



为什么要成为一名CISO?
01
CISO 对企业而言不可或缺


Mongo DB公司CISO Lena Smart表示,作为一名现代 CISO,最重要的一点是自己在公司里的定位,其他的包括所拥有的洞察力和专业知识,这些对经营企业而言都是无比重要的。“当下的执行团队和董事会成员都明白,安全是重中之重,他们会在决策的各个层面重视CISO的建议,他们还会在更广泛的组织内支持CISO的计划和倡议,这些已在意识层面成了各大企业领导层们一致的赞同。”


Cyber GRX 的CISO Dave Stapleton 补充道:“对于那些希望突出自己角色的 CISO 来说,这个定位已让他们成为了公司里举足轻重的存在。”


“许多企业开始越来越理解和尊重安全功能,这是之前从未出现过的现象。”空域控制和保护公司 AirEye 的CISO Sarb Sembhi 表示认同:“我想CISO比以前更受欢迎了,这对许多人来说是梦寐以求的。”


为什么要成为一名CISO?
02
CISO 永远不会无聊


随着CISO在越来越多重要的事务上有了话语权,并在更广泛的领域里也有了存在感,因此他们可以在实践安全工作之余发展必要的证书和知识。Smart 说:“我们的角色正在不断升级。比如当下的我需要同时负责安全治理、风险和合规,这为制定整个业务的安全、风险管理计划开辟了更多的途径。”


Stapleton 对此表示同意:“现代 CISO 可以学习更多的技能和知识,远不止网络安全技术,他们可以探索企业中更多让人感兴趣的领域。而随着网络安全形势的不断变化,总会有新的或有趣的话题可以深入研究,所以 CISO 永远不会感到无聊。”


“The Disabled CISO”是一家跨国公司匿名CISO的推特账号,他在推特上表示,安全现在涉及到了业务的每个部分,这促使了CISO需积极参与企业的各个角落并从中学习。他说:“我喜欢去接触不同的行业和领域。为了保护业务,我需要了解公司的运营方式,还要了解运营过程中员工们会面临哪些挑战。在我20多年的职业生涯里,我学到了许多关于其他学科的知识,例如人力资源、金融、法律、建筑和营销等。”


为什么要成为一名CISO?



为什么要成为一名CISO?
03
CISO 可以成为变革者


对于交通管理平台Gett公司CISO Runli Guo来说,有机会全身心地投入到一个能带来变革的角色中,是自己会成为CISO 的关键因素。“我认为自己是一个典型的CISO,人可视我为问题解决者、问题优化者或silo breaker。我不会扮演任何从事特定项目或重复性任务的角色。如果谁喜欢解决复杂的问题,喜欢不断改进事物,那么CISO就是最好的选择。”


Runli Guo说,她将生活视为自我提升的旅程,这同样也体现了她的工作性质。“我把成为 CISO 视为一种学习、成长的方式,通过倡导我所信仰的内容,回馈我的时间和资源来支持他人,这是我以自己的方式对企业和社会产生正面的影响。”

欧洲佳能公司信息安全总监 Quentyn Taylor 对此表示赞同:“我喜欢解决问题和难题,我认为成为CISO可能是最难的难题。信息安全是非常新颖的,一路走来安全人员始终在寻找他们的立足点,这对很多人说是一个挑战,这源于其职业路线并不像其他领域那样明确。然而,对于包括我在内的许多人来说,这是一个发展自己并绘制自我历程的完美契机。虽然有些人更愿意过‘无聊的生活’,害怕在‘有趣的时代’里被淘汰,但安全人员的生活却是完全相反的,这也同样是我赖以生存的动力。”


FinTech Kroo公司CISO Guillaume Ehny表示,CISO 有能力改变关于安全的观念,从而使该行业受益。“随着数据安全越来越频繁地成为头条新闻,我们一直在朝共享文化的道路上慢慢前进,而不是指责受害者做得还不够多,把他们当做替罪羊。行业在这类话题上变得越来越开放,强调共享文化是最好的选择。”


FinTech Bink 的CISO Erhan Temurkan 表示,CISO也可以使这种转变延伸至人们的生活中。“这可能是真正的好消息,特别是在个体的层面上,当员工不仅在工作中意识到安全有多重要,并且还把它带回家教育家庭成员时,作为CISO的成就感油然而生。”


为什么要成为一名CISO?
04
CISO 拥有良好的就业条件


随着网络安全成为诸多公司的优先重要事项,CISO变得更受欢迎了,因此许多就业机会成了他们最好的福利。LT Harper 的网络安全招聘人员兼主管 Kunjal Tanna 亲眼目睹了这一点:“目前 CISO 的就业市场非常活跃,其吸引求职者的首要因素是办公灵活性。尽管绝大多数 CISO 更喜欢混合工作模式,但大多数 CISO 认为他们无论是在办公室还是在家中同样可以出色地完成任务。”


Tanna 说,她还没有遇到过CISO希望在新工作中轻松自如的,大多数CISO都渴望面临挑战,他们愿意战胜困难获得成功,并因此得到奖励和认可。“这种奖励不仅仅是金钱上的。当然,具有竞争力的薪酬会使就业机会之间存在巨大差异,但是他们更愿意得到董事会的支持和认可。”


为什么要成为一名CISO?




为什么要成为一名CISO?
05
CISO的多样性


对于 Smart 来说,在这样一个多样性不断增加但代表人物不足的行业里,成为一名强大的女性CISO是非常重要的。“当下在我所处的位置上,我可以利用平台,不仅从多元化和招聘的角度来推动行业向前发展,我还可以指导和鼓励那些从未将安全视为重要事项的企业,让他们更多地开始正视安全。”


Smart 补充说, MongoDB 的安全冠军计划是她特别引以为豪的一项举措。“它让我每天都能将这种对多样化招聘的热情带到工作中。自去年推出以来,我们已招募了5名队员,他们表示对安全感兴趣,现在正在为团队的CISO做全职工作。”


这对欧洲德勤公司CISO Jitender Arora也很重要。“我比较重视与学校合作,这可以吸引年轻人才进入技术和网络领域。我也喜欢与非营利组织合作,在难民重新进入工作场所时为他们提供指导,并在他们早期的职业生涯里为他们提供资助,以建立未来的人才管道。”


Ehny 补充说,自疫情以来,远程办公成为了趋势,因此支持该行业人才管理的指导计划和机会变得更多。CISO有新的机会来帮助行业发展,并可积极参与塑造安全文化。


为什么要成为一名CISO?


为什么要成为一名CISO?
06
CISO 可以创造有意义的传承


Arora 表示,他热爱自己的工作,因为这工作既有意义又符合他的价值观。“与许多其他职业相比,网络安全仍然是一个相对年轻的职业,要让组织和社会思考并积极采取更多措施来保护自己免受黑客的侵害,这之中还有许多工作要做。但无论如何,能够帮助企业、保护组织免受网络威胁必然是一种真正的自豪感。我们的安全社区正在努力保护组织、保护关键的国家基础设施,以及医院和银行等关键服务等等,这一切都是为了留下美好的传承。”


这也引起了Guo的共鸣:“随着经济压力不断增大,许多人意识到工作是生活中多么重要的一部分,他们正在重新考虑职业选择,我要说的是,除非你的工作能让你产生目标感,否则很难在长期里保持相应的动力。而从事网络安全工作具有影响力和成就感,它能让我不断地前进,能让我感到身负责任。”

鉴于网络安全在全球的重要性,这对Temurkan来说具有更大的意义。“网络犯罪的本质是无国界的,因此成熟的安全态势会对减少全球网络犯罪产生重要的影响。”


为什么要成为一名CISO?


为什么要成为一名CISO?
07
CISO 是团结和协作的代表


尽管Sembhi喜欢计算机技术,并可用这技术为自己、为企业、为世界做些什么,但他认为成为 CISO 最大的好处是在行业内外都变成了优秀并具有爱心的人。“毫不夸大的说,安全人员是我见过的最真诚、最有爱心的人。”


CyCognito 的CISO Marie Zettlemoyer 也表达了类似的观点:“虽然CISO可能会度过几个漫长的夜晚,或需要熬过几段令人筋疲力尽的经历,可能还会常常感到孤立无助,但安全社区会提供温暖,我们彼此会将双臂抱在一起,分享经验并一起学习,我们可以用最佳实践相互武装,不仅可以捍卫和保护我们的组织,还可以保护我们自己的健康和身心。”


Zoom CISO Jason Lee 补充说:“在安全社区里,面对真正愿意成为CISO的人,我们都会为彼此的成功和我们所致力于的安全而投资。”


为什么要成为一名CISO?
08
国内安全专家的建议


对于为什么要成为CISO,CISO这职位是如何吸引我们的,国内安全专家如此表态。


某科技公司安全专家朱士贺介绍了自己的经历,他是在十年前关注的信息安全,由于好奇心驱使就搜集了一些安全相关的内容。经过学习朱士贺对信息安全有了粗浅的认识,也因此产生了浓厚的兴趣,于是开始研究起了网络信息安全领域。


基于当时计算机发展和软件开发的火热趋势,朱士贺认为该领域未来会和软件开发不可分割,所以相对软件开发来看,网络信息安全存在发展滞后性,但未来会迎头赶上。之后朱士贺更具体的了解到了国内网络安全发展现状和国外网络安全有着不小的差距,他便自我感觉多了一份使命担当。“我希望自己能在行业发展中贡献一份微薄的力量。”


朱士贺大学毕业后正式加入网络安全公司,成为了一名网络安全从业人员。后来恰逢国内网络安全迎来了大发展,国家重视并制定了顶层设计,如此机遇使得朱士贺在公司里更为发愤图强,他通过完成每项工作任务带来的成就感,于工作中找到了自己在安全领域里的价值。


日常生活中,朱士贺会不断激励自己迎接挑战,并要求自己在面对困难时要保持积极的应对心态,努力提升行业知识和技术技能储备,坚定自己可以对网络安全行业的发展贡献一份微薄的力量,以及帮助企业保护资产和应对复杂的网络威胁环境。


朱士贺对想进入安全行业的新人有着这样的建议:“网络安全行业充满了挑战和机会,也有非常好的职业发展前景,当下正呈现加速趋势。网络安全专业人才的需求巨大,对于新人可以多参与实战类型的技能竞赛,也可以通过考取职业技能证书等获得自身成长。网络安全职业目前没有发展瓶颈,行业趋势和国家对网络安全的重视都在大跨步前进,因此新人主要得解决‘自身能力无法适应快速技术变革’所带来的焦虑和迷茫。”


朱士贺指出,对初入行业的新人来说,要坚定自己的职业选择,不断提升自身技能,帮助国家和企业更好地建设网络安全并落地创新实践,同时也要制定长远的职业规划和目标愿景,完善知识能力体系,形成网络安全领域竞争力,以此来应对焦虑,突破迷茫。


面对笔者的提问,等级保护资深专家毕马宁认为,每个人进入信息安全领域或从事相关工作的初衷不尽相同,有的是工作需要、有的是喜好、还有的是因为领域是热门,但无论何种想法进入,既然从事了此项工作,努力尽责便是首位,也是必须的,因为安全无小事;其次是作为安全人员,得通过不断学习来提升自己。


“我从事信息安全几十年,大致经历了几个阶段。一是洗脑阶段(故事时代),那时甲方(业主方)不太了解什么是信息安全,也没有明确的需求,就是有需求也不知道怎么办,因此只能靠讲案例,以说别人的故事来推动。往后就来到了功能阶段(产品时代),当大家开始认识到安全的重要性,开始梳理自身的安全需求时,往往会被乙方推出的产品功能带着走。”


毕马宁表示,现在已进入到了能力阶段(场景时代),与早些年封闭性、碎片化、合规驱动、供需失衡的环境不同,新时期的网络安全,表现得越来越业务驱动、供需交融,这期间传统意义上的甲方会越来越凸显其场景化、实战性和创新源的优势,伴生形态逐渐演变为内生和共生,由“洗脑式交流”变成“互动式协作”,也就是甲方变被动为主动了。


但只靠甲方自己的力量无法完成所有的网络安全任务,特别是实现与应用高度融合的安全目标,因此开放协作、生态共建便成为了促进网络安全产业发展的重要共识。安全是“护航”,其作用是为了保障业务目标的实现和效益的达成。


安全服务(包括产品提供)是为了提升安全保护能力(对抗能力、检测能力和恢复能力),在这种情形下,信息安全从业人员(服务者)就必须对甲方的业务模式和安全需要充分了解,重点解决“场景定制、应用适配”等问题,这样才能做到共识结盟、相互赋能。


而某跨国企业CSO赵锐的工作历程就更为丰富多彩了。通过介绍得知,赵锐在高中时就发现了微软浏览器的JAVA漏洞,当时他把漏洞上报给了微软的中国社区后,收到了参加微软技术大会TechEd的邀请。毕业之后,赵锐开发了风险预警系统,管理银行业务安全风险,了解了银行所有零售业务、公司业务和个人银行卡的业务逻辑及相关风险。


“从开发、风控转向网络安全,全权负责等保的落地工作,让我在法规层面对于网络安全有了全面、直观的了解。后来银联开展了PCI DSS(支付卡行业数据安全标准)项目,此项目是全球最严格、级别最高的金融数据安全认证标准,主要针对支付卡行业数据安全,降低持卡人数据在支付处理环节被泄露的安全风险。在这个阶段,由于当时是国内首个PCI DSS项目,所以只能带着团队摸着石头过河,从0到1,从数据安全标准、保护持卡人数据、维护漏洞管理程序到保障支付卡安全地一步步地推进。”


之后,赵锐被委任负责农商银行新一代的整体安全工作。从整体安全架构建设,到资产安全管理,核心数据分类分级(包括客户数据、源代码、生产密钥,生产运维和业务运营过程中的重要数据)都采取了合适的保护措施。以及软件安全生命周期,推动了开发测试数据变形的标准和方案以及桌面虚拟化的落地,制定了安全架构、开发测试运维安全标准,以此保护农商银行生产、运维安全。


赵锐还曾在支付机构把网络安全结合业务进行量化。从业务生命周期和数据生命周期角度按不同业务形态梳理开展威胁建模,分析安全风险和安全能力,实践DevSecOps,并将安全工作量化、安全产值量化,让公司管理层了解安全工作和安全工作的ROI。赵锐还把网络安全工作不断左移提升安全工作的层级,完成安全负责人到CISO的转变。


在中国麦当劳任CSO后,赵锐进一步实践网络安全和业务的结合量化,并融入业务运营和数据运营,让COO、CLO、数据科学家帮安全团队向管理层、GLOBAL介绍网络安全如何从线上、线下协助业务提升效能,以及对于法务合规的意义。

综上所述,可以说赵锐之所以想成为CISO,就是因为喜欢网络安全,他就想把网络安全的价值体现出来,一如他的自述:“我要从网络安全上实现四点:让领导省心、让业务放心、让客户舒心、让股东安心。”


除此之外,赵锐建议安全业的新人多学习知识,多看前人的经验教训,例如《CSO进阶之路》等众多网络安全人士的实践书籍。


最后,中通信息安全专家陈圣对此表示,即便自己不是网络安全专家现在也会了解到网络安全是一个持续增长的领域,可以说网络安全已成为现代企业不能回避的关键词。随着一次又一次的信息泄露、国家层面的网络安全事件成为头条新闻,陈圣相信越来越多的行业和领导者人都清楚组织需要更专注于网络安全。 


IT 从业人员分很多角色,而这些角色或多或少都和网络安全有所关联,作为一位职业网络安全从业者,陈圣相信愿意入这行的理由无外乎以下几点:


▷ 1.持续无限增长


随着网络触及社会领域范围的不断扩大,网络安全相关的职业生涯道路和学习机会方面都呈现出长足的增长潜力。很多高校科研机构将网络安全作为一门学科来教授,但它又与所有其他 IT 技能有着非常密切的关系。一个优秀的网络安全专业人员会尽可能多地了解技术和组织的运营方式。在这个圈子里,和其他很多行业里的人都一样,优秀的网络安全专业人士意识到学习永无止境。


当前的工作量迫使安全团队需要快速地扩展,对于愿意挑战自己的专业人士来说,机会无处不在。无论是希望以自己的方式担任 CISO这个角色,还是使用全新的技术,专研某一网络安全相关的领域,在这些方面都能取得不小的成就。


▷ 2.种类繁多


所有的网络安全领域的增长机会都与安全专业人员所要涉及或可能处理的各种技术和场景有关。网络安全专业人员有机会直接与团队合作,开发他们从未梦想过的技术和系统。从机器人到汽车,再到为数百万用户提供服务的网站,种类几乎是无限的。所以网络安全并不是一个令人觉得高深莫测的职业,绝对不会让你感觉到无聊。由于需要正确理解当今网络安全挑战所需的广泛技能,网络安全专业人员很多都来自不同的背景。事实上,他们的背景越多样化,就越会成为一名好的网络安全专家。


▷ 3.解决问题的能力


将技术的发展及其多样性耦合在一起,就会发现网络安全专业人员可以处理不同类型的难题。在网络安全中,我们依赖于经验,但策略可能每天都会发生变化,而且总是有一个新的难题需要解决。随着每一次新技术浪潮的来临,都会产生新的风险。识别、理解并帮助解决这些风险是安全专业人员的工作。


▷ 4.对工作有实际影响


最近由于网络安全问题,勒索病毒、挖矿木马、信息泄露、中美之间的博弈…………网络安全很重要(已经上升到国家战略),它的影响超越了数字世界,甚至延伸到了物理世界。想一想国家层面都如此重视,未来必将充满了机遇和挑战。


对于刚入安全业的新人,陈圣如此建议:“首先是不犯错误。网络安全是多样性的,且充满了增长机会,有很多难题和影响共同构成了令人兴奋及向往的职业内容。但是,作为新人,如果您期望的职业更符合好莱坞大片中对安全专业人士的介绍……那你可能需要再斟酌斟酌。网络安全中的绝大多数角色不需要您像电影里的那样,比如在《骇客帝国》或《我是谁:没有绝对的安全系统》里于世界各地飞行以躲避子弹,或在几毫秒内获得扫描结果,或能够立即通过红色识别恶意代码……当然,这并不意味着这些角色没有回报,确实也有从事类似工作的网络安全从业者。”


其次,陈圣说就是不断学习。开始学习,继续学习,不间断学习。网络安全作为职业具有两个关键优势点:低失业率和可观的薪酬(这是真的,可以看HR近5年的相关报告)。


最后陈圣表示:“如果选择了这条路(不是不归路哈),您将一直拥有持续不断的成长空间。您将不断学习新技能并努力了解新技术,当然, 新的挑战也将不断涌现,您将接触到大量新人、新情况和新机遇。您永远不会因为需要解决新的难题而感到无聊,并且您永远可以为自己获取的成就而感到自豪,因为您的工作将对数字乃至整个世界产生积极影响。相信我!”


为什么要成为一名CISO?




参考文献:

《7 best reasons to be a CISO》



为什么要成为一名CISO?
END


为什么要成为一名CISO?


为什么要成为一名CISO?


为什么要成为一名CISO?




为什么要成为一名CISO?
为什么要成为一名CISO?

齐心抗疫 与你同在 为什么要成为一名CISO?



为什么要成为一名CISO?

点【在看】的人最好看


为什么要成为一名CISO?

原文始发于微信公众号(安在):为什么要成为一名CISO?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日11:25:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   为什么要成为一名CISO?https://cn-sec.com/archives/1308377.html

发表评论

匿名网友 填写信息