为什么CISO需要精通业务和技术？

Renee Guttmann建议道：“对于CISO的技术水平到底该到怎样的高度，这并没有绝对的衡量标准。我的建议是，CISO必须在新兴技术、在对供应商的战略方面保持最新的认识和掌握，并同时能够确保新技术的实施不会给组织带来更多的风险。”

由于绝大多数CISO都是从技术岗位开始的，因此他们有责任学习该如何与利益相关者、CEO、风险投资公司、外部投资者和监管机构进行沟通，包括相关的业务领导技能和商业技巧。Head说：“是的，技术技能确实很重要。但在CISO职业生涯的早期，需要磨练一定的商业技能，这样他们才能与相关人群交谈时剖析企业的运作方式，让他人觉得对话是有意义的。”

可以说，网络安全负责人在数字化转型之后就一直是数字业务的关键推动者，用知名信息安全专家的话来讲，就是“安全负责人有责任帮助组织平衡风险与收益间的关系”。若要将这责任细说，可以具体体现在这么几个点上，比如创建真正的风险和安全服务组合，明确帮助公司或高级管理层实现战略目标或保障其利益；或为风险和安全服务组合中的每项服务制定业务价值声明；再比如与关键业务负责人一起验证风险和安全服务，确保能帮助业务，并制定基于业务，可量化、可衡量的工作目标等。

另一方面，在网络安全不如美国成熟的英国，要找到同时具备技术和业务能力的CISO则更为困难，大多数安全经理更像是“安全工程师”。Head说：“我所看到的相对成功的CISO，大多是那些重返学校接受更多商业教育以此来提高业务技能的人群，只拥有技术的CISO并不能完善企业的安全问题。”

其中一个例子是Palo Alto Networks旗下Prisma Cloud的CSO Bob West。20世纪80年代末，他在花旗集团担任高级系统工程师，接着在向同行学习了商业技能后，20世纪90年代Bob West获得了信息系统管理硕士学位，然后他便在JP Morgan担任安全架构师，不久，他又在其Bank One零售集团担任CISO，之后他成为了第五三银行的CISO。

West说，对于CISO来说，技术确实重要，但更重要的是成为一个可靠的leader，并作为领导团队的一部分发挥作用。因此，了解业务的发展方向很重要，这样安全策略才能与业务保持一致。同时，作为安全人员也应该与领导团队的其他成员建立并管理关系，这样如果在其他领域有不那么精通的技术时就可以向他们寻求帮助。

就像国内安全专家梁龙亭认为，企业更希望所招聘的CISO是一名“集大成者”。这源于从业者在大学阶段往往只能专其一，比如软件工程、计算机科学与技术、网络工程、密码科学与技术、审计专业等，而在工作后要想成为真正的CISO，应当触类旁通，跨学科、跨专业，横向、纵向“裂变”，因为只有成长为一名“集大成者”，企业才会更多的关注到你，CISO不只是技术人员。

合格的CISO需要跨学科、跨专业“裂变”成长，因此，具备不断探索学习，超越自我的能力，是对企业而言最重要的特质。同时，单一优势的长板，无法弥补其他方面的短板，因此CISO应当具备“管理+技术+业务解读能力+法律合规”的综合优势，这样才能使得企业安全基线越筑越高。

国内另一安全专家曾永红对此表示赞同，他认为CISO该具备三项特质。其一，CISO该匹配公司战略，理解公司业务，系统、流程；其二，CISO该做好执行层面的业务，风险评估、合规管理，团队领导；其三，CISO该掌握新技术、协同数字化业务，赋能员工。而其中，洞察业务、掌控风险则是对企业而言最重要的需求。

回到West这边，他建议企业寻找能够与业务部门以及IT团队沟通的CISO。为此他举了个例子，他说曾经老东家里的一位领导，可说是他职业生涯里的导师，这位领导是一名成熟的企业leader，但不是多优秀的安全专家。然而，他能够修复一个其他人无法修复的安全程序，为何？韦斯特将这领导当时的成功归功于他能向CEO和董事会讲述完整、恰当的安全策略。他补充道：“导师曾对我说，在我们讲解安全策略或落地安全措施时，得了解我们的听众，知道他们需要什么，所谓的对话、沟通，其在与CIO或内部审计师进行时是不同的，要学会看人说话。”

Syntax2Semantics LLC的顾问芭芭拉·菲尔金斯（Barbara Filkins）补充道，沟通始于积极倾听。菲尔金斯同样也是从技术起步，她在获得SANS技术研究所信息安全管理硕士学位的同时，也为医疗服务提供商和交流机构提供了C级咨询。她表示，倾听能带来更好的沟通，而最重要的是，了解自己需要在受保护的领域解决什么问题，无论是医疗、航空还是水资源管理。会以这些工种为例子是因为菲尔金斯在所有这些领域里都工作过。

她解释道：“作为CISO，很多时候在企业中的行为就是在平衡各方各面，因为CISO必须了解技术方面的知识，以便与技术人员沟通并获得他们的信任，同时他们还需要处理组织面临的计划和业务问题，如成本合理性、风险管理等。因此并不是每个技术熟练的人都能做到这一点，CISO需要传达他们的专业知识，以及将这些知识落实到适合业务的地方。”

类似于这样的总结，国内安全专家谢涛也曾说过，安全的核心艺术就在于妥协和平衡，可以说到了一定的层次后，安全和技术、业务、运营没有区别，大家都是在做平衡、做妥协，都是在有限条件、有限范围、有限时间内寻找最优点。

而对于企业来说，价值创造能力一定是最核心的要素。企业需要业务持续发展和创造更大的价值，CISO作为重要管理层人员，应有能力为企业规划出适合自身业务发展的价值路径，借助安全能力和信息化赋能业务发展，实现业务的降本增效，规划出可以体现安全价值甚至效益转化的战略思路和框架。

企业的根本是发展，企业也希望CISO能将安全思维紧密贯穿于业务流程，从业务的角度思考和开展信息安全工作，在业务风险治理成效中体现安全价值，建立形成安全架构应对安全问题，最大化缓解安全风险降低到可接受范围内，使得企业内部信息化能力持续完善。

因此，持续地创造出更多更大的价值才是王道，作为CISO应能够在安全保障的前提下，开拓出更广泛直接价值转化的方法，可以通过安全手段降低企业风险损失和业务影响概率，也可以推动安全市场化能力，实现安全能力的效益转化。

高管招聘公司Alta Associates的全球网络安全实践负责人乔伊斯·布罗卡利亚（Joyce Brocaglia）表示，直到最近几年，CISO的角色才从后台职能提升为真正的高管领导和业务推动者。然而，即使角色和工作要求正逐渐趋向于成熟，她也告诫不要相信存在或将存在“角色分明”的CISO。她解释说，尽管每家企业的岗位名称是相同的，但角色、职责、报告结构、员工数量、部门成熟度、支持文化以及成功的总体衡量标准都会是不同的。

“CISO这角色很难简化其职责和职能，因为他们没有确切的技术范畴或管理范畴。比如，拥有强大技术背景的CIO会倾向于雇佣比正常安全职位所需技术水平更高的人群。而很多时候，HR或参与面试流程的相关领导，对CISO职位的描述和他们真正希望面试者在该职位上所能实现的目标并不一致，这就要看每家企业具体的企业文化是什么了。”

据《财富》杂志报道，真正进入高管层的CISO是非常罕见的，他们往往可获得100万美元甚至更多的年薪。为了让这职位的发展越来越好，Guttmann建议未来的CISO该更新他们的商业教育，参加各种行业活动，并扩大自己的社交圈。

Guttmann补充道：“CISO致力于了解商业文化，了解对其业务的威胁，了解该如何为产品试点、为产品布置实施时间，研究系统依赖性和为长期运营制定适当的标准，这种种作为是值得称道的。CISO可以为利益相关者、高管、董事会、CEO打包这些数据，并获得相应的支持和资金，这对企业而言也是值得的。”

CISO为什么要精通技术和业务？除此之外，CISO还需具备怎样的综合素质？国内安全专家如此建议。

某支付企业安全经理沈勇从两方面解释了CISO精通业务和技术的意义：

一，从目标和手段的维度来分析，业务安全是安全人员所需保护的目标，这目标一定要清晰，一定要被理解；其次，技术是安全保护非常重要的手段，是安全人员务必得掌握的。

二，投产比角度分析：对产出的评价需要从业务价值的角度出发，因此熟悉业务非常重要。在投入方面，随着技术的提升，技术成本在总投入的占比正不断升高，因此理解技术对管理投入也越来越重要。

“除了业务和技术外，还有一些技能也非常重要，包括但不仅限于：沟通技能，团队协作，危机管理，团队管理，财务管理等等。”

某外企大中华区安全总监陈皓表示，随着数字转型在各个行业和领域的开展，IT leading 已经成为一个时髦的词汇，IT技术已经不再是传统的手工替代，而是发展成为了利用新兴数字技术对于业务模式的创新，对于业务流程的再造。网络安全是IT系统的基本保障，因此随着IT技术对于业务的渗透率更高，网络安全也将随之进入业务更深的层次，这是一种革新。

网络安全的建设强调在初期设计阶段就需要进行长足的考虑，否则后期的补救会大大加大整个IT和网络安全的投入。CISO作为网络安全的领导者需要深入业务，同业务、IT、法务和合规一起合作共同推动数字化在组织中的转型。

其次，陈皓作为身在甲方的CISO，他深刻的体会是：网络安全最大的问题不是技术，而是“人”。表面上网络安全是技术问题，但实际上往往需要“人”、“流程”、“技术”三者结合，同时也需要跨部门的协作才可以真正挖掘出根本问题，并一劳永逸地解决。这就要求CISO得深入业务了解一线人员的业务场景、操作习惯，对新技术、新安全控制要有所掌握，并在部署落实网络安全技术和管理时进行灵活地调整，而不能僵化地处理。

综合以上两点，新时代对CISO的要求就是除了精通本身的安全技术和IT技术外，还需要生根在业务中，结合业务的行业特点，伴随着不断发展的数字化方案，制定贴合度高的网络安全管理和控制。

陈皓指出，通常情况下，CISO一般是从技术人员中成长起来的，因此除了需要掌握本行业的业务，精通IT和网络安全技术外，对于CISO的沟通能力，项目管理能力，跨团队的协调能力等软性技能的要求也将越来越高。“越是大的集团，组织结构越复杂，IT团队和网络安全团队也就越庞大，处于网络安全的顶级职位CISO，对于软性技能的要求也就越高。”

除了软技能外，一些和网络安全有所关联的知识也值得学习， 包括但不限于：

1、隐私保护：可以考虑IAPP的CIPP,CIPM,CIPT，结合证书知识领域的学习，拓展隐私保护从法规到技术的知识。

2、TOGAF/CMMI/Agile/ITIL：学习IT管理的技术理论，从架构，软件工程到IT服务管理，网络安全的控制无论是管理和技术都不是孤立存在的，最终还是要结合到具体的日常流程中。

3、数字治理和管理：可以考虑学习DAMA数据管理知识体系，对于数字治理有基本概念，为以后数字保护打下基础；新兴技术的学习和理解，随潮流即可。

最后陈皓说道：学习，是终身的事业，不但要知行合一，也要做到学而时习之。如何平衡事业和家庭，如何协调处理自己的时间，确保“要事第一”，这始终是个课题。望诸位共勉！