如果说近些年网络安全行业有什么突出特点,那就是变。
攻防在交错升级,技术在快速迭代,领域在愈发细分,产业在迅猛扩展。当传统安全变成了“泛安全”,之前不关注安全的开始关注安全了。当狭义安全变成了“大安全”,以前视野局限关注不多的,现在,除了网络和系统,包括物理环境、人员意识、业务应用、法律合规、商业情报,数据隐私,等等,都入了安全之眼。这些,都是大环境的变化。
小气候也在变。就说企业B端吧,产业互联网助推企业战略变革,消费升级前所未有地提升了全民对个人隐私及数据安全的意识和认知,内外“夹击”之下,企业安全工作不再“单纯”。救火应急不管用,需要综合治理。攻防对抗不够用,必须平衡风险。局面复杂了,对人的要求也就提高了,以往技术型、单一型的安全专职,势必要向管理型、复合型跃迁。那从业者呢?好消息是,过去屡屡被诟病是救火队或背锅侠的处于企业基层的安全职位,逐渐升级,可跃居高管。简单的专业化工作也向更具普适性的职业化道路发展。坏消息呢?哦,人才缺口巨大,供给远远跟不上需求。
安全人才难找,高端安全人才更是稀缺,嗯,罗嗦了一大通,就想说这个。
也正是在这样的大背景下,安在新媒体,继建立并运营真正属于甲方业者的网络安全专家社群——诸子云之后,再次发起另一项具有里程碑意义的活动:启动“超级CSO研修班”,打造CSO专属社群。
我们的想法很单纯,就是要在网安业正急剧变化且重大转折的当下,在对网络安全市场及趋势具有潜在影响的CSO这个群体,垒高台,立标杆,聚同道,树理念,正风气,阔学识。
我们想找到更多志同道合者,大家能以CSO的标准来引领新风向并做新贡献,我们更想解决一些问题:让更多企业接受并设立CSO职位,让更多人能胜任CSO职位,并让CSO职位真正成为企业不可或缺。
当然,在搞事情之前,先得讲清楚这是一件什么事。
什么是CSO?CSO有什么价值?CSO应该具备怎样的技能和学识?何以“造就”CSO?CSO又能怎样“进化”并奔向哪里?
带着这些问题,安在新媒体探访了一些老朋友,他们都是(或者曾是)各典型行业代表性企业的CSO(或者其他等同称谓),他们都身经百战并极富经验,他们熟谙高阶网安从业之道,他们也正以各自的方式无私分享并奉献于产业。
就让他们——优秀CSO,来告诉我们,关于CSO的那些事儿吧。
怎样定义CSO(或CISO)这个角色?
陈建:CSO是整个企业安全治理结构的设计者和践行人。CSO需要根据企业战略和IT战略来规划企业安全战略和提升企业的安全能力成熟度。
龚蔚:我觉得CSO对外应该是一个安全的形象代言,他的一言一行决定了这个企业对安全的态度。对内是企业安全的决策者,企业发展历程中安全如何辅佐业务。在努力保障企业避免因为安全而造成损失,也承担了监督企业因为业务发展上和安全相对立的诉求被驳回的责任。所以CSO要清楚自身企业的安全价值观,也努力积极的去推进这种安全价值观。
顾骏:CSO是安全的负责人,不论他具体的职务是什么,他都要对安全工作承担最终责任。
黄承:CSO,这个Titel就决定了承担这个角色的人员所必须的格局;几乎所有对这个角色的描述和定义都聚焦在技术侧—技术的规划、架构、管理;所以CSO这个职位BU和direct 汇报线都是CTO也就顺理成章了。这是过去甚至现在,但不应是未来!
君哥:对企业网络安全最终负责的人,是网络安全在企业里除最高经营管理层之外承担责任的最高角色。
李吉慧:就我所知,CSO一般都是与CIO是一个人,很少单独配置。
具体就是保护企业信息化过程中各种系统的安全性,包括数据安全、网络安全、业务安全等内容,例如:防止黑客攻击、数据泄露等,同时协调与业务部门和各个科技条线的关系,做盖棺定论。此外,负责制定企业安全措施和安全标准,参与外部各相关领域的活动,负责向高级管理层、董事会汇报总体安全趋势和规划。
刘新凯:CSO是一个综合性的角色,不仅仅是要实现传统技术上的各种防护目标,更要关注组织的发展目标并通过安全工作为组织发展提供支撑。
谭晓生:是一个组织中对信息安全、网络空间安全,乃至业务安全担负第一责任的高级管理人员,通常向组织的第一负责人,甚至董事会负责,也有向公司技术负责人(CTO)、运营负责人(COO)负责的。
王彬:我认为这个角色需要对企业整体安全负责,要有主动承担相关风险的意愿,需要协助企业持续、安全的开展业务工作。
张嵩:融合大安全、隐私保护、数字风险管理等领域专业的企业(组织)领导者。在一些成熟的企业,应该是高级管理者甚至高可达集团副总裁级别的企业级角色。
CSO职能及价值点何在?
陈建:CSO在企业内需要做好管理层的意识教育,努力展现出企业安全团队的价值。同时,CSO应该与业务部门领导做好沟通并协调,以便得到业务部门的认同。
龚蔚:我们都知道安全是没有绝对的,通过专业的技能和经验去寻找一个点,这个点就是在企业安全风险和安全投入的最佳比,这就是CSO最大的价值。全部安全问题都要解决那么你的价值不大,全部的问题都去投入时间金钱解决你也没有价值。找到不同时期不同业务形态的最佳比。
顾骏:对组织的负责人而言,CSO是眼睛,帮负责人看到他看不到的问题;对组织的各个部门而言,CSO是摄像头,帮助各部门发现安全隐患;对组织内部的安全人员而言,CSO是责任承担者,该背的、不该背的责任都要背;对组织内部的全体人员而言,CSO是宣传者,要让员工认同信息安全的理念;对攻击者而言,CSO是防护的指挥官,要全面考虑防护的各个环节。
黄承:CSO的工作职责取决于所在单位的业务指向,也就是与业务发展需要高度匹配和一致性的高符合。这是难点所在,但必须清醒的认识到没有这个目标的达成,也就不可能有上面所说的“未来”。
单位的业务内容可能是各不相同,但也不是无共性可循;业务连续性、企业竞争力、作为企业公民的社会义务是普遍的单位业务目标。把这些目标“翻译”成安全相关的语言,那么我们CSO就有了安全的总体方针,继而也就有了主体策略,这是一切安全活动的开始。
从不惧怕到主动承担更多的业务运营相关的职责,是CSO成为单位高级管理层核心人员的必经之路。
合格的CSO是企业综合竞争力保持良好水准的主因之一。
君哥:直接参与本企业与网络安全有关的业务发展决策。确保网络安全战略,符合本企业的总体业务战略和信息科技风险管理策略。建立网络安全团队,确保网络安全的管理和技术措施有效,提高网络安全人才队伍的专业技能,履行经营管理层赋予的网络安全管理职责。
价值点在:参与业务发展,承担网络安全职责,进行网络安全决策,搭建团队,落实网络安全各项工作。
李吉慧:
1)确定网络安全保护目标和愿景与企业战略保持一致,并争取到足够的资源以确保安全策略得以有效执行。
2)制定及执行安全策略、安全标准、指导方针和执行程序,以保证持续解决安全问题。
3)制定全面的安全事件影响分析和保护方案,负责指导相关部门完全落实安全要求和法律方面事宜。
4)负责向董事会、高级管理层汇报安全态势和风险事件,必要时根据风险和威胁的变化及时调整策略。
5)进一步完善灾难恢复,业务连续性策略,确保企业信息化过程中拥有一个生产安全稳定性符合其发展的系统架构。
刘新凯:随着全球对信息安全的关注程度不断的提高,国家及行业的法律法规越来越严格,信息安全已经成为各个组织的重要工作,CSO的定位也逐渐从网络安全,发展到企业风控,行业业务竞争的关键。所以对于CSO而言,职能从网络安全防御,到业务安全优化,业务安全竞争力的提高方向在转变。
谭晓生:
CSO职责
组织信息安全团队、业务安全团队的组建;
组织安全策略的制定与执行;
负责公司安全策略的公关;
负责安全事件的响应与处置;
负责与信息安全监管部门的沟通;
组织与领导与安全生态圈的良性互动;
负责与董事会、公司管理层就业务发展与安全的沟通与协调。
CSO价值点
用最低的成本,保障公司的业务运行安全到可接受的程度;
寻找在安全与发展之间的平衡点,提出建议方案并获得董事会与管理层的支持。
王彬:CSO/CISO需要评估公司整体安全风险,制定信息安全标准与落地相应的管理措施,保证业务持续性发展。
价值点在于看待风险的宏观视野,同时专家经验也是一项很核心的价值,在遇到问题时可以第一时间进行准确预判并带领团队拿到想要的结果。
张嵩:在健全治理机制的企业,CSO的应该是覆盖全职能的,主要包括网络安全(含攻防对抗、运营、安全基础设施等),项目建设安全(含开发过程、工具、企业架构中的安全内建等),数据安全与隐私保护,治理、风险管理与合规,意识与教育,供应链安全管理,内控与人员操作风险管理,业务安全风险管理等。
主要价值体现在,在企业风险管理的大框架下,管理好安全风险在企业的风险偏好内:建立组织的安全治理和风险管理机制,以及支撑的基础设施、工程平台、工具链和运营流程等。
CSO应该具备怎样的知识和技能?
陈建:CSO除了需要具备安全专业领域的广度知识外,对管理领域、产品领域、财务领域的知识和经验都需要涉猎。
龚蔚:具备扎实的基础,安全技术基础,不要浮于表面,只有理论基础的往往不能找到问题的根源。
具有一定的行业影响力,能够将企业的安全价值观作为窗口让更多的人了解,同时能吸引更多的人才。
具有探索和求知的欲望,不断学习同行或其他新技术,很多问题也许并没有答案,但这种日积月累的知识会帮你快速的找到解决问题的方法。
具有一定的安全体系理论基础,有实际企业体系建设的经验,而不是拿着ISO GB提出各自要求和观点。
顾骏:CSO要懂安全,CSO可能不一定懂具体的安全技术手段,不一定会编写攻击代码,但一定要对安全有一定高度的认识,明确安全工作的目标,了解安全工作的现状,知道安全工作的问题,具有推动解决问题的能力,CSO应该是一个懂行的领导。CSO要懂管理,要善于同上级沟通,要努力争取获得各种资源;要善于和各部门沟通,在不断得罪各部门的情况下获得各部门的支持;要善于和各分支机构沟通,既要提出管理要求,又要帮忙解决问题;要善于和部下沟通,要留住技术大拿还要发挥他们的积极性。要善于利用奖和罚,不论是奖和罚,要以推动工作为最终目的。
黄承:CSO的知识和技能不是一个可以单一量化的指标,综合能力评价可能是比较合适的。CSO首先是个策划者,然后是个组织者,再之后是个执行指导和监督者,最后是个评价和改进的促进者;缺一不可,否则就要有补足的措施。
君哥:向上管理、战略规划、目标管理、绩效和激励、沟通、冲突管理。
李吉慧:CSO的知识和技能是来自其之前的工作经验,如担任软件工程师、架构师,或从事涉及信息安全、风险管理等方面的工作;也可以是来自某些功能性的业务部门,如亲自参与安全管理、风险和合规性任务的经验等。同时,也要具有一定的信息安全技能和实践经验,参与制定过影响应用程序、基础架构以及外部威胁的安全计划和举措。此外,还需要与行业供应商、情报界以及学术界保持亲密联系等。
除此之外, CSO还需要具体技术能力和工作轨迹的资质,参与保障企业战略执行的全过程,同时还要获取内部相关组织的支持和信任。
刘新凯:简单来说,技术和管理能力两手都要抓,才能保证信息安全保障工作和业务价值拓展两方面的价值体现。
谭晓生:企业战略规划能力;网络安全知识;团队管理知识;公关技能;项目管理知识。
王彬:能力需要比较全面,如:风险管理能力是必须的,最好应该有财务知识储备,当然专业技能也是必不可少的。
张嵩:作为高阶管理者,CSO的核心能力是对安全的前瞻性和方向感的把握,具备组织级影响力和高层、横向沟通能力和驱动力;有能力建立和管理一个高效能团队,快速吸收国际和业内领先实践,具备在组织内变革的担当和意愿和使命感,交付组织级价值和服务,改变传统安全文化和建立积极的安全行为。至于具体的安全技术知识体系,框架会有很多,科技发展速度也很快,这要求这级别管理者能够均衡视野和落地细节。
CSO必备知识和技能有何获取渠道?
龚蔚:技术类提升:要多关注一些曾经让你有过收获的人或圈子。
影响力提升:多参加一些议题的宣讲,逻辑清晰、思维敏捷的将新观点新思想表达出来,也许不完全正确,但你会因为这个交到很多愿意和你交流的朋友。
知识的累积:永远不要相信这是最好的答案,怀疑是推动自己进步的原动力。保持学习的状态,不要一味的迷信考证,有时候某人的一个观点或一篇文章对你的启迪大于一堆证书。
安全理论体系提升:不要照搬照抄别人的体系,要清楚最根本的内涵,从小到大,了解背后的目的,践行着手由小见大。
顾骏:对CSO而言,书本知识是重要的,至少要读完一些安全管理方面的书籍,要把自己包装成专业人士,要和同行有共同语言。每个安全从业者都应该是具有好奇心的,要关心周围的各种事情,既要关心和安全相关的事情,也要关心看上去和安全无关的事情,CSO也应该是充满好奇心的人,不管好事坏事,习惯于拿来分析分析。实践经验同样重要,吃一堑长一智,很多经验都来自于自己或他人的血的教训。判断一个CSO是否称职的标准之一,就是看他在组织安全事件应急时的能力,他能在多长的时间内拿出应急方案,能协调落实多少控制措施,能在多长的时间内将措施落实到位。
黄承:理解并做到1、2、3,投入更多的精力熟悉业务和运营;简而言之,On Job Study。
君哥:实践、培训、看书。
李吉慧:自学、论坛、交流,加激情。
刘新凯:理论学习,实践经验和行业内的交流。
谭晓生:读书、参悟;参加培训班;同行交流;实践锻炼。
王彬:自主学习,与人交流,安全生态。另外,积极参加安在组织的各类线下活动与培训班是个很好获取知识和技能的方式,会更加综合和直观,比其他形式获取更加有效。
张嵩:CSO需要是一个高效和快速的学习者,任何有助于确定化聚焦的核心目标和时间的信息源,都应该被考虑,而不是通过某些限制了的渠道。这是一个高效学习者的基本素质,而不是一个CSO的基本素质。
什么人最容易进阶为CSO?
陈建:企业的安全负责人从专业技能上更有可能晋级为CSO,其他的如风险领域和IT运营领域、甚至财务条线的人也有机会走CSO这条路,因为CSO的核心技能是风险管理。
龚蔚:安全体系建设负责人,风控负责人,安全部经理。
顾骏:CSO之前的工作经历越多越好。安全工作一般可以覆盖到组织的方方面面,有时候CSO比组织的负责人管得还宽,经历过各种岗位就能和方方面面的人员有共同语言,就更能把握安全工作的方向。如果CSO只有信息安全的从业经历,只从安全的角度看问题可能导致不能全面考虑。
黄承:认知高度是格局建立的基础条件,能否成为CSO虽不完全取决于此,但成为什么样的CSO与此关系紧密,因为你不是一个人在战斗。
君哥:结果导向,轮岗。
李吉慧:业务连续性规划、审计和风险管理等方面的管理者;对信息技术和信息安全具有深入了解的管理者。
刘新凯:有安全技术背景的管理者,比较符合现阶段CSO的进阶路径。
谭晓生:信息安全总监;资深信息安全专家。
王彬:具有良好背景的安全从业人员、风控负责人、IT负责人、审计负责人、内控负责人都是CSO的候选人员。
张嵩:具备组织级影响力和推进力的,懂得企业风险管理与内控的核心逻辑(特别安全技术的专家很难往CSO级别发展)。
CSO职业发展的后续可能是什么?
陈建:CSO可能的路线会是往CRO或CIO方向走,如果创业可以尝试CEO。
龚蔚:安全专业投资高级咨询顾问,CTO,技术战略顾问。
黄承:CTO或者COO,或者….创业者?对于有CSO从业经验的人员而言,复刻是后续职业发展几种选择中最为容易的方式之一,COO是最大的挑战,创业者是小众、个人的狂热选择。
君哥:CRO、CEO、创业。
李吉慧:往CIO发展,或者战略投资人。
谭晓生:CEO,CTO。
张嵩:风险领域不断扩展的CSO,兼任安全领域的企业科技或者风险管理高管,安全产业公司的高管,安全投资领域。