在过去15年里，Renee Guttmann一直在财富500强企业领导安全和风险管理项目。Guttmann曾担任Gartner高级研究分析师，她现在仍然是全球信息安全社区的活跃成员，在本文中，她与安全及隐私领域的同行们和供应商们分享了她来之不易的建议和技术指导。

在她非凡的职业生涯中，Guttmann曾分别担任可口可乐公司、时代公司和时代华纳公司（合并后）以及Capital One公司的首席安全架构师、首席信息官（CISO）和副总裁。目前，她是信息安全服务公司Accuvant公司CISO办公室副总裁。CISO的生活到底是怎样的？为此Marcus Ranum采访了Guttmann，询问她应对全球信息安全和隐私项目永无止境的挑战所需要的领导力和核心技能。

MARCUS RANUM：对于信息安全从业人员，CISO位于金字塔的顶端。我们的观念和现实相符吗？我听到了很多人谈论CISO的工作就是‘向董事会呈现数据指标’之类的事情。但你的工作真的是这样吗？你怎么安排你的时间？

RENEE GUTTMANN：对于大多数大型企业，信息安全问题已经上升到应引起董事会关注的层面。这是一个瞬息万变的环境，我们面对着各种恶意动机的群体，从有组织的犯罪、寻求竞争优势的民族国家和公司，到攻击品牌的网络积极分子。

向董事会报告数据指标是非常有必要的，这样可以量化和简化企业及其业主所面临的的风险情况。

但我真正的时间都花在创建、‘沟通’和部署战略，来积极管理企业面临的潜在风险。在你制定好战略并获得主要利益相关者的支持后，如果部署进展顺利的话，向董事会和其他人提供有意义的数据指标成了相对简单的任务。我想说，在信息安全领域工作这么多年，担任几家大公司的首位CISO给我带来令人难以置信的回报。

安全从业人员如何为CISO职位做好准备？你认为成功的CISO需要的核心技能是什么？你如何获取这些技能？

并没有万能的技能。我认识从未在信息安全领域工作过的CISO，并且他们都是优秀的企业领袖。我从事过信息安全领域各个层次的工作，我认为现在最重要的技能是能够将信息安全和风险管理转化为让其他人理解的信息。

安全从业人员需要积极参与更广泛的信息安全社区—分享想法和经验教训。Larry Boosidy将这称为“厚着脸皮地偷”，毕竟利用其他地方的好想法并没有坏处。

当你刚开始你的职业生涯时，与其他杰出的CISO共处一室会很恐怖，但作为一个有抱负的CISO，这可能是你可以做的最重要的事情之一，要知道，与成功的同行在一起绝对没有坏处。

你必须愿意接受新想法、愿意改变以及成为一个变革者。在达尔文的《物种起源》中，我最喜欢的理论之一是：生存下来的不是那些最强壮或最聪明的，而是那些适应力最好的。如果你不适应变化，可能很难成为CISO。

如果企业沦为攻击目标，CISO发挥怎样的作用？如果发生数据泄露事故，你是否需要承担责任？

我们都知道，每当出现网络放缓的情况时，肯定有一个错误配置的安全设备。好啦，我是在开玩笑。我并不喜欢指责的游戏，但我认为，当问题出现在其工作职责内时，CISO需要承担责任。

另一方面是确保在问题发生之前发现风险，CISO需要负责确保企业清楚这个潜在风险，并妥善处理它—即使这意味着失去一些支持。当然，我们有不同的方法来管理风险，包括接受风险。利益相关者需要参与进来，并且，我觉得目标应该不是局限于个人关注的内容。

我有时听到信息安全从业人员谈论说，通过让业务部门对某些工作签字确认来管理风险—如果发生泄漏事故者可以转移责任或保护他们免受谴责。但我觉得这不实际，我也从没有尝试过。你觉得呢？

而且这并没有那么容易。即使一个业务部门领导签字，如果出现重大后果，他们可能会说他们并没有真正理解这个问题。这就是说，信息安全的工作是管理风险，而CISO必须要更加实际。我建议清楚明确各自的职责。

例如：‘我们不会允许网站包含让攻击者可以很容易地从数据库窃取个人数据的漏洞。’同样重要的是，让高层领导支持这些‘职责分配’。并且，最终，人们知道他们不能推出不安全的网站。

还有一个好办法是建立一个跨职能管理团队（包括从业人员和高层领导）来帮助评估和接受信息安全风险。你不希望将每次例外都标记为异常，所以CISO需要帮助这个管理团队来确定政策的合理例外情况。例如，企业可能允许网站存在低风险问题，并计划在90天内解决这些问题。你和你的团队必须实事求是，毕竟没有绝对安全的事情。

请继续阅读《作为企业CISO 你合格吗？（下）》