隨著信息安全越來越受重視,CISO(首席信息安全官)這個(gè)崗位的重要性也日益顯現(xiàn)出來。要怎樣才能成為一位成功的CISO,并沒有固定的標(biāo)準(zhǔn)。但以人為鑒,可以取長補(bǔ)短,有利于長期的發(fā)展。
美國新思科技公司 (Synopsys, Nasdaq: SNPS)發(fā)布了首份CISO報(bào)告,總結(jié)分析了信息安全高管的工作模式以及公司變化對他們角色演變的影響。通過長達(dá)兩年的面對面訪談,該報(bào)告匯聚了大量真實(shí)數(shù)據(jù)。
CISO(首席信息安全官)報(bào)告基于信息安全高管的工作模式不同分為四個(gè)截然不同的群體,并稱之為“部落”(Tribes)。報(bào)告重點(diǎn)討論了四個(gè)部落在執(zhí)行安全計(jì)劃方面的不同之處,以及這些部落之間可以互相借鑒的地方,給信息安全高管提供一些啟發(fā),助力他們更好地發(fā)展職業(yè)生涯。
新思科技安全技術(shù)部副總裁Gary McGraw博士指出:“CISO有時(shí)會(huì)為思考自己的工作內(nèi)容和動(dòng)機(jī)而焦慮,包括要如何能夠表現(xiàn)得比其他同行更優(yōu)秀。毫無懸念,CISO這個(gè)角色并沒有一個(gè)普世的標(biāo)準(zhǔn)。但是他們有一些可以歸納分類的特征,我們以此對CISO進(jìn)行分組,方便理解和分析。我們相信只要CISO能夠參照其他部落中的同行,認(rèn)真審視自己的工作,一定能更加明確自身發(fā)展方向。”
CISO報(bào)告數(shù)據(jù)來自對全球大型企業(yè)的25位CISO開展的一系列面對面訪談,歷時(shí)兩年。這種方法與BSIMM項(xiàng)目類似。報(bào)告以18項(xiàng)要素為關(guān)鍵依據(jù)區(qū)分四個(gè)不同的部落,進(jìn)而對各個(gè)部落做出描述分析。
部落1:安全性作為使能器
部落2:安全性作為技術(shù)
部落3:安全性作為合規(guī)性
部落4:安全性作為成本中心
Jim Routh是美國醫(yī)療保險(xiǎn)公司Aetna的首席安全官,也是CISO報(bào)告的其中一位受訪者。他表示:“CISO報(bào)告提供了一份清晰明了且有說服力的指導(dǎo)框架,細(xì)述了世界上最微妙和最具挑戰(zhàn)性的工作崗位之一。CISO報(bào)告并不是簡單地衡量這個(gè)職位背后的某個(gè)人的功績,而是更全面透徹地剖析了一位CISO能夠取得成功的外在及內(nèi)在因素。對于商業(yè)領(lǐng)袖來說,確定哪些類型的CISO最適合于某特定時(shí)間點(diǎn)的業(yè)務(wù)需求是至關(guān)重要的。”
編者注
CISO報(bào)告由新思科技安全技術(shù)部副總裁Gary McGraw博士、新思科技首席科學(xué)家Sammy Migues博士和NetSuite基礎(chǔ)設(shè)施和安全部門副總裁Brian Chess博士共同撰寫。參加訪談的公司包括ADP人力資源服務(wù)公司、Aetna醫(yī)療保險(xiǎn)公司、Allergan制藥公司、美國銀行、思科、美國Citizens Bank、禮來醫(yī)藥公司、Facebook、美國聯(lián)邦國民抵押貸款協(xié)會(huì)、高盛、匯豐銀行、Human Longevity基因組學(xué)公司、摩根大通、LifeLock網(wǎng)絡(luò)身份信息保護(hù)公司、晨星評級(jí)機(jī)構(gòu)、星巴克和美國合眾銀行。這些受訪者累積了幾近150年的CISO工作經(jīng)驗(yàn)。