要說服別人前，先擦亮自己

CISO作為營運領袖還不夠，更必須具備風險管理技能。

就從我結交過許多CISO的朋友開始說起吧！加上與CISO們許多重要的生意往來、必須向CISO報告，加上本身曾任CISO的經驗。
過去5年，我看到的趨勢讓我相信，CISO這個角色必須有所調整和改變，才能符合現今環境的需求，假使他們無法體認到這點，不久將來，可能會開始為這個職責的方向感到困惑。
大多數我遇過的CISO都會嘗試與實務操作的員工，共同建立與維護他們的企業王國，諸如防火牆管理員、入侵防禦專家、鑑識分析師等。然而，在大多數的IT組織中，他們的營運團隊通常都早已到位，肩負網路基礎架構、伺服器與電腦管理、 應用發展、維護及其它範疇等。當安全已有了雛型—從
適當的教育訓練，至每個IT 專家都必須對重要事件有所意識；對營運團隊中與安全相關的部分，採取戰略方法，移入相關職務，顯得更加合理。但對於企圖贏得這場人頭戰的安全經理人來說，這將是一場失敗的搏鬥。
即使是在有較多安全人員的大型組織中，許多CISO僅擁有一點點政策上的權力。研究指出，原因乃出自於對資訊安全管理任務的定義不清。去年，Gartner發表的研究報告—有關CISO最棘手的5項議題；首要問題即是，CISO究竟該向誰報告？又是輪到誰該向CISO報告？大部分的組織會把CISO一職歸於IT體系中，這樣一來必然導致CISO變成另一個操作員；跟爭取預算的戰略一樣，要從營運管理部門中，爭取到更多的員工數及注意力，也需要戰略。
漸漸地，資安運作將移至IT的其他領域。網路入侵防禦和防火牆管理將歸納至網路運作，主機強化和檔案完整性監控將移至系統管理下，而應用安全則
將成為開發團隊的職責。如此一來，CISO和其他安全經理人將被安置於何方？CISO要如何成為真正的謀略者，又不淪為只是IT營運中的一個安全領航員？
過去幾年來，我們已聽到CISO需要改善他們的營運技能。但現今許多安全經理人還有另一個更迫切的養成需求—風險管理。當法規遵從的提倡，在企業文化中愈來愈根深蒂固，安全在大多數的IT紀律中就愈不可或缺；企業內部需要「可信賴的提議者」，能將
IT要做的事情、細部的差異，翻成「白話文」進入真正的風險評估；例如，「購買安全控制這件事已經成為理所當然的基本消費」，或「它只是基於科技使用的觀點或興趣而已」。安全管理在設計(design)和履行
(implementation)時，需要更多可實行的理由，也需要 一個更堅固的基礎架構，來影響營運的決策方向，並解釋安全何以在營運戰略中是不可或缺的。
我一位友人，同時本身也是CISO，他把這種情形解釋的很好。他認為CISO其實應該被稱為CRO—Chief Risk Officer；或者應該向某職位報告，而此職位的主要職責必須是政策管理—建立指導方針與政策，適切衡量組織的風險承受能力；然後對營運管理部門產生作用，以確保政策是被支持的。現今，資安業者談了很多與政策相關的議題，但我們傾向於忽略掉那些危急且複雜的風險分析因素。除非，今天CISO已通曉這項重要技能的養成，而且善於向更高管理層級溝通，否則CISO這個我們熟悉的角色，也許將成為歷史人物。