CISO的必備絕活

沒有任何一位CISO具有相同的背景，但是成功者卻都有相似的能力。

　　在過去十年間，有不少招募資訊安全人員的經驗，我最常詢問的一個問題是：「你認為該如何成為一位資訊安全長？」不幸的是，這是個最難回答的問題。

　　如果你向一百位CISO（資訊安全長）請教，了解他們是如何到達這個工作位置的，他們可能會告訴你一百種不同的途徑。雖然如此，其中也出現了一些共同點：舉例來說，僅有少數的CISO是因為專門在資訊安全領域工作，才擔任現在的職務，而有一些人則是具備一般資訊科技、實體安全、財務、法務、行銷，甚至是人力資源的背景。

　　有許多位已經在資訊安全領域工作很長的一段時間，不過這是我試著忘記資訊安全產業僅發展了十年左右，相對於像是財務與業務等企業中的其他工作而言，這其實只是一段相當短的時間。在其他各種專業中，大多數職務的生涯規劃幾乎已經被定型了，差不多所有的CFO（財務長）與業務副總裁都符合某些必要的條件，但是在資訊安全這個業界，我們並沒有足夠的時間來發展這些要件，而且企業對於資訊安全也有許多不同的看法，因此依據不同的特定需求，也會有他們自己的重點要求。

　　在我的經驗之中，我整理了一些與所有資深資訊安全職務的相關需求：

理念

　　當企業尋找資訊安全領導者時，通常是第一次進行這個工作：企業希望尋找能夠規劃企業發展藍圖的管理者，必須能夠實行公司的核心事業，以及對資訊安全團隊所扮演的角色有清楚想法，這是一件相當重要的事。在大多數的例子中，公司將會尋找一位已經在另一家公司成功施行理念，或是已在同產業公司中成功實行安全計畫的人。

資訊安全知識的範圍

　　這也是一個很明顯的考量，公司會注意他們的資訊安全領導者是否能回答所有關於資訊安全的問題，無論是技術上、人員上、程序上或規範上的議題，CISO被期待能夠解決上述這些角度的各種問題。商場上需要一位在資訊安全產業建立絕佳基礎的人，並具備解決資訊安全相關問題的能力。此外，當組織在聘用CISO時，他們傳統上會尋找能夠解決組織目前所面對的問題，以及能在問題發生之前便將其解決的人。

溝通

　　溝通不僅是最難被評估的能力，也是最難擁有的能力。CISO必須為企業內不同部門服務，並且需要與不同層級與不同技術能力層次的人溝通，他們必須能夠在管理層級的上下階層中，有效率地解釋自己的想法。成功的CI SO是那些能夠獲得技術人員尊重，並能夠對事業部門領導者解釋安全控制好處的人。

　　在面試的過程中，有可能成為CISO的人，被組織內不同功能的代表者面談是相當常見的事，在這些會談中，候選者能夠獲得共事者的認同與良好觀感，也是相當重要的事，如果互動相當成功，代表著CISO擁有卓越的理解能力，並能夠了解所有共事者的複雜需求。

執行力與領導能力

　　當談到理念時，能夠展開有效率的資訊安全計劃，只是代表這場戰鬥僅完成一半而已。CISO被期待能夠安排他們的計畫，並面對反對者來實際執行計畫，他們需要了解如何規劃預算、建立有效率的員工團隊、做技術上的選擇，以及向執行管理階層報告並解決問題。

　　公司期望他們的領導者能夠帶領大家，一個有效率的CISO將會了解該如何取得專屬與共享的資源，公司會希望CISO能夠與其他的事業單位建立對等的夥伴關係，並驅使他們能夠接受並用心投入資訊安全工作。在觀念上則是將其概念認知轉移給其他的事業功能單位，而並非只是約束他們。

熱情

　　這似乎是另一個很顯著的要點，但實際上有很大的差異，對於新的規定，資訊安全並不見得能被企業架構中的對等部門接受，具有熱情的領導者必須能夠協助減緩這個問題。有句話經常用於描寫資訊安全工作：資訊安全是一種當你工作做的很好時，但沒人認同的職業，但當做的不好時，又會成為千夫所指的焦點。CISO是最大的標靶，一旦失敗時，將會對企業造成嚴重的公共危機。

　　能在日常的基礎工作中帶動熱情的CISO，必須有效率地讓公司其他部門發展出長期的重視，這是在公司內實行他們的策略所必須的條件。這是一種跨功能性部門的支援，通常能讓組織更具安全意識，這將可保護這些組織不會成為媒體的頭條焦點。

　　當我們要求資訊安全專業人員列出他的職場生涯目標時，成為一位CISO通常會出現在列表的最上端，由於對這個行業的認同已經逐漸被企業所接受，並可從執行管理階層得到更多資源，將產生出更多資訊安全領導職務的需求，且合格的資訊安全人員數量也會隨之增加。隨著這些受歡迎職務的競爭性持續提高，CISO候選人的重要性也將日漸升高，只要你努力發展上述這些技能與相關的專業能力，相信你最終將可成功地擔任這個職務。

Lee J. Kushner是LJ Kushner and Associates這家專職於資訊安全人員招募公司的創辦人與執行長。