安全一直都是企业建设的重要环节,随着企业安全受重视的程度越来越高,安全的幕后推手CISO也越来越为人所熟知,那么CISO具体工作究竟是什么,具备哪些素质才能成为CISO,CISO又是如何来保证企业安全的呢?关于以上问题,【WOT2016企业安全技术峰会】特邀讲师、联想集团IT安全总监李涛老师将为我们细细讲解。
【嘉宾简介】
李涛,联想集团IT安全总监,主要负责全球信息安全。曾供职于IBM, Cisco, PwC 以及多家海外金融机构,有着丰富的IT从业经验。
什么是CISO?
CISO翻译成中文就是***信息安全官,全权负责机构内信息安全工作。包括对信息安全风险进行评估,制定安全政策和标准,落实控制手段,监督合规和政策执行,有效降低安全风险。李涛老师显然对CISO这个词有着更深层次的理解。李涛老师表示CISO不只是一个职业,更是一场关乎企业生存的挑战。企业的安全防线被攻破是不可避免的,CISO就像生活在刀尖上的,始终都要保持***状态以迎接随时出现的挑战。
CISO应该具备的素质
CISO是一个集技术与管理于一身的综合性职位。编程、网络、软件工程、Web安全、OS安全等等都是CISO必备的技术修养。除此之外作为一个管理者,CISO还必须善于倾听和学习,知人善任,能够在下属中建立威望和凭借良好的沟通解决业务困难。
CISO的日常
“安全这件事是一个日积月累的工作,不是某一天的一个亮点,安全要在每一天的具体工作中稳步推进”。在问及CISO日常工作的时候,李涛老师是这样回答的。相比较企业内的其他工作,CISO每天要做的事情相对复杂的多,而且比较琐碎。什么事情需要排在***位,什么事情需要在***时间处理,什么事情需要***时间响应,都是CISO必须要考虑的问题。除此之外新技术、政策法规、威胁趋势变化,业务需求和安全平衡等也都是他们需要考虑的事情。
CISO的脑图
如何做好CISO
安全圈里流传着这样一句话:没有安全事故的时候安全工作就显示不出价值。众所周知,安全是不够直接产出经济效益的,所以安全部门在一定程度上会被忽视,那么作为安全部门领导的CISO应该如何做才能让企业高层重视安全建设呢?李涛老师给出的答案很简单:有效沟通!
有效沟通小妙招:
- 放弃缩写。不要再在报告中写什么ATP,DDoS了,并不是所有人都能看得懂你简明扼要的缩写,所以有效沟通的***步就是抛弃这些专有名词的缩写,把它们用简单的话描述出来,这样比较容易被别人接受。
- 有图有真相。相较于文字来说,图片的表达能力似乎更强一些,更容易被理解。密密麻麻的文字总是让人没有读下去的欲望,尤其是一些技术类的,如果能用一些图片来代替是再好不过的了。
- 简单类比。有一些安全技术对于非安全人士来说理解是可能会有一些困难,但是如果把这些技术用类比的方式讲述,就可以把彼此之间的沟通距离拉的更近。
- 数字说话。数字是最直观的表现形式,公司的高层关注重点是业务如何快速增长,每天的现金流和利润,而数字无疑是说明这些的***方式,一旦安全问题会影响这些数字的变化,那么跟高层解释起来就会比较容易被接受了。
CISO还要善于利用成熟易懂的安全框架去向管理层清晰阐述安全工作态势,获取支持,持续推动安全工作的改进。
写在***
采访到***,张涛老师说道:“未来的企业安全会越来越好。现在在安全圈里有很多专注解决某些安全业务痛点的初创企业,这是一个很好地趋势,这说明越来越多的人在关注企业安全这件事,相比于几年前实在是进步了很多。我希望以后IT圈能有更多的活动来增强安全意识,让安全意识驻扎在每一个人的心中。”