任首席信息安全官(CISO)一職的人很少最后會晉升為首席信息官(CIO)，按道理CISO升CIO似乎順理成章。CISO歷史上歸CIO管，由于各種威脅因素的大幅增加，CISO角色的重要性也大大提高了。而且，由于安全問題已經成了董事會關注的東西，CISO經常要在去董事會和管理團隊會議上發(fā)言，這一方面顯示了CISO的重要性，同時也可以提升CISO的形象。

那么為什么CISO升遷CIO之路并不平坦呢?首先，CIO必須聚焦創(chuàng)新，也就是引入風險因素，而CISO的職責卻是管理或降低風險。當然這并不是說CISO就不能為公司進行重大創(chuàng)新，但CISO要聚焦風險管理，這肯定會成為限制CISO升遷的一個因素。此外，與其他與信息科技相關的職位角色相比，安全這個角色也相對孤立一些，而且信息科技部門缺乏領導角色也可以視為另一個限制因素。

CISO也有其正面因素，安全性的重要性在日益增加，公司爆出安全漏洞的案例越來越多，CISO在許多公司里已經和CIO平起平坐了。

[[347713]]

禮來公司(Eli Lilly)前首席信息安全官Wafaa Mamilli現(xiàn)在是Zoetis的首席信息數(shù)字官(圖：Zoetis)

CISO升遷為CIO的一個例子是Wafaa Mamilli，她現(xiàn)在是全球最大的動物保健公司Zoetis Inc.的執(zhí)行副總裁兼首席信息數(shù)字官。Wafaa Mamilli曾任禮來公司全球CISO一職三年，2016年2月被提升為禮來公司業(yè)務部全球首席信息官。

[[347714]]

Jason Ruger兼任聯(lián)想首席信息安全官及聯(lián)想摩托羅拉業(yè)務部首席信息官。(圖由Jason Ruger提供)

Jason Ruger是另一個例子，他既是聯(lián)想的全球CISO也是聯(lián)想摩托羅拉業(yè)務部門的CIO。

記者想知道Mamilli是如何從CISO升為CIO的，Mamilli稱聚焦使能業(yè)務策略是關鍵點。她表示，“我在我的整個職業(yè)生涯里，不管擔任什么職務都始終確保我的角色融合在業(yè)務策略和結果里。這樣做同時令我在業(yè)務和技術領域不斷學習。幾個領域的交匯處會發(fā)生神奇的事。”

她說她的CISO角色帶點“幸福的意外”味道，不過她很高興自己擔任過這個職位。她表示，“我當時完全沒有信息安全方面的經驗，公司要我負責。我知道這是因為我了解業(yè)務，也在全球各種職位和技術部門有好的聲譽。” 她認為CISO的角色對她來說是極好的學習機會，陡峭的學習曲線和豐富的經驗為她準備好了承擔現(xiàn)在的廣泛職責。

Jason Ruger身兼雙職，他必須平衡兩個角色，一方面，CIO希望從盡可能多的不同來源收集信息建立見解，另一方面，CISO的責任是將不同的來源分開處理，避免將多個數(shù)據(jù)源放在一起的視圖，因為如果這樣做的話會導致橫向動作及增加風險。Ruger表示，“我們的數(shù)據(jù)越多，再加上客戶從隱私角度出發(fā)選擇與我們共享的數(shù)據(jù)越多，為公司帶來的責任就越大。從CIO的角度來看，客戶與我們共享的數(shù)據(jù)越多，或者出于質量的角度需要確切知道是什么機器將特定零件焊接到哪些設備上而從生產線收集的數(shù)據(jù)越多，我作為首席信息官就可以更好地為公司做出決策。”

Mamilli認為，CISO角色始終需要將業(yè)務放在思考過程的中心。她表示，“要在安全性與便利性之間取得平衡，同時還要以適當?shù)牟椒崿F(xiàn)相關的創(chuàng)新，這幾點對一名CISO高管來說都很重要，CISO給的答案不能老是否定，有時的答案應該是肯定。”Mamilli在做目前職位的工作時借鑒了曾經主導她的職責的思維過程。她表示，“我在目前的CIDO的職位上對技術風險有了更深的體會，對安全性設計實現(xiàn)的體會也更深了，也更深地體會到要提高團隊技能真正使安全性和風險管理成為每個人的工作。”

Ruger發(fā)現(xiàn)擔任雙重角色有助于他更好地理解一些雙重需要，一方面要從網絡安全角度定位最重要的業(yè)務，另一方面也要從投資的角度定位最重要的業(yè)務。他還發(fā)現(xiàn)，同時擔任這兩個角色有助于他更好地從CISO的角度理解CIO，CIO從成本角度對系統(tǒng)進行優(yōu)先排序的方向是相反的。他表示，“我身為首席信息官，能了解首席信息安全官給首席信息官的壓力。首席信息官通常要承受很大的成本壓力。我們通常將本地計算和云計算混合在一起。這種系統(tǒng)該打補丁時有時不能及時打補丁。我們無法挑個時間停機，我們沒資源等等。而從CISO的角度又有助于我了解CIO的視角，能了解CIO如何確定需要打補丁系統(tǒng)的優(yōu)先級。我們需要確定哪些進行監(jiān)視和層的優(yōu)先級，我們不能同等對待所有數(shù)據(jù)。”

Mamilli認為，更多任職 CIO的人應該去做一做CISO，因為CISO技能是一項關鍵技能，不會很快消失。她表示，“我現(xiàn)在堅信，任何負責技術和數(shù)字技術的首席級高管職位都必須具有安全和風險管理敏銳度。這種敏銳度可以通過輪任各種職位獲取。我強烈建議那些想成為CIO、CIDO的人在職業(yè)生涯計劃里包括安全角色一項。”