總部位于英國的獵頭機構(gòu)Intaso公司負(fù)責(zé)招聘首席信息安全官的主管Joe Head表示，在發(fā)布招聘首席信息安全官的廣告中，要求應(yīng)聘者會使用Python編程可能是對首席信息安全官職責(zé)的要求脫節(jié)的最離譜的一個例子。這個例子發(fā)生在幾年前，人們可能猜測，這一要求可能是不關(guān)心或不了解業(yè)務(wù)的技術(shù)專家要求創(chuàng)建的，或者是對技術(shù)了解不夠的商業(yè)人士要求創(chuàng)建的。

無論哪種情況，這種脫節(jié)都是真實存在的。然而，Head和其他專家表示，首席信息安全官在向首席執(zhí)行官和董事會匯報時，具有業(yè)務(wù)技能是最重要的。然而，這并不意味著大多數(shù)首席信息安全官對技術(shù)一無所知，因為大多數(shù)都有技術(shù)背景。

在由高管咨詢機構(gòu)Heidrick&Struggles公司進行的2022年首席信息安全官調(diào)查中，大多數(shù)首席信息安全官都具有反映時代問題的功能性IT背景(例如，2022年，10%的首席信息安全官具有軟件工程背景，并遵循美國政府關(guān)于保護軟件供應(yīng)鏈的指令)。該報告指出，大多數(shù)首席信息安全官都有金融服務(wù)行業(yè)的經(jīng)驗，而該行業(yè)的風(fēng)險承受能力較低，在安全方面花費的費用更多。

調(diào)查還表明，只有一小部分首席信息安全官(主要在財富500強企業(yè)工作)由于兼具業(yè)務(wù)和技術(shù)職責(zé)而晉升為董事會成員。在調(diào)查中，三分之二以上的首席信息安全官為市值超過50億美元的企業(yè)工作。因此，與其指責(zé)首席信息安全官缺乏IT技能，還不如為即將上任的技術(shù)人員培養(yǎng)業(yè)務(wù)技能。

期望的首席信息安全官人員、流程、技術(shù)技能組合可以有所不同

曾擔(dān)任一家財富50強公司首席信息安全官的Renee Guttmann建議說，“對于首席信息安全官的技術(shù)要求沒有一個標(biāo)準(zhǔn)的答案。我的建議是，首席信息安全官必須在新興技術(shù)、供應(yīng)商戰(zhàn)略方面保持最新狀態(tài)，并能夠確保技術(shù)項目及其實施不會給企業(yè)帶來更多風(fēng)險。”

由于絕大多數(shù)的首席信息安全官都具有技術(shù)背景，他們需要學(xué)習(xí)適當(dāng)?shù)臉I(yè)務(wù)領(lǐng)導(dǎo)能力和與利益相關(guān)者、首席執(zhí)行官、風(fēng)險投資公司、外部投資者、監(jiān)管機構(gòu)打交道所需的高級溝通技巧。Head說，“技術(shù)技能很重要，但在職業(yè)生涯的早期，需要磨練自己的業(yè)務(wù)技能，這樣你可以與各種各樣的人溝通，并了解業(yè)務(wù)的運作方式?！?/p>

他表示，在網(wǎng)絡(luò)安全方面不如美國成熟的英國，很難找到將技術(shù)和業(yè)務(wù)技能相結(jié)合的首席信息安全官，大多數(shù)首席信息安全官更類似于資深工程師。他建議求職者提高他們的業(yè)務(wù)技能，并補充說，“我看到的最成功的人是那些通過重返學(xué)校接受更多培訓(xùn)來提高業(yè)務(wù)技能的IT專業(yè)人士?！?/p>

其中的一個例子是Palo Alto Networks公司旗下Prisma Cloud公司首席安全官Bob West。他在20世紀(jì)80年代末就在花旗集團擔(dān)任高級系統(tǒng)主管，在向同齡人學(xué)習(xí)了業(yè)務(wù)技能的價值之后，他在20世紀(jì)90年代獲得了信息系統(tǒng)管理碩士學(xué)位，之后開始在摩根大通公司擔(dān)任安全架構(gòu)師。隨后，他晉升為其Bank One零售集團的首席信息安全官，之后，他又成為了Fifth Third銀行的首席信息安全官。

West表示，“技術(shù)技能對首席信息官來說很重要，但更重要的是要做一個可靠的領(lǐng)導(dǎo)者，并在領(lǐng)導(dǎo)團隊中發(fā)揮作用。重要的是要了解業(yè)務(wù)發(fā)展方向，以便其安全戰(zhàn)略應(yīng)與業(yè)務(wù)發(fā)展保持適當(dāng)?shù)囊恢?，建立和管理與領(lǐng)導(dǎo)團隊其他成員的關(guān)系。如果不是各領(lǐng)域的技術(shù)專家，那么也需要知道該問誰?！?/p>

想成為首席信息安全官：找到冠軍，成為冠軍

West建議希望成為首席信息安全官的專業(yè)人士可以與業(yè)務(wù)部門以及IT團隊的同行和領(lǐng)導(dǎo)者進行溝通。他以被他視為導(dǎo)師的企業(yè)領(lǐng)導(dǎo)者為例，這位老板是資深的技術(shù)領(lǐng)導(dǎo)者，但并不是安全專家。然而，他能夠修復(fù)別人無法修復(fù)的安全程序。West把他的導(dǎo)師的成功歸功于他擅長向企業(yè)領(lǐng)導(dǎo)層和董事會講述故事。她說，“當(dāng)他決定雇用我時，他對我說，‘你要知道如何講一個好故事，還要了解你的聽眾?！c董事會成員交談和與首席信息官或內(nèi)部審計師交談是不同的?！?/p>

Syntax2Semantics 公司顧問Barbara Filkins補充道，溝通始于積極傾聽。她也有技術(shù)背景，并逐步可以與醫(yī)療服務(wù)提供商和企業(yè)高管進行溝通或咨詢，與此同時獲得了SANS技術(shù)學(xué)院的信息安全管理碩士學(xué)位。她說，傾聽有助于更好地溝通，最重要的是，有助于了解需要在受保護的領(lǐng)域中解決什么問題，無論是醫(yī)療、航空還是水管理。Filkins在所有這些領(lǐng)域都工作過。

她解釋說，“作為成功的首席信息安全官確實是一種平衡的行為，因為首席信息安全官必須了解技術(shù)方面的內(nèi)容，這樣他們才能與技術(shù)人員進行溝通，并獲得他們的信任。他們還需要處理他們公司所面臨的規(guī)劃和業(yè)務(wù)問題，例如成本合理性、風(fēng)險管理等事情。并不是每個技術(shù)熟練的人都能傳達他們的專業(yè)知識，以及這些知識在哪些方面適合業(yè)務(wù)需求?！?/p>

首席信息安全官獲得成功有多種路徑

高管招聘機構(gòu)Alta Associates公司的全球網(wǎng)絡(luò)安全業(yè)務(wù)負(fù)責(zé)人Joyce Brocaglia表示，直到最近幾年，首席信息安全官的角色才從后臺職能提升為真正的管理層和業(yè)務(wù)推動者。即使這個職位和工作要求最終成熟，她也不相信現(xiàn)在或?qū)頃幸粋€“一刀切”的首席信息安全官職位。她解釋說，盡管頭銜可能相同，但角色、職責(zé)、報告結(jié)構(gòu)、員工數(shù)量、部門成熟度、支持文化和對成功的總體衡量都可能不同。

她解釋說:“這絕不僅僅是因為他們沒有正確的技術(shù)或管理技能這么簡單。有時候，擁有強大技術(shù)背景的首席信息安全官會傾向于雇傭比該職位所需技術(shù)水平更高的人。其他時候，招聘經(jīng)理和他們的同行或參與面試過程的關(guān)鍵利益相關(guān)者在職位描述和他們真正希望在該職位上實現(xiàn)的目標(biāo)上并不一致，所以Alta Associates公司幫助他們找到所需的平衡。”

據(jù)《財富》雜志報道，真正的首席信息安全官很少能拿到100萬美元甚至更多的薪酬。為了獲得成功，Guttmann建議未來的首席信息安全官參加業(yè)務(wù)培訓(xùn)，積極參加行業(yè)會議和活動。

Guttmann補充說:“首席信息安全官如果能重視了解企業(yè)文化、對其業(yè)務(wù)的威脅、如何為產(chǎn)品試點制定適當(dāng)?shù)臉?biāo)準(zhǔn)、實現(xiàn)的時間、系統(tǒng)依賴關(guān)系和長期運營需求，那就非常有價值。首席信息安全官能夠?qū)⑦@些數(shù)據(jù)打包提供給利益相關(guān)者和高管，并獲得支持和資金，這是值得稱道的?！?/p>