周六,愉快的加班生活又开始了……
从资产盘点到漏洞修补,包括优先级安全计划的编写、安全工具的衡量、半年期安全报告等,忙碌了一上午,好不容易到了午休时分,答应部门员工的“上分活动”又怎能失信于人?于是,拿起我尊贵的“坚韧黑铁”,在索隆和香吉士的鄙视下,我们开始了LOL的征战旅程。
也许是因为好不容易能将“加班的邪火”一泻而出,两位部门员工的“谩骂声”可谓此起彼伏,又也许是因为家庭无法给予老王的温暖,只能让他在公司里寻找,以至于每次加班都能发现他的身影,怎一个敬业了得!于最后一声“你再去送几个呗,索性让我们4打6”中,老王不合时宜地出现在了我们部门办公室的门口,眼神中依稀吐露着这么句话:你们还当这里是公司吗?
然而,转化到了老王的口中,就只是淡淡的一句:“小杨啊,来我办公室一趟。”哈,真是游戏、职场两失意啊……
突如其来的敲打
告别了员工们幸灾乐祸外加庆幸的嬉笑声,我又迎来了老王满脸的恨铁不成钢。“小杨啊,和员工们打成一片是好事,但还是要注意尺度,这所谓午休,是让你们好好休息的,养精蓄锐之后才能应对下午的工作,你说是不是这道理?”
“领导,那俩小伙子都朝气勃勃的,哪需要什么午休,倒是每周的加班确实熬人,就让他们多娱乐娱乐吧,不碍事的。对了,我们要不组个游戏战队?将所有周末加班的员工都召集起来?这样一方面可以提……”
看到老王的脸色愈发阴沉,我也就没再继续下去,随后便听到眯缝起双眼的老王悠悠而语:“小杨啊,最近很多报道不知你看了没有,你可知当下市面上突然出现了很多优秀的安全人员?……他们会的可不仅仅是技术,包括各种软技能和综合素质……当然,优秀的安全负责人也变多了,各家都有去面试的……像前几天,集团就又面试了新的CISO。你知道现在的面试要求吗?我听了都觉得稀奇,已经远远超过几年前,都不是一个概念的了……所以啊,经济下行,没办法,各家都在裁员,逼得优秀的人才到处奔波……那在这种情况下,我们是不是得加班?只有争取做得比别人多,我们才能稳步前进,你说是吧?”
老王你就别来这一套了吧,我还不知道你这几句话是啥意思?碰着平日里,我也就奉承几句算过了,今天哥们都从黑铁三掉回黑铁四了,我还维持高情商的人设?“真的吗,领导?集团又换CISO啦?现在安全负责人的面试要求都成啥样啦?您给介绍介绍呗?”
很明显是没料到我会真的问出口吧?我看你老王也是情急之下,不得不“假装”翻阅手机吧?
对安全负责人全新的面试要求
让人万万没想到的是,老王真的开始起了介绍:“现在许多公司是这样的,他们将网络安全负责人定义成了双重角色,即内部角色和外部角色。内部角色相对容易解释,就是管理安全部门,主要是为企业设计网络安全决策。而外部角色则要复杂得多,其包括与所有其他业务部门负责人互动,并说服各领导层接受安全政策;还包括向客户解释安全政策或为意外的安全事件道歉;此外,外部角色还包括与其他高级管理人员,比如CIO、CFO、COO、CEO,以及董事会的互动。有时,安全负责人还需要和网络保险公司进行沟通,当然这部分占比较低。考虑到安全负责人在处理内部和外部事物时的分配比例,大多数公司都希望安全负责人能将主要时间花在外部角色上,这也就意味着安全负责人必须雇佣更多的副手来负责日常的安全运营。”
真“提莫”无语,这老王不知道哪里弄来的小道消息,还真被他卖弄得头头是道的。不等我有所回应,老王又“自说自话”道:“像这次集团面试时提出的要求就很明确,CISO必须充分掌握所有网络安全相关事项,在此基础上,CISO还必须具备出色的说服力和沟通技巧,以及对业务和每个业务部门的深入了解。什么意思呢?就是说CISO必须要能精通网络安全所有的细节,以便能够简化概念并向董事会作出解释,要做到既精确又准确,用简洁、易懂的方式提供所有必要信息。换言之,现在很多大型企业在招聘CISO时,他们优先会考虑CISO的领导能力和CISO能说服董事会的能力,以及CISO在网络安全政策方面强大的执行力。再比如国外安全专家说了,CISO是如何理解风险的?这点对公司而言成了重中之重。”
不是,读国外报道就读国外报道呗,老扯什么集团招聘干嘛?集团有没有招新的CISO,我能不知道?我这365天的盯梢是白瞎的吗?
再看老王,他可是越说越来劲了,甚至还介绍起了案例:“现在几乎没有什么企业会把CISO或说安全负责人当做纯的技术专家。就像Change Healthcare事件发生后,美国参议员说的那样:‘联合健康集团的安全负责人根本无法胜任这项工作,尽管该名CISO在科技领域拥有数十年的工作经验,但网络安全是一个专业领域,需要特定的专业知识。正如不应聘请心脏外科医生进行脑外科手术一样,医疗保健公司的网络安全主管也不应是其首次担任网络安全职务的人员。’什么意思?就是说企业不应该将CISO角色视为安全运营中心的主管或监督加密战略的存在,CISO已经发展成为了一个更为广泛的角色,而技术技能只是CISO的一部分,而且企业只需要适当的技术能力。”
个人感觉,我要是再不说点什么,实在是对不起自己“安全人员”的身份。于是我感叹道:“是,更为广泛的角色,多动听的形容啊。网络安全、信息技术、数据隐私、人工智能、治理、风险、合规和业务,CISO最好是超人,什么都会点,只能说当超人真的好难,如果超人会飞……算了。就像安全负责人并不是律师,但公司却希望我们能够解释、遵守无数的框架、行业标准和法律法规。每天的日常工作都忙得停不下来,连加班都是急不可待的,又哪来足够的时间跟进这些学识?还说什么要求适当的技术,黑客攻击在不断升级,我们要不要迭代上日新月异的防御技术?即要求我们得懂技术,又需要我们能成为出色的管理者,能够管理供应商、员工、承包商、法律顾问和领导层,试问公司内部除了CISO,又有谁需要做到这所有?这世上又有谁真的能做到这所有?”
这一刻,我和老王似乎都忘了这段对话的开端在哪里,又是什么促使了彼此“谈霏玉屑”。半响,老王和我都没再言语。办公桌那边的他静静地看着手机,而我则在思考“也许是到了下载BOSS直聘的时候了”……这就叫一失足成千古恨,一不小心竟把牢骚发了出来……
一些建议
“小杨啊,你说得对,确实为难你们了……”只能说沉默之后,安慰来得太突然,竟一时让我感到无措。“这里有些建议,额……就是这篇报导说了,安全负责人最好不要过度依赖证书,要尽可能掌握多样化的经验。其次,安全负责人最好多去了解业务部门的工作方式和他们所要面临的挑战。这点你做得不错,我看你平时总和小李他们开会,这几年公司内部确实越来越多开始自发地支持安全实践了,你是怎么做到的?”
“哈哈,其实没什么,就是总和他们商量奖金补偿计划。我们常会将补偿计划集中在目标和目的,以及可能的百分比之上。在谈论安全目标时,我会将重心放在‘如何帮助业务部门获得相应的奖金’……当然,真正离不开的还是领导您的支持,每次计划审批您都会第一时间通过。”
“哦,原来是那个啊,这也没什么……”老王点了点头,继续说道:“小杨啊,以后还要学会和董事会沟通,这可能比较难,但也是必要的。主要董事会成员大多不懂技术,更不要说网络安全了。我们必须让集团董事会知晓‘为什么我们的安全规划对公司来说是最好的’,这样他们才肯批预算,你明白我的意思不?”
“明白、明白……”老王要带我一起去面见集团董事会?这可是“鲤鱼跃龙门”的好机会啊!
“而无论如何,业务总是最关键的,这我相信你比我更清楚,我记得你说过,这是你们安全圈子里老生常谈的话题了。”就这么和老王之间有一句没一句的聊着,总感觉后半程的老王并不是真的在建议,而是想找我说说话,听听我的想法……又或许,是我们之前“上分”时,没有叫上始终陪着我们一起加班的他,所以才有了今天的对话。
安全人员的成长道路
回到办公室时,索隆和香吉士早已回归在了焚膏继晷的第一线。见我若有所思,他们也一改往日的“淘气”,不禁问道:“是游戏的事?以后不打就是了。老大你放心,他要惩罚你,我们甘愿同受。”
被他们这一腔热血打乱了思绪,我连忙做作道:“和你们无关。问你们个问题,你们觉得安全负责人或说安全人员该具备哪些特质?”
索隆和香吉士面面相觑,然后先后回道:“全栈的技术体系能力是最基本的吧?要以业务为中心,包括目标、资源、流程、风险、核心竞争力等。只有了解业务,才能做好业务的支撑,是这样不?”“要是安全负责人的话,还需要通用的管理能力、项目能力、产品能力、沟通协作能力,要会计算预算、成本、投入回报比等等。”
“说得很好。但最重要的是,安全人员需要具备全局的知识架构和践经验。显性知识体系有很多路径,比如学历、证书、体系化的学习等,而隐性知识则需要长期沉浸、萃取、提炼、抽样、总结,形成自己的全局的安全观,并且持续学习,维持知识库的更新。关于经验,很多时候需要创造机会去体验和历练,当然,分享传承的案例和实践书籍都是成长路上不可或缺的精神食粮。”将我脑中方才的一些想法,以及业内知名专家的话语融汇贯通,我说出了这番总结,以至于索隆和香吉士愈发莫名,不知道我唱的这是哪出。
“如果你们想成为安全负责人,首先就要具备安全或泛安全如风控合规审计方面专业基础,同时对于人员管理方面需要有足够的理论,这也包括了实践积累。你们要知道,网络安全工作涉及多机构、多部门、多角色,涉及业务、数据、平台、运营等多各环节,因此你们想要成为安全负责人,就需要面面俱到……”
不等我说完,索隆便怒气冲冲道:“老王他什么意思?难道要开除老大吗?!”
不顾他们俩质疑的眼神,我继续说道:“具有‘技术安全’的实操能力,再辅以‘管理安全’的系统思维,研究学习所有安全相关的‘法律法规’,脑中牢记以业务为中心,这样你们就能成为合格的安全负责人……”看着他们越发炙热的眼神,我潇洒一笑:“至于老大我……也许不久的将来,我将会成为集团的CISO,希望你们到时……诶诶,你们这啥意思?都不信是吧?老王已经说了,下周就带我去面见董事会……”
END
点击这里阅读原文
