【編者按】談到數(shù)據(jù)泄露,，總有人要為之負責，要么是CISO,，要么是CIO,，要么是CEO。一旦發(fā)生數(shù)據(jù)泄露,，客戶或其他利益相關者就會在與該公司打交道時要謹慎得多,；而處理安全合規(guī)事故往往意味著要做出極為艱難的決定。問題是：這其中,，CISO的位置在哪里,？

本文首發(fā)于安全牛公眾號，作者nana,；經(jīng)億歐編輯,，供行業(yè)人士參考。

首席信息安全官(CISO)的角色職能無疑正在改變,。這一角色如今不僅僅要擔負更多責任,，與之相關的風險的增加也將這一職位拉入了公司董事會及整個公司的聚光燈下。

如今我們隨隨便便就能回想起來的大量數(shù)據(jù)泄露案例表明網(wǎng)絡安全失誤有可能是致命的；重大數(shù)據(jù)泄露摧毀的不僅僅是公司的業(yè)務,，還有公司聲譽,、品牌和未來。

CISO時代

盡管如今CISO的風險人盡皆知,，無數(shù)公司企業(yè)越來越意識到聘用專人負責處理網(wǎng)絡威脅的價值——無論這是因為他們擁有正確的信息安全思維,，還是因為合規(guī)、風險和監(jiān)管的壓力越來越大,。

過去幾年里,，CISO的角色已經(jīng)超越了其傳統(tǒng)職能和核心任務，不再只是專攻開發(fā),、部署與維護信息安全項目,，以及保護公司存儲和處理的所有數(shù)據(jù)。如今的CISO角色更加多元和完整,，要識別整個公司的風險,，提升員工對數(shù)據(jù)泄露影響的認知，還要直接向董事會而不是CIO或CTO報告,，其視野和責任都增加了,。

CISO的基本素質(zhì)

勤奮、細心和有風險意識是CISO角色的三個主要特征,。雖然各家公司對CISO的要求不同,，但非常了解公司全局風險是CISO必備素質(zhì)。想要跟上不斷發(fā)展演變的威脅態(tài)勢,，就得持續(xù)管理和維持對新威脅的識別和部署好新的規(guī)程,。

良好的溝通能力和對不同受眾的理解能力也是關鍵，向不懂技術(shù)的董事會解釋威脅或解決方案沒用,，讓董事會站在支持網(wǎng)絡安全工作的一邊才是重點,。董事會想要聽到的是經(jīng)濟影響，CISO不應該對網(wǎng)絡安全事件的經(jīng)濟后果避而不談,。摒棄不必要的技術(shù)術(shù)語也是CISO應具備的一項基本素質(zhì),，因為董事會需要充分了解網(wǎng)絡風險如今影響重大，需要投以必要的時間與關注,。

聚焦數(shù)據(jù)而不是網(wǎng)絡

技術(shù)決策對公司安全至關重要,。大量攻擊技術(shù)不僅僅能滲透公司網(wǎng)絡，還會摧毀公司網(wǎng)絡,。因此,，公司企業(yè)必須認真思考落腳于數(shù)據(jù)上的信息保障(IA)。只有理解了數(shù)據(jù)泄露的敏感性和風險,，CISO才能真正關注保護數(shù)據(jù)本身的技術(shù)決策而不僅僅是承載數(shù)據(jù)的網(wǎng)絡——因為網(wǎng)絡被入侵時真正面臨風險的是數(shù)據(jù),，而我們都知道數(shù)據(jù)泄露的后果,。

必須要讓公司里各個角色各司其職。職責劃分能避免各角色間相互掣肘,，推升問責度,，減少潛在錯誤，避免非必要人員訪問網(wǎng)絡設備的安全配置,。這種職責上的劃分也需要通過采用疊加安全狀態(tài)從技術(shù)本身加以實施,，要具備擴展到所有自有或非自有網(wǎng)絡的靈活性和敏捷性，同時確保網(wǎng)絡調(diào)整或被黑時對安全狀況沒有任何影響,。每個CISO都應深刻理解這一點的重要性,。

從上至下

雖然正確的安全思維必須由上而下，實際上這一思維還需根植到公司內(nèi)所有安全操作中,；不僅僅是安全團隊要具備,，法律、財務甚至市場營銷部門都需要有安全思維,。保護整個公司網(wǎng)絡安全的責任落在CISO身上,，但網(wǎng)絡安全失敗的災難性風險意味著董事會應充分考慮網(wǎng)絡安全事宜，將之作為實現(xiàn)業(yè)務目標的首要任務來做,。