【編者按】談到數據泄露，總有人要為之負責,，要么是CISO,，要么是CIO，要么是CEO,。一旦發(fā)生數據泄露,，客戶或其他利益相關者就會在與該公司打交道時要謹慎得多；而處理安全合規(guī)事故往往意味著要做出極為艱難的決定,。問題是：這其中,，CISO的位置在哪里？

本文首發(fā)于安全牛公眾號,，作者nana,；經億歐編輯，供行業(yè)人士參考,。

首席信息安全官(CISO)的角色職能無疑正在改變,。這一角色如今不僅僅要擔負更多責任，與之相關的風險的增加也將這一職位拉入了公司董事會及整個公司的聚光燈下,。

如今我們隨隨便便就能回想起來的大量數據泄露案例表明網絡安全失誤有可能是致命的,；重大數據泄露摧毀的不僅僅是公司的業(yè)務，還有公司聲譽,、品牌和未來,。

CISO時代

盡管如今CISO的風險人盡皆知，無數公司企業(yè)越來越意識到聘用專人負責處理網絡威脅的價值——無論這是因為他們擁有正確的信息安全思維,，還是因為合規(guī),、風險和監(jiān)管的壓力越來越大。

過去幾年里,，CISO的角色已經超越了其傳統(tǒng)職能和核心任務,，不再只是專攻開發(fā)、部署與維護信息安全項目,，以及保護公司存儲和處理的所有數據,。如今的CISO角色更加多元和完整，要識別整個公司的風險,，提升員工對數據泄露影響的認知,，還要直接向董事會而不是CIO或CTO報告，其視野和責任都增加了,。

CISO的基本素質

勤奮,、細心和有風險意識是CISO角色的三個主要特征。雖然各家公司對CISO的要求不同,，但非常了解公司全局風險是CISO必備素質,。想要跟上不斷發(fā)展演變的威脅態(tài)勢,，就得持續(xù)管理和維持對新威脅的識別和部署好新的規(guī)程。

良好的溝通能力和對不同受眾的理解能力也是關鍵,，向不懂技術的董事會解釋威脅或解決方案沒用，讓董事會站在支持網絡安全工作的一邊才是重點,。董事會想要聽到的是經濟影響,，CISO不應該對網絡安全事件的經濟后果避而不談。摒棄不必要的技術術語也是CISO應具備的一項基本素質,，因為董事會需要充分了解網絡風險如今影響重大,，需要投以必要的時間與關注。

聚焦數據而不是網絡

技術決策對公司安全至關重要,。大量攻擊技術不僅僅能滲透公司網絡,，還會摧毀公司網絡。因此,，公司企業(yè)必須認真思考落腳于數據上的信息保障(IA),。只有理解了數據泄露的敏感性和風險，CISO才能真正關注保護數據本身的技術決策而不僅僅是承載數據的網絡——因為網絡被入侵時真正面臨風險的是數據,，而我們都知道數據泄露的后果,。

必須要讓公司里各個角色各司其職。職責劃分能避免各角色間相互掣肘,，推升問責度,，減少潛在錯誤，避免非必要人員訪問網絡設備的安全配置,。這種職責上的劃分也需要通過采用疊加安全狀態(tài)從技術本身加以實施,，要具備擴展到所有自有或非自有網絡的靈活性和敏捷性，同時確保網絡調整或被黑時對安全狀況沒有任何影響,。每個CISO都應深刻理解這一點的重要性,。

從上至下

雖然正確的安全思維必須由上而下，實際上這一思維還需根植到公司內所有安全操作中,；不僅僅是安全團隊要具備,，法律、財務甚至市場營銷部門都需要有安全思維,。保護整個公司網絡安全的責任落在CISO身上,，但網絡安全失敗的災難性風險意味著董事會應充分考慮網絡安全事宜，將之作為實現(xiàn)業(yè)務目標的首要任務來做,。