新闻资讯
News

「IT微小说」CISO琳达的一天

作者:HolonetSecurity

“哒哒哒”的几声轻响,琳达睁开眼睛,看了看窗户的方向,前院的草地自动灌溉系统正在启动中,预示着凌晨五点钟了。

琳达喜欢把自动浇水系统设置在清晨,在她看来,花草树木吸收到充足的水分,再去迎接一天的暴晒,更适合生命的奋斗与休养周期,这也是她习惯于早起的原因。细细沙沙的喷水声,配上偶然间的几声鸟鸣,那份宁静与安逸让本应立刻起床的琳达多了一丝放松,思绪也飘了起来,恍惚间,自己又回到了三十年前……

当年的她,大学计算机工程专业毕业,初入职场就进入一个上万人的大型医疗设备制造企业做IT运维,一做就是近二十年。从helpdesk做起,业务系统专员、网络运维工程师、再到网络安全分析师,企业IT一线的技术岗位基本轮转了一遍就花了十年,之后顺理成章地走上了管理岗位,成为一名IT主管/总监。又经过近十年一线、二线管理岗位的磨练,终于迎来了更上一层楼的机会。

琳达一直波澜不惊的职业生涯面临了一个重大的选择:CIO还是CISO?走CIO这条路更传统更顺理成章,好处是职位稳妥风险低,越老越值钱;缺点就是论资排辈且略显乏味,而且似乎是一个中老年男人的世界,最关键的是如果CIO是自己的目标,可能还需要多年的等待;而CISO则是这些年伴随着企业网络安全重要性而冉冉升起的一颗职场明星岗位,工作极具挑战性,成长空间更广阔,更重要的是没有那么多的论资排辈,能者为上,对更有想法的职场晚辈诱惑力更大。这个选择似乎很简单,琳达和大多数后者一样,几乎是毫不犹豫地选择了CISO这个让人充满憧憬的职位。

CISO,让第一次担当这个角色的琳达感到非常的兴奋。不菲的薪水,新闻的焦点,众人的羡慕,和其他传统的CXO岗位相比,跑道更新,更具朝气,职业规划似乎也更有前途(和三十年前的CIO职位一样),但是,相比自己前二十年一直为一家企业工作的稳定性,CISO似乎代表着“动荡不安”。自从十年前走上了CISO这个岗位,目前的这家雇主已经是琳达作为CISO的第四个东家了。

【CISO,一个很光鲜很时髦,让很多人羡慕不已的职位,等待他们的真正的故事是什么?】


第一家公司业务模式保守,信息化程度很低,决策层对安全的认可度几乎为零,设立CISO这个位置纯粹是一个摆设。CISO的一切工作都需要为公司的核心业务让路,根本起不到所谓的保驾护航的作用。自己作为一个CISO菜鸟之所以能拿到这个位置,也是因为东家提供的报酬是同行的三分之二。 琳达在那里无压力无动力地干了四年,可谓“也无风雨也无晴”,觉得再呆下去可能就废了,主动跳槽离职了。

第二家公司相对成熟,决策层对信息安全也足够重视,但是公司管理结构复杂官僚,做一个事情从申请到实施需要层层报备,起大早赶晚集是常态。这种公司文化对于信息安全这种被动防守型的工作是致命的,快速响应是安全工作最重要的特点,而在这家公司,作为CIO体系中的一份子,CISO既没有足够的权力直接处理安全隐患,也无法让公司决策层及时知晓并下达命令。琳达在这家公司三年的成就基本上就是追责,对以前的几个给公司造成了一定损失的安全事件进行审计溯源,配合公司法务部门找到根源及界定责任。无法找到工作的动力,感受不到自己的进步,主动寻找下家是当时对职业生涯还充满期望地琳达的必然选择。

第三家公司是一个很有前途的好公司,琳达满怀希望地踏进这家公司的CISO办公室大门,但她很快就发现了一个致命问题,公司前几年业务发展太快,企业信息化过程在最初规划时完全忽略了安全因素,琳达接收手的时候相关的安全工作基本上就是一个烫手山芋。不仅没有时间去规划开展自己的工作思路,反而完全陷入了前任留下的各种地雷陷阱,疲于应付了十个月,最后作为一个安全事件的替罪羊,心不甘情不愿地离开了公司。

目前这家公司是自己在家闭门思过近一年后做出的慎重决定,虽然目前为止来看工作依旧困难重重,但琳达自认为和前三家相比,自己作为CISO的能力和感觉上升了一个层次,在这家公司这两年的工作成就感也远远大于前三家雇主。

【公司文化、公司对信息安全定位和投入、公司决策层对信息安全相关工作的认可度和耐心都决定了公司CISO能发挥的作用,选择一个和自己理念相同的企业对于一个CISO来说至关重要。】


“哒哒哒”的轻响声再次传来,这是后院的浇水系统启动的声音。琳达的思绪被拉了回来。“我这是怎么了?开始回忆往昔了!难道就是人们说得已经变老的趋势?”不到五十岁的她自嘲而又不甘地笑了笑,赶紧翻身下床洗漱。

在挤牙膏的同时,琳达习惯性地浏览了一下工作手机上的短信和邮箱,作为一个“资深”CISO,她很清楚,和其他同层次的企业高管相比,CISO需要处理的“临时发生事件”比“事先规划事件”要多得多,对处理突发事务的能力也要求极高,很多心理素质欠缺的同行对早上睁眼看到手机都会有一种恐惧感。琳达很庆幸自己父母遗传给了自己一个大条的性格,这个性格陪伴着自己度过了很多艰难时刻,包括前几次不愉快的CISO经历。今天很lucky,短信和邮箱里面都没有火烧眉毛需要紧急处理的事情,这种情况对于琳达来说绝对是一个幸福的时刻,一般情况下她在去公司前需要用一个半小时来处理邮件和短信中一个晚上积攒的事情。

【应付突发事件的心态和能力是一个优秀的CISO的必备素质。】


一场难得的四十五分钟完整的瑜伽,调息、冥想、伸展;一个热水澡,放松、清爽、舒畅;再加上一份丰富的早餐,琳达就像院子里经过灌溉的花草一样,不管今天是否烈日当空,都已经准备好了面对!

08:00AM

琳达准时把自己的车倒出了车库。到公司需要四十五分钟左右,这段时间琳达有非常明确的安排:每次思考一个对于自己工作非常重要、但没有那么急迫的事情,也就是管理上所谓的“战略层面”的问题。今天琳达给自己准备的题目是自己对团队的期望和依赖性的定义。很多CISO把自己的成功寄希望于建立一个强大的安全团队,琳达深不以为然。她的经验告诉她在很多关键场合,越需要帮助的时候,CISO都会感到孤立无助。平时表现不错的团队为什么此时就不能依靠呢?其实答案是很容易想清楚的。不是说团队成员不合作不服从,也不是说他们的相关职业技能和经历不够,团队在关键时刻不给力的原因琳达认为有以下几点:

首先相对其他技术领域,安全技术发展太快,其中任何一个具体技术的生命周期很短。在甲方(公司)工作的安全工程师因为场景较为稳定,对相关技术新趋势远不如乙方(安全厂商和咨询集成商)敏感,即使是一个技术非常优秀的安全工程师在甲方呆久了,都不可避免地对新技术有落伍的感觉,出现新问题时往往不能及时提出解决方案;

其次,在企业环境中,“安全”虽然经常叫得很响,但大家都很清楚安全并不是主业,公司不可能靠安全吃饭,在发生相互冲突时,安全往往需要让位于公司的业务线,最终导致安全人员工作投鼠忌器,积极性受到严重打击;

再次,企业安全风险本身就是一个概率事件,任何的一个分析预测都无法确定是否发生,是否预警,预警级别如何定义,建议采取的措施如果影响业务怎么办,等等,这些问题都会导致安全团队做事畏手畏脚;……

【企业的网络安全问题往往错综复杂,而且日新月异地,没有很强的使命感、综合的知识体系和较强的安全团队组成及合作协调能力是很难做好企业网络安全相关工作的。】


杯里的咖啡正散出浓浓的香气,办公室的早咖啡对琳达来说是不可缺少的,对她来说,这就像一个按钮,开启她紧张忙碌的一天。她探头望了望远处CIO鲍勃的办公室,门已经是开着的了。琳达一个星期前就与鲍勃约了今天上午九点的会议,琳达抿了两口咖啡,整理了一下心情,走向鲍勃的办公室。

09:45AM

从CIO鲍勃的办公室走出来,琳达的心情和早上比起来欢愉了许多,和鲍勃的沟通还是颇有成效的。当着琳达的面,鲍勃和下面的数据中心运维总监调整了一下工作安排,把琳达安全分析团队急需的安全态势感知平台在数据中心的安装事宜排上了日程。这个项目可是琳达今年最重要的任务之一,现在已经是公司财年的第二个季度末了,这下有望在第三个季度结束时上线,自己就有比较充裕的三个月的调试时间。CIO的大力支持让琳达顿感轻松了很多。

在一个企业中CISO和CIO的关系非常微妙。CISO这个角色本来就脱胎于CIO组织架构,虽然现在的趋势是CISO从CIO的管理中独立出来和CIO平级进入公司的决策层,但还是有60%的企业中CISO汇报给CIO。而且,CISO的职责和CIO又非常紧密。首先,CISO要面对的网络安全隐患大部分都是CIO主导的IT项目引入的,或是引入的第三方产品本身就有安全隐患,或是相关配置部署不合理而导致安全漏洞。其次,企业IT运维人员因为他们的权限而成为安全的重点监管对象,也就是说CISO的工作实际上大部分是在挑CIO及其团队工作上的不足和漏洞;但是,从另外一个方面看,CISO的很多工作又必须依赖于CIO的全力支持,譬如需要IT运维团队在企业网络中安装安全产品,为安全分析平台提供全方位的日志数据等。

琳达在这方面积攒了足够的教训,在前三个东家的CISO工作中,有两家都与CIO产生了很大的矛盾,使得自己的工作处处受到限制。 在来这家公司之前,琳达通过各方渠道了解到鲍勃是一个很好相处的CIO,这是琳达接受这个offer的一个重要因素。上任之后,琳达也是非常谨慎地处理每一件和鲍勃相关的事情。鲍勃在过去两年的工作交往中,对琳达来说亦师亦友,帮助很大。哪怕琳达的很多工作实际上就是在不停地查找鲍勃过去几年领导的IT项目的漏洞,鲍勃也没有表现出一点儿芥蒂,对此琳达心中一直非常感激。

【因为两者工作的交织性,企业CIO的胸怀、能力和态度,是CISO工作成功的一个重要基石。 能够和CIO在工作中完美合作是CISO成功的一个必要条件,也是每一个CISO应该时刻追求的目标之一。】



10:30AM

公司的会议室里,AB公司的资深专家乔治正在滔滔不绝地介绍一个据说是下一代DLP的方案。看着乔治和自己团队的成员在那里热烈地探讨,琳达陷入沉思。目前企业网络面临的安全问题越来越严重,安全事故一旦发生给公司带来的危害也越来越巨大。公司决策层也意识到其中的重要性,在这方面的投入和支持也算慷慨。现在公司每年会购买三到四个安全产品上线,这对琳达来说是好事情, 但是如果没有一个好的战略规划,面临的局面就会是每个产品都可能有上百个销售上门来推销,估计自己和团队就算疲于奔命也无法高效地选对产品。尤其是现在,企业安全上的一个需求往往不是一个产品能够独立解决的,这时候厂商从他们的利益角度不可避免地把你会带偏。

解决这个问题的唯一途径就是借力,借助能够根据需求提供一个完整集成方案的第三方来协助自己完成这个任务。幸好自己在过去多年的工作中积累了十来个靠谱的咨询公司或集成商,自己只需要每个月和乔治这样的中间人沟通三四次就可以了,他们会充分地了解企业的具体需求,给出几个详细靠谱的方案供琳达选择,这样大大提高了琳达的效率。利用中间商屏蔽厂商的直接上门推销,不仅为自己节约了宝贵的时间,更重要的是利用到了中间商的优势:他们对相关趋势和产品的相关调研肯定会比自己和自己的团队去做要专业高效的多。

【避免与产品厂商直接打交道,找到懂本企业的IT安全现状和需求、在行业中有口碑的咨询公司和集成商,并与之建立长期稳定的沟通合作机制是CISO寻找合适的安全产品和方案的正解。】


13:00PM

琳达从离公司十里之外的那家著名的日本餐馆急冲冲地赶回办公室,去那个餐馆的目的是公司的一个庆祝活动:历经了十个月的实施(鬼知道之前还计划了多长时间),公司的一个业务系统终于从服务器模式迁移到SaaS模式,上个月新老系统切割完毕,今天正好是新系统一个月零故障汇报运行的节点,庆祝party是肯定要有的。但这个项目对琳达来说意味着什么还值得期待,据绝对可靠消息,自己的前任就是因为担忧这个业务系统采用SaaS模式可能带来的不可控制性和公司业务数据泄露的可能性等安全隐患,与当时的直接上级,公司的CIO,还有负责相关业务的公司VP发生了很大的冲突而不得不离职的。这个事件导致的一个最直接后果就是公司决定CISO团队从CIO结构中剥离出来,直接汇报给CEO。

琳达上任时所有人都以开玩笑的口气说她应该感谢前任,临走的时候让这个职位高升了一级,只有琳达凭着这些年的经验很快就理清了其中的厉害关系:且不说公司趁着自己是新到之际,以业务需要为由迅速让这个已经计划多年(看来确实对公司业务有很大影响)的SaaS项目上马,而不是暂时停下来,给新上任的CISO一个机会,仔细从零做起,对此给出一个完整的安全评估,这很有可能是给自己埋了一个很大的隐患;而直接汇报给CEO确实对安全工作的开展大有好处,但也意味着自己已经处于公司的决策层中,这和躲在CIO下面的工作是一个质的区别,工作权力增加的同时承担的责任更与之前不可同日而语。之前关于网络安全还有CIO和自己一起扛,可现在自己就需要独自承担所有公司信息安全的责任了。

现在,自己要小心应付的老板不再是CIO一人,还要直接面对CEO、CFO、CTO,特别是那些代表公司核心的业务VP们。企业环境下,安全和业务本身就是天生的一对辩证矛盾体,公司经常需要平衡两者关系而发生取舍冲突。这不仅考验双方人员的自身动机、能力和合作态度,对对方专业业务的理解程度也至关重要。

琳达大学毕业后从事IT近三十年,对于该领域的知识储备和自身的能力当然充满自信,但是对公司核心业务知识的缺乏是一个不争的事实。传统的IT运维工作和公司业务的关系边界和接口是很清晰的,即使对公司业务的不甚了解,也不会对IT运维工作产生多大影响。但是,安全就完全不一样了。一个安全事件的程度高低,不仅仅完全是由该事件对公司核心业务影响程度来决定的,还有一个积少成多的过程。

如何在这个过程中敏感并及时地抓到蛛丝马迹,不懂业务那是万万不能的,尤其是在近几年数据安全重要性的兴起的背景下。要知道企业网络上的数据在IT运维人员的眼里看基本就是0和1,最多再加上业务人员打的标签;而对于公司的安全运维人员来说,不清楚这些数据和公司业务之间的关系,那么数据安全基本上就无从谈起。对琳达来说,对公司核心业务了解得还不够充分,是自己工作中最大的硬伤,琳达非常清楚这一点。但是,最可悲的是,即使自己非常清楚这一点,而且又有很强的求知欲,也不可能在有限的时间内把自己变成业务专家。如何得到公司各个层次的支持,如何协调与相关业务部门的配合,如何利用好业务专家的专业知识,这都是琳达已经很清楚地意识到的,并且视为工作成败的关键来运作的。

【企业网络安全从IT安全向业务安全转移是大势所趋,但CISO的背景一般都是IT出身,如何深刻了解企业的业务核心,从业务角度开展企业网络安全工作是未来CISO面临的一项艰巨挑战。】


好不容易有个空档去心仪的饭店吃个午餐(虽然理由有些让自己不是很舒服),顺便借机跟同事们沟通增进一下感情,而饭吃到一半就被公司的法律顾问电话招了回来,琳达颇有几分郁闷,公司的一名员工把公司给告了,事情原委是这样的:公司把员工福利中的医疗保险委托给一家专业医疗保险机构处理,因此公司、员工与这家机构签订了员工个人及家庭隐私数据三方保护协议。但是,这家机构的眼科保险又是外包给第三方的专业眼科机构管理。

这个流程并没有什么问题,从专业细分角度看这样的操作更为合理。 但恰恰有一个问题被忽略了,该眼科机构从专业医疗保险机构在员工不知情的情况下拿到了员工及家属的个人数据,这个情况偏偏又被公司的一个员工在无意中发现了,于是这个员工把东家和专业医疗保险机构一起告了,理由是自己及家人的隐私数据在自己不知情的情况下被泄漏给了第三方,可能会造成很严重的后果。

琳达和公司的法务顾问紧急研究了一个多小时,也没有想出什么好的对策,唯一能做的就是尽量把责任推给那家专业医疗保险机构,撇清或降低公司的连带责任。其实作为一个安全专家,琳达很明白其中的根本原因是什么:以前公司、医疗保险机构和眼科机构三方都用的是各自企业内网的业务系统,三方各自的系统之间没有直接访问的途径,业务数据如果需要共享,必须通过人为手段,这样所有的数据交换都是很容易落在监控范围之内的;而现在随着云计算在企业网络中的普及,尤其是第三方SaaS的广泛应用,属于企业内部的数据必然会流向第三方,这就需要企业特别注意数据的传输、使用和驻留的过程,并签订相关的法律文件予以保护。

但问题在于为了业务的高效,这些SaaS应用有非常多的对外调用的接口,这些接口在设计时很难或者根本没有去考虑所有可能场景下的安全问题。这些SaaS一旦运行起来,安全人员是很难实时监控发现其中的问题的,尤其是再对这个SaaS系统本身的业务不甚了解的情况下。因此发生今天这样的事情并不是偶然,其实,包括今天午餐庆祝的那个项目就很有可能面临同样的安全风险。现在琳达唯一能庆幸的就是这个协议是由公司的上上任的CISO代表公司签署的,虽然自己作为现任CISO,公司最高的安全官,肯定需要承担部分责任的,这颇有点儿冤屈,但这个黑锅至少不会由自己全背。

【由于SaaS这样的云计算和数据安全的兴起,目前企业CISO所面临的挑战和压力,远远大于十年前的同行前辈面对的传统IT安全所担当的。网络技术和架构的日趋复杂,企业安全项目和产品的日积月累,使得可视性(visibility)和有效性(efficiency)成为CISO做好企业网络安全运维的两个关键课题。】


14:30PM

琳达准时出现安全分析周例会上,一个安全分析师最新的分析结果让琳达非常不安:最近两个星期,公司的安全监控平台捕捉到几波试图入侵的操作,虽然这几波攻击看似来自不同的IP,但是攻击手法和攻击过程都极为相似。琳达有种不详的预感,这不像是外界个体黑客散兵游勇式的行为,似乎有某个机构盯上了自己的企业,不怕一万只怕万一,自己需要立即拿出一个应急计划。

当一个企业成为一个黑客组织目标的时候,基本上也就是这个企业CISO噩梦的开始。面对这种敌暗我明的战争,作为守方的CISO胜算很小。首先,一暗一明,一攻一守,主动被动关系无法改变;其次,黑客组织对安全领域的前沿技术更敏感,更有动力去使用新技术,而作为企业的安全团队日常运维工作就负担很重,而工作的场景又有限,对新技术的了解和掌握比黑客慢了不止一拍;再次,作为攻击方,黑客可以尽全力一攻,因为这就是他们的核心工作,而作为CISO,琳达无法想象也不可能做到,动用公司的所有资源来对抗这种不知确定时间、确定方式的外部攻击。

因此,琳达的这个应对计划并不容易制定,因为很难预估这个攻击的时间、方式、强度和可能对公司的影响程度。这个计划不仅要包含安全团队的一个尽量完备的应对措施,更为纠结的在于需要考虑清楚是否、如何、什么时候通知公司决策层及相关业务人员,既要防止发生“狼来了”的笑话,又能够让公司在威胁真正来临之际做出及时、合理的应对准备。

虽然琳达并不是一个真正的球迷,但她对CISO圈内如下的比喻是非常认可的:如果把公司比作一个足球队,董事会是球队教练团队,CEO是场上队长;公司的市场销售就相当于前场,在前线摧城拔寨;产品研发则是中场,为前场输送弹药;而IT、财务、Operation、法律等部门则是后场,为公司的正常运营提供坚实稳定的支持。而CISO在其中扮演的则是守门员的角色!在一场足球比赛中,形容一个球队表现非常好,可以说前场如何锋芒犀利,中场如何行云流水,后场如何坚若磐石,而守门员,最好的表现就是无所事事。因为,当守门员成为球场上的最亮眼的明星时,基本上也就意味着球队不会取得什么好的成绩了。所以,“零”就是对守门员的最佳认可,只要不是“零”,自己表现再如何亮眼,自己都应(无论主动还是被动)承担失球的责任。

优秀的守门员会在己方攻击正盛的时候提醒自己和防守队友不能麻痹大意和懈怠;在形成拉锯局面的时候清醒地审时度势,发现己方的防守隐患并第一时间协助球队做出最佳调整;而在失球的情况发生时既要及时发现问题找出方法尽量避免同样的问题再次发生,又要鼓励队友不要挫败感太强,影响以后的发挥。

同样道理,如果CISO在公司没有什么露脸的机会,也就是对CISO工作的最大肯定。一个优秀的足球守门员所需要的素质也正是一个优秀的CISO应该具备的品质:保持一颗冷静的平常心,任何时候都松懈,关键时刻不掉链子,永远不要去和作为明星角色的公司同仁去争夺资源和荣誉。

【守门员,是CISO在企业中最恰当的定位。关键时刻的化险为夷只是为数不多的闪光时刻,更为重要的能力是预判并避免风险的积累,默默扮演企业卫士的角色。当事到临头之际,勇于担责,无需辩解。一个成功的CISO一定要有如上心态。】


通常在下午4点左右,琳达会给自己泡一杯清茶,让已经高速运转了六七个小时的大脑放松一下,对她来说,茶香意味着体会与琢磨。此时的琳达,仰头靠在办公椅上,微微地转动着座椅,回想着刚才与团队中资深安全分析师约翰的谈话,陷入一种忧虑中。突然响起的电话铃声吓了她一跳。

屋漏偏逢连夜雨,果然,琳达一直感觉不好的一个事情发生了:HR通知琳达,一个她非常看好的候选人回绝了公司的offer。 目前招聘市场上好的安全人员千金难求,这个候选人琳达和HR花了很多的心思和精力,但是依然没有得到。想到自己团队过去一个季度已经有三名员工离职,到目前还没有找到一个合适的替代者。而刚才约翰也提出离职的申请了,他要去一家业界的独角兽,琳达明白公司无论如何是给不出count offer的。想到约翰在工作中的作用和团队的不稳定,琳达简直是一个脑袋两个大。

她端着精致的玻璃茶杯,呆呆地盯了一会儿杯里缓缓舒展的茶叶,凝视着袅袅上升的水雾,深深地叹了口气。三四个员工的离职,让本来就捉襟见肘的人力资源更为缺乏,难道真得应该听从CIO鲍勃的建议从业务线或IT运维平调过来几个工程师培养?有了业务或者IT运维背景的候选人,再经过耐心培训成为安全工程师当然是一个不错的想法,但远水解不了近渴啊,老天会给琳达这么久的时间?

【如何建设一支高效稳定的安全团队,对于现在大多数的CISO来说是一个奢侈的期望但又必须去努力的方向。就业市场上企业安全技术人员的需求和供给之间的严重不平衡是一个不争的事实,制定合理的招聘与培养计划是CISO的核心工作之一。衡量一个CISO的成功不是由CISO个人工作绩效来判定的,是由一个团队工作的效果来决定的。】


17:30PM

从办公楼上远远望去,高速公路上的车流已经开始汇成长龙。对琳达来说,“早九晚五”已经是很多年前的事情啦。现在的她,“早九”还勉强可以达成,“晚五”基本上是不可能的。如果“下班回家”这个词还在琳达的工作字典里面的话,那也就仅仅代表着换了一个工作场所而已。譬如今天,在离开公司回家前,琳达还有一项工作需要完成,那就是在自己今年已经标注的密密麻麻的工作日历上为CISO大会留出足够的时间。

日常安全运维工作要完成,需要随时应付突发安全事件,团队需要组建,公司全员安全意识需要培养加强,但这些都是付出,是对琳达自身能力的验证,并没有对琳达能力的增强提供多少帮助。已经做到公司CXO级别的职位,一般的理论学习也远远满足不了琳达的“自身充电”需求了。琳达很早就意识到与自己的同行,也就是和其他公司的CISO之间的交流会经常让自己有茅塞顿开的感觉。发现了这个秘密,琳达即使工作再忙,也不会错过每年在拉斯维加斯召开的CISO大会。而且要在那里呆够五天,不仅正式大会要参加,就是在正式大会前后围绕着不同主题的各种小型同行研讨会也争取场场不落。因为只有在这样的会议上,可以听到各种让自己感觉到亲切的抱怨和吐槽,也只有在这个时候才发现自己的遭遇不是那么孤独的。

琳达会迫不及待地向同行们抛出目前面临的问题和困惑,当然也毫不吝啬地分享过去一年的心得。众人拾柴火焰高,往往自己百思不得其解的问题,会因为同行的经验而轻松得到答案。同行们的各种分享都让琳达觉得分外有价值,对自己的工作起到很好的启发和参考作用。各种模拟场景的研讨又让自己面对未来黑客的攻击增强了不少信心。总之,相比较有些CISO更多依赖于自己团队来提高自己处理问题的能力,琳达认为与更多CISO同行的互动才是自己充电的最佳方式。

【它山之石可以攻玉,借助CISO生态圈资源提高自己的能力和视野,不仅是解决工作中面临问题的一个有效途径,更是一个CISO快速成长的不二法宝。】


21:00PM

匆匆结束了自己简单的晚饭,琳达和自己印度团队沟通的会议按时开始了。众所周知的原因,美国很多企业从二十年前开始实施IT服务外包,印度因为语言、成本和职场文化等因素迅速击败其他竞争对手,几乎垄断了这个外包市场。琳达所在公司也同样长期雇佣了两个印度团队,一个负责日常IT中网络和服务器运维工作,一个负责公司IT相关的一些定制化开发业务。

安全因为技术上和业务上两方面的原因很难象IT运维那样外包彻底,但是公司也是要求尽量使用那边的资源。 因此,琳达这边一些安全定制化项目就保持着和印度那个安全定制化团队的不间断合作,而那个网络和服务器团队由于必须配合实施安全项目,也需要时不时地进行沟通。但麻烦在于,印度文化中等级森严的特点在职场中也充分体现,在美国这边明明平级之间的沟通就能解决问题的模式在印度就不工作,平级意味着讨价还价和互相推诿,只有老板出面印度的团队才会心甘情愿、全心全意地配合工作。

这也就意味着,在地球的另一侧,印度的工程师团队开始上班的时候,琳达也经常需要“上班”,来充当这个本不应该是自己分内工作的协调官的角色,在对方处处恭维的气氛中把任务落实,尤其是要把项目的验收指标再三重申清楚,因为所有人都知道如果不非常注意的话,印度工程师的嘴上承诺和描述,与实际的结果会有多大的区别。

【安全工作的复杂跨领域特性,使得CISO更需要和各种技术背景、各种文化背景的团队及个人打交道,对合作方的深刻了解是CISO的一个必不可少的职业素养。】


23:00PM

终于可以关掉Zoom会议的摄像头了,一个本可以半个小时搞定的事情,只要和印度同事开会,那一定是要计划三四倍的会议时间。琳达简单潦草地梳洗了一下,上床准备休息了。疲惫的她重重地呼了一口气,把紧绷了一天的身体舒展开来。睡意其实已经很浓了,思绪却安静不下来,各项需要处理的工作还时不时地在脑海里闪现。 不知道怎么的,琳达的思绪又突然又跳跃到早上起床前的那段回忆。按惯例,CISO这个职位是公司CXO层面平均寿命最短的岗位是不争的事实 。

“我还能坚持多久?是不是该好好准备寻找下一个东家了?” 琳达想起了在一次研讨会上,遇见一位一见如故的同行,分享给她的《CISO生存秘籍》中的一段话:工作开始的六个月救火(自己被雇佣的目的),中间六个月努力发现公司的各种安全风险和隐患(即为公司做贡献也锻炼自己的能力),最后六个月为找下一个东家做充分准备……

【据统计目前美国CISO在一家企业的平均职业寿命是18个月,远远低于其他CXO的在同一家企业的平均寿命,这非常不利于企业网络安全工作的有效开展。除了CISO自身能力的提高外,更需要行业大环境和企业小环境给予CISO充分的信任、支持和耐心。】


文章分类: 技术分享
分享到: