幾年前，在一家跨國消費品企業總部的新任首席技術官(CTO)與IT部門人員的見面會上。這位CTO向那些技術人員坦白：盡管現在負責整個公司的IT平臺——從財務到人力資源系統，從產品線硬件到社交媒體工具用到的數字藝術軟件，他對技術幾乎沒有興趣。事實上，他甚至沒有智能手機。

在IT員工們驚訝的吸氣聲和詫異表情平息下來后，這位新任CTO說了一些令人深刻的話：“我不需要懂技術，那是你們的任務。我的工作就是讓董事會支持IT部門，只要你們能向我這個守舊分子解釋清楚你們的項目如何有助于公司最終盈利，我就能讓董事會拍板支持。”

這還真是一條技術創新的路線。該公司的技術已經停滯不前了一段時間，因為前任CTO們沒能說服董事會投錢購買新技術，或者升級舊有技術。因此，該公司在數碼領域已大幅落后于其競爭者。簡單說，董事會已經厭倦了聽滿耳朵的技術術語來決定項目命運，他們希望有人能把這些天書似的專業術語，翻譯成他們聽得懂的語言。

首席信息安全官(CISO)的角色轉換路線，與CTO極其相似。無論規模多小，沒有一家公司能忽視黑客和網絡罪犯對公司數據帶來的日常威脅。甚至公司自身最大的資產——員工，都能暴露、遺失、破壞或交出重要數據，無論是有意還是無意。現在比過去更需要專門的安全意識項目和既定流程，來幫助整個公司合力緩解這些威脅。

那么，如果決定要找人管理這些風險，該怎樣選出真正有用的CISO呢？

成為CISO的傳統路線與成為CTO的極其相似，也就是從IT部門的技術角色積累經驗。今天的很多CISO都對IT和技術安全世界非常精通。他們有很多IT安全資格認證(比如信息系統安全師CISSP)，與各家安全廠商來往密切，而且，如果有需要的話，甚至還能擼起袖子碼代碼，或者分析防火墻日志。然而，今天的大環境下，他們需要更全面的技能集，而且更偏重業務而不是技術。

現代CISO身上，你需要找到以下幾種特質：

1. 溝通能力

與董事會和整個公司交流的能力。CISO需要能夠向各種各樣的人，用他們能理解的語言，解釋網絡安全概念。由于很多網絡威脅可被有效安全意識項目緩解，他們還需要具備影響和形成業務改變的能力。最重要的是，CISO需要能夠以精煉清晰的方式呈現出公司的風險態勢。

2. 理解業務

CISO需要了解公司運作方式、風險偏好，以及業務運營的特殊條件——尤其是帶監管性質的時候。“一刀切”是不適用于網絡安全的，甲之蜜糖乙之砒霜，某家公司認為太過危險的東西，或許是另一家公司必不可缺的。實際上，同一家公司不同部門也是如此(比如說USB閃存的使用)。CISO需要了解業務運營可接受的特定風險層級。

3. 理解風險

刨除炒作、流行詞、縮寫詞和環繞高大上電腦機箱的絢麗閃光，網絡安全落腳點，其實全在‘風險管理’上。CISO要能夠理解風險，知道風險對自家公司的影響，以及緩解風險的方法。這也是很多新一代CISO來自非IT背景的原因之一，比如說來自金融、法律和銀行業等風險管理更為成熟的行業。

4. 勇于擔當

從很多方面看，CISO的角色都是吃力不討好的。與其他高管不同，CISO不會為公司帶來任何銷售增長或成本削減。他們很可能只會在出問題時成為聚光燈焦點，整夜整夜為最新威脅煩心。你得找到能應付這一角色要求的人，同時，還要認識到他們給公司增減的價值在很多方面都是看不見的。他們的職責，就是保持公司名號不要出現在媒體頭條。

5. 關注整體安全

這是很多傳統CISO表現不夠理想的地方。是的，這一角色很大一部分都聚焦在IT上，但其涵蓋范圍可不僅僅只有這一塊。物理安全、培訓和意識項目、社會工程和有效管控，對整體安全文化而言，與反惡意軟件解決方案和補丁管理同樣重要。

6. 領導能力

CISO需要將整個公司——從董事會到清潔工，甚至到供應商，一起帶入安全環境。CISO必須對誰都風度翩翩，平易近人，在公司內部有著很好的公眾形象。做有感召力的領袖，可比知道怎么配置防火墻，重要得多。

有太多的文章強調CISO要精通安全技術，但實際上，只需要知道基礎知識就足夠。CISO手下的人才需要深入了解這些，CISO本人只需掌控大局。畢竟，只要支付沒出錯，首席財務官(CFO)也不需要了解出納團隊處理發票的具體細節不是？同樣的，CISO不需要充分領悟份和訪問管理系統的低級設計文檔，他們只需要知道這個系統能正確工作就行了。

某種程度上，CISO這個角色的壽命不會太長了。未來，保護公司安全的責任，將由單一實體擔負。預計首席信息保障官(CIAO)將最終擔起管理和控制整個公司數據的全部責任。在類似首席信息官(CIO)、首席網絡安全官(CCSO:我們當下的技術型CISO將會擔任的角色)和首席物理安全官(CPSO)的輔助下，CIAO將成為保衛整個公司信息流的基石。