摘要：思科的首席安全咨詢師詹姆斯·莫布里概述了企業首席信息安全官們亟待發展自身在四大方面的技能，以便能夠跟上企業安全的快速變化的需求。根據思科安全解決方案的負責人表示，鑒于支持網絡攻擊犯罪的基礎設施變得能夠更有效地加快發展新的安全威脅，這迫使企業的首席信息安全官們需要不斷加強新技能的學習，以確保其所在企業業務和所處工作環境的安全發展。

根據思科安全解決方案的負責人表示，鑒于支持網絡攻擊犯罪的基礎設施變得能夠更有效地加快發展新的安全威脅，這迫使企業的首席信息安全官們需要不斷加強新技能的學習，以確保其所在企業業務和所處工作環境的安全發展。

他們必須對網絡安全有扎實過硬的知識，而且還必須能夠很好地溝通，發掘并管理企業內部安全人才，準備預判安全威脅環境將如何發生變化，思科安全解決方案副總裁詹姆斯·莫布里表示說。詹姆斯·莫布里曾擔任安全咨詢公司Neohapsis的前任CEO，該公司去年被思科收購。

在他的日常工作中，莫布里經常需要與一些企業的首席信息安全官們保持聯系，與他們探討他們當前所面臨的困難和挑戰，以及他們為了避免發生數據泄露和安全威脅事件而損害他們的業務所正在采取的相關措施。

最近，Network World網站高級編輯提姆·格林尼的采訪，并就這些挑戰和困難，以及首席信息安全官們應該如何應對他們角色的改變等相關話題談到了自己的看法。以下是采訪實錄。

Network World(NWW)：在現如今這樣一個瞬息萬變且充滿活力的企業市場環境下，如果要您為想要獲得成功的企業首席信息安全官(CISO)們提出一些建設性的意見和建議的話，排名前四或前五位的建議有哪些?

莫布里：首先，而且也是最重要的是，CISO們仍然需要對于安全原則有很深刻的理解，需要了解安全涉及到了三大主要領域：人員、流程和技術。

其次，盡可能多的對于圍繞安全威脅的因素有廣泛的理解。安全性實際上是以安全威脅為中心的，其是關乎理解如何構建一款在任何情況下，均能夠為您企業的業務帶來最大的靈活性的平臺。您必須預見到安全事態的發展，并確保您企業所構建的平臺能夠非常迅速的擴展，和非常迅速的調整。我想說，務必要牢記這一點，以安全威脅為中心，并了解所有安全威脅的動機所在。

領導能力將是下一個需要關注的方面。鑒于現如今企業首席信息安全官們的角色定位正在不斷演變升級，因此他們需要具備強有力的戰略領導能力，這不僅能夠讓他們能夠很好的領導所屬的機構，并且還能夠引領企業內部組織架構的變化。這并不是很容易的事。這需要涉及到各種能力的整合，而這種多能力的整合尚未在多數CISO身上被看到或被發掘出來。

除上述之外，我只想簡單的說CISO們需要確定如何在人才嚴重短缺的環境中打造一支企業內部的團隊。您要如何將手下人員組織起來，加速學習能力，并提高整個企業圍繞著安全的IQ?您必須找到各種發掘和培養人才的方法，不僅要讓他們能夠更好的發揮自身的潛能，而且要關注留住人才的方法。您怎么才能做好管理呢?我認為這是企業的首席信息安全官們所面臨的一大主要挑戰，首席信息安全官們最好的是要能夠很好的吸引人才，發掘人才和留住人才。

首席信息安全官的角色定位是如何發生轉變的?

與早些日子的關注所有管理領域相比較，我認為他們現在的角色定位更傾向于具有戰略性質，所以，我們現在看到很多首席信息安全官要么直接向CIO報告或者不再是CIO的下屬，而需要與CIO一起向CFO或COO匯報。

我認為這很重要，因為企業大部分的策略的推出均來自企業頂層，而一旦企業頂層的理念與首席信息安全官們的想法一致，他們就會有更好的機會去實施他們的計劃。

企業網絡環境如何變化?

這方面有一系列的例子都是圍繞著影子IT的。許多企業甚至不熟悉他們允許員工訪問的基于云的系統。這也意味著企業不熟悉員工使用的所有的主要平臺，從而增加了安全風險。所以您看到了影子IT的出現，您可以看到企業員工隨意下載移動應用程序。有數據顯示，大約97%的安卓移動應用程序都有某種程度的安全或隱私風險，而這些應用程序都是被企業員工下載的，這些應用程序也可能通過其所安裝設備上的應用程序窺探到了企業的數據信息。

然后，還有物聯網。這意味著會有很多設備和不同的人能夠實現互聯，但大多數設備其實沒有被連接或是未受保護的設備。在我們擔任顧問期間，我們做了大量工作，了解到諸如輸液泵和家庭自動化系統等等現在都擁有IP地址。我們可以看到融合的設備正在創造一個相當有趣的挑戰，但企業首席信息安全官們必須跟上這一趨勢。這種不斷變化的業務模型正是他們所面臨的最大問題之一。

另一個是復雜度。我們總是說，在安全管理中，最薄弱的環節是人。而我們現在則將技術將到這一最薄弱環節的人的手中，首席信息安全官們對于這些人的實際操作可能具有、也可能不具有可視性。我認為首席信息安全官們遇到的挑戰是，很多安全攻擊仍然發生在應用程序層，而企業現在對于這些應用程序只有較少的可視度，這將在員工操作過程中帶來風險增加的機會。

我認為這另一方面關乎到設備數據損失的標準。企業有些數據是可以丟失的，無論其是從平板電腦，還是從移動設備，所以這是一個組合因素，更不要說有時這些已經是超出您企業范圍的第三方和企業外部的應用程序了。

我認為，當您隨著企業業務活動范圍的擴展，設備和人員均是這一系統的一部分，包括第三方，那么相關安全風險相當會明顯上升。

您怎么看待首席信息安全官應對這些變化?

所以現在我們開始看到由首席信息安全官們所推動的試圖把事情簡單化的運動，以便確保能夠從技術整合中獲得價值最大化，確保企業環境管理能夠更容易。

現在，我們如何看待使我們能夠被定位為規模化、被定位為插入新技術的能力、使得環境管理更容易、連接更容易的安全架構的方式?這就是我們所看到的首席信息安全官們所更多推動的其他趨勢：“讓我們來打造一幅企業藍圖來推動業務發展”，而不只是擔心戰術方面的問題，如“我怎么看到企業環境中的漏洞?”

首席信息安全官們如何評價環境安全威脅的變化?

如果說真有什么實質性的轉變的話，那就是安全攻擊性質的轉變了。他們更先進，因為攻擊者有了更好的資助，并且有更多的資源投入逃避防御所需的技術類型。這對于可視化和能見度造成了一大挑戰，因為如果攻擊正變得越來越先進，企業必須具備看到這些攻擊的能力，并在當有些安全攻擊事件正在發生時確定的能力，這樣就可以對安全攻擊事件更快的做出響應。

所以更高級先進的攻擊意味著我們現在可以看到企業的首席信息安全官們需要尋找更多的安全威脅情報，大數據分析，這樣他們就可以不僅僅是通過指標來分析安全風險，還需要通過數據分析來識別與他們環境相關的各個方面——包括防火墻，終端，電子郵件，網絡，并充分利用所有這些數據，以試圖進行分析和預判。

首席信息安全官們如何處理合格員工短缺的問題?

當我們在與來自不同公司的首席信息安全官聊天時，我們往往會碰到有大量首席信息安全官抱怨招不到合適人才的問題。因此，當您思考分析這方面的問題時，會開始一點點的轉向如何獲得更高的可視化，自動化的能力，提升不同的業務合作的能力，并找到方法以促進合作環境的建立，使您企業可以充分利用跨企業的人才。我們除了在首席信息安全官們那里看到他們如何更迅速的招聘人才之外，上述思路是我們從與他們的探討中較多涉及的。我們還看到他們更多的實施員工培訓計劃，他們試圖把剛剛走出校門的聰明畢業生盡快培養成熟練員工。我認為所有的事情都是積極的，但人才短缺似乎是一個挑戰，但試圖填補會有很大的差距。

在您看來，首席信息安全官們為了創建安全的網絡都采用了什么辦法呢?

我們經常聽到的是，“首先，讓我確保我沒有任何明顯的缺陷。”當這種情況發生時，通常他們正在尋找幾件事情。他們會查看任何應用程序：“我的應用程序安全嗎?”，或者正在努力確保首先是網絡，然后是基礎設施和應用程序的安全性。他們花了大量的時間在應用程序上，并試圖確保該應用程序是安全的，而網絡也得到了適當分割，部署了恰當的 安全框架。

這些都是需要做的工作，然后需要重點關注周圍人的反應。正是圍繞周圍人的反應，使他們能夠做好準備工作，然后是關于一旦發生突發安全事故，如何快速整合，遏制和回到工作狀態中。

首席信息安全官們是如何看待物聯網的?

我想說的是，如果有一個領域每個人都知道其即將到來，而且其是通過很多方式定義的，那便是IoT或者說是整個IoE(Internet of Everything)，這將是非常有趣的。我們現在所看到的情況是：“我要在網絡上使用我的設備，我想確保其是安全的。”但其真正卻應該是：“我怎樣在一個完整的業務流程中實現數字化?我現在如何才能在一個曾經是由工業手段推動的流程中添加傳感器，收集信息，并應對安全攻擊，然后使用所有的信息反饋到后端的情報，使我能夠做出決策，這可能是基于市場的決定，針對特定產品的需求，或者可能是決定農民如何去對不同的土地施肥，以幫助提高產量?”

首席信息安全官們必須開始深入思考，而不只是試圖填補漏洞。這也是圍繞著促使首席信息安全官角色定位變得更具戰略意義的其中一件事情。除了技術能力，他們還必須確保他們對于業務流程及其如何發展有著非常敏銳的感知。