隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問題越來越嚴(yán)峻，相對應(yīng)的，安全人士的一些工作方向，職業(yè)生涯也有了相應(yīng)的變化。職業(yè)發(fā)展專家Lee J. Kushner說，一個組織內(nèi)的安全計劃已經(jīng)發(fā)生了新的變化。安全專業(yè)人員若想在這個職業(yè)市場中具有競爭力，需要掌握哪些技能呢？

未來的信息安全領(lǐng)導(dǎo)者需要掌握超出安全領(lǐng)域之外的技能。經(jīng)過幾年的成熟期后，CSO（首席安全官）和CISO（首席信息安全官）日益發(fā)現(xiàn)他們頭銜中的"首席"一詞，被寄予與這些職位不同的預(yù)期，這與10年前這些頭銜首次出現(xiàn)時有很大的不同。

Kushner說："今天的CISO需要全面發(fā)展多種技能，以使自己能夠處于與其它高級經(jīng)理同樣的水平。" Kushner近期在RSA主持了一次有關(guān)CISO技能和職業(yè)的介紹。

公司現(xiàn)在在選擇CISO時，尋找的關(guān)鍵技能和品質(zhì)有哪些呢？Kushner告訴了我們4個最重要的技能，并給出了一些建議，幫助安全專業(yè)人員能夠獲得這些技術(shù)。

與業(yè)務(wù)運營相關(guān)的技術(shù)知識

雖然技術(shù)專業(yè)知識是CISO始終需要的東西，但Kushner認為，雄厚的技術(shù)知識依然是未來的CSIO也是CSO的基礎(chǔ)。事實上，正是這種知識的水平將他們拉開差距，這些知識把高級信息安全領(lǐng)導(dǎo)者與只擁有物理安全背景的同行區(qū)分開，使他們的遴選過程更有吸引力。

Kushner說："隨著企業(yè)為加強自己的業(yè)務(wù)而更加依賴于技術(shù)，CISO將需要擴大和發(fā)展他們的技術(shù)能力和意識。這種知識面將是保持核心技術(shù)職能領(lǐng)先性（包括軟件開發(fā)、基礎(chǔ)設(shè)施、工程和運營），以及保持他們的可信度和建立信任關(guān)系的關(guān)鍵因素。"

這也意味著CISO的技術(shù)能力必須擴展，他們的職責(zé)將不僅僅局限于幫助一家公司應(yīng)對新的威脅和攻擊。

Kushner說："CISO必須考慮這項技術(shù)將對我們的業(yè)務(wù)產(chǎn)生什么影響，而不是考慮某個微件（widget）能干什么，以及它有多酷。他們應(yīng)該考慮的是，如果在供應(yīng)鏈、接入管理、移動應(yīng)用或其它任何東西上這樣做，將會產(chǎn)生怎樣的影響。"

隨著業(yè)務(wù)部門開始對技術(shù)進行評估來幫助他們進行擴展，CISO必須幫助業(yè)務(wù)部門了解這些新技術(shù)帶來的風(fēng)險。

Kushner說："這方面的一個例子是有關(guān)平板技術(shù)和移動設(shè)備的安全性。許多機構(gòu)正在考慮這項技術(shù)是幫助銷售人員提高生產(chǎn)力和實現(xiàn)業(yè)績最大化的途徑。但是CISO必須能夠清楚地說出這些新技術(shù)會使業(yè)務(wù)部門面臨怎樣的風(fēng)險，以及他們應(yīng)該如何正確地使用才能確保法規(guī)遵從性和遵守行業(yè)標(biāo)準(zhǔn)與框架。"

全新水平的業(yè)務(wù)才干

Kushner解釋說："安全人員目前面臨的最大的安全問題是：過去他們利用同行的作為來衡量自己掌握的技能應(yīng)當(dāng)是什么的基準(zhǔn)，現(xiàn)在衡量基準(zhǔn)實際上是經(jīng)理團隊。"

Kushner又說，雖然你可能是應(yīng)用安全領(lǐng)域的專家，將你自己與一組應(yīng)用安全專業(yè)人員比較只會讓你局限在應(yīng)用安全領(lǐng)域，不會讓你的水平提升到管理級。

"你必須讓自己與坐在會議室中的另一些人比較。許多安全人員說：'經(jīng)理會議桌旁沒有我的座位。'但事實是由于沒有讓其它經(jīng)理經(jīng)歷級別的人相信他們應(yīng)當(dāng)擁有經(jīng)理級的座位。"

Kushner建議發(fā)展技能并進行一些職業(yè)投資，幫助自己進入經(jīng)理級別。另外還要了解機構(gòu)的關(guān)鍵組成部分--不僅僅只是它的安全部門，這是使你被人注意的要素。最后還要了解機構(gòu)面臨哪些超出安全與風(fēng)險范圍的阻礙。

"多數(shù)安全人員認為自己擁有足夠的業(yè)務(wù)技能。但是安全人員定義業(yè)務(wù)技能的方式和CIO及CFO或其它C級人員定義業(yè)務(wù)技能的方式可能是兩種不同的東西。"

溝通能力--包括傾聽技能

Kushner說："為了安全項目能夠被正確實施，你必須能夠讓每個人知道這個信息，而且每個人都必須培養(yǎng)某種安全意識。"

Kushner指出在與機構(gòu)中其它人溝通的第一階段中，傾聽技能可能比談話技能更重要。他說："了解人們的想法和文化就是這樣一種技能。很多人忽略了這種技能。"例如，你不會用與業(yè)務(wù)領(lǐng)導(dǎo)人交流的方式與技術(shù)運營團隊進行交流。

Kushner說："找到不同的語言，以及找到如何把你正在做的事情翻譯成一種他們尊重和理解的語言十分重要。與安全領(lǐng)導(dǎo)者的有效交流意味著更廣泛的知識基礎(chǔ)。"

領(lǐng)導(dǎo)技能--不管你是什么職位

據(jù)Kushner說，今天所有的雇主想要從CISO或安全經(jīng)理那里尋找的所有技能中，最重要的是領(lǐng)導(dǎo)技能。許多公司可能由于尋求公司中的變革而雇用一位CISO，他們需要一位能夠推動安全性向新方向發(fā)展的CISO。

Kushner說："由于信息安全以從未預(yù)料到的不同方式滲透到公司的各個角落，這種信息，以及對信息安全的設(shè)想是必須向所有人傳達的信息。"他說："不僅向知道內(nèi)幕的人員傳達，而且還要向忽視安全性的人員傳達。"即使你現(xiàn)在沒有擔(dān)任領(lǐng)導(dǎo)職位，你也可以在當(dāng)前的職位上培養(yǎng)這種技能。Kushner說，領(lǐng)導(dǎo)技能有許多種表現(xiàn)形式。

他建議："培養(yǎng)領(lǐng)導(dǎo)技能的前期，可以嘗試在一個項目里做那個工作最積極的人。這就是領(lǐng)導(dǎo)能力。另外，部署用于解決法規(guī)遵從問題的軟件包或工具也可以是成為帶頭人的機會。或者你可以成為具有在機構(gòu)中推廣安全文化想法的人。領(lǐng)導(dǎo)能力是某種不能描述的東西，但當(dāng)你逐漸擁有之后，就會意識到它的存在。"