a16z式拆解：优秀CISO的10个核心特质

成功的安全体系是个人能为现代企业做出的最高杠杆贡献之一。它构建韧性，促进创新，并与客户建立持久的信任。然而，首席信息安全官（CISO）这一角色存在极大差异且常被误解。经过数十年建设与观察安全项目，我们发现伟大 CISO 的区别不在于预算或技术，而在于心态、策略与责任感。受 a16z 的《优秀产品经理 / 糟糕产品经理》框架启发，以下是对应的优秀 CISO / 糟糕 CISO 对照。

优秀的 CISO是管理技术风险的业务高管。他们是安全项目的首席执行官。他们对组织的复原力承担全部责任，并以业务成果来衡量自己。他们在着手之前就了解背景——公司的战略、营收模式、文化——并负责制定和执行一套成功的风险管理方案。没有借口。

糟糕的 CISO是管理安全工具的 IT 经理。他们有很多借口。经费不足、开发人员不重视安全、董事会不理解、用户不小心、我们人手不够。这些都是 CISO 把自己的工作定义得过于狭窄并放弃所有权的症状。

优秀的 CISO制定清晰的战略——一个关于如何击败对手并构建复原力的连贯理论。他们知道计划不是战略。他们的战略具有生成性；它为其他团队创造并激发工作，使整个组织更安全。他们定义“做什么”（一个以安全为设计理念的平台），并授权他人管理“如何做”。

糟糕的 CISO把一堆项目和供应商采购当成了策略。他们会展示复杂的项目计划，却无法清晰表达一个简单的总体目标。他们的工作是消耗性的，耗尽了安全团队的时间和政治资源。

优秀的 CISO构建飞轮。他们设计自我强化的系统来扩展安全性、降低控制的单位成本，并使安全路径成为最便捷的路径。他们将安全从手工艺般的工作转变为工业规模的能力。他们预见严重的系统性风险并构建真实的、可扩展的解决方案。

糟糕的 CISO像是在运营消防站。他们不断被压得喘不过气，摇摆于一次次危机之间。他们抱怨成为瓶颈，衡量生产力的主要标准是关闭工单的数量。他们整天灭火，而未来火灾的引火物和火花仍未得到解决。

优秀的 CISO会管理他们的供应商、软件和合作伙伴供应链。他们关注的是购买安全的产品，而不仅仅是安全产品。他们利用采购影响力促使供应商将安全内置于核心产品中，从而提升整体水平。他们将供应商视为自身风险面的延伸，并对其提出高标准要求。他们通过战略性规避风险（例如技术现代化）积极降低对安全服务的需求，并提高安全供给的效率。

糟糕的 CISO只会不断购买更多安全产品。他们的供应商管理策略始于并止于采购下一个工具。他们对供应商的销售宣传被动反应，把技术视为解决流程和人员问题的万灵药。他们不断抱怨预算不足，却不提供任何战略性替代方案来减轻业务的安全负担。

优秀的 CISO用企业的语言沟通：风险、资本和机遇。他们量化风险以提供证据，而不是轶事。他们创建可复用的材料——常见问题解答、白皮书、清晰的风险立场声明——以扩展其信息传播。他们就重要问题采取书面立场，从架构选择到风险接受。他们将风险管理视为危险+愤慨，理解利益相关者的感知和情绪与技术事实同样关键。他们主动建模并管理叙事。

糟糕的 CISO用技术行话和恐惧、不确定与疑虑（FUD）来沟通。他们用缺乏业务背景的指标压垮利益相关者。他们抱怨整天都在为其他团队答疑解惑。他们只口头表达意见，并哀叹“有权决定的人”不允许事情发生。当他们失败时，会指出自己曾预测到这一点。当小事件引发重大利益相关者愤慨时，他们被打个措手不及，抱怨“他们不了解真正的风险”。

优秀的 CISO拥有深厚的技术基础，但将其用于培养同理心。他们的技术流利性使其战略扎根于现实，并使他们能够理解开发者、工程师和供应商所面临的限制与挑战。他们不把这些知识当作赢得争论的武器，而是用来提出更好的问题、建立可信度，并在切实可行的解决方案上进行协作。

糟糕的 CISO要么缺乏技术深度，要么把技术当作棍棒。如果他们缺乏技术深度，就无法与工程团队进行有说服力的对话，容易被厂商的炒作所左右。如果他们具备技术深度，就会用它来强制规定“如何做”，将自己偏好的实现方式强加给团队，扼杀创新，造成怨恨。他们在技术上赢得了斗争，却在争取人心和战略层面上失败。

优秀的 CISO会确保坏消息快速传达。他们知道信息在向上汇报的过程中常被过滤和软化，导致领导层获得对现实过于乐观的画面。他们营造一种心理安全的文化，鼓励提前报告坏消息并给予奖励，而不是惩罚。他们想知道丑陋的真相，而且要第一个知道。他们不仅是技术专家，还是文化建设者。他们明白，最好的安全控制不是防火墙，而是有安全意识并有动力做正确事情的员工队伍。

糟糕的 CISO总是最后知道。他们的领导风格让人们不愿意把问题提出来，确保他们与真实情况隔绝开来。他们成为了自己参与构建的信息过滤机制的受害者。

优秀的 CISO建立并赋能他们的团队。他们专注于培养未来的领导者，并通过安全冠军等联邦式模型创造杠杆作用。他们知道自己的工作是建立一个能超越他们自身存在的职能。他们不是单点故障。

糟糕的 CISO囤积信息与决策权。他们认为自己不可或缺就是成功的标志。他们成为团队的主要瓶颈和单点故障。

优秀的 CISO通过教董事会应该就风险提出哪些“元问题”，使董事会能更有效地治理，将监督转变为战略伙伴关系并创造共同的问责制。

糟糕的 CISO将董事会视为需要被管理的被动观众或需要被克服的障碍。他们提交旨在争取预算的状态报告，却未能提升董事会自身的能力。

优秀的 CISO与长期的伙伴一起进行长期的博弈。他们理解同行网络的力量，既贡献也获取。他们建立基于信任和相互尊重的关系。他们以业务的成功来定义自己的工作和成功，并灌输使团队能够快速且自主运作的纪律。

糟糕的 CISO是功利性的。他们只有在需要快速答案或下份工作时才会利用自己的人脉。他们是索取者，而非建设者。他们不断希望被告知该做什么，只要求合规，这扼杀了团队合作并造成瓶颈。

结论：优秀的 CISO 是务实的、具备技术和业务导向的高管，他们激励团队、与同僚协作，并对推动变革负责。他们懂得如何在战略与战术之间取得平衡，而不让任何一方压倒另一方。而糟糕的 CISO，嗯，几乎完全做不到这些，或做得远远不够。

原文链接：

https://www.philvenables.com/post/good-ciso---bad-ciso

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。