CISO与CIO是企业中的一对搭档，昨天海外风向标带您关注了海外巨头企业的CIO们是如何回忆2015年，展望2016年的。今天我们再来关注海外名企的CISO们，明年他们的清单上又有哪些要求呢？

数据安全风险是时刻存在的，企业的CISO往往也面临着更多的选择和挑战。近期，数位海外大型企业的CISO接受了国外媒体采访，列出了未来一年中他们工作上的愿望“清单”。这些清单的条目包括：

1.集成安全工具；董事会的重视；科学培养的重要性。

2.应对风险的思想转变。

3.招募技术专家。

4.企业对安全的重视。

5.高层对安全风险的认识。

6.随时监测并应当风险的工具。

7.能力的加强与企业的财政支持。

8.新的安全监控平台。

下面我们为您一一介绍“清单”上的那些事儿.....

1.戴维.巴顿，CISO，Websense

集成安全工具。现如今CISO们都需要应对日益复杂的安全工具，但却没有很好的在一起沟通，彼此互相补充。在2016年，我希望有更多的安全产品，能够让CISO们聚在一起，为了基于标准化的技术分享而进行交谈和沟通。

董事会的重视。太多的CISO们都被企业归类为应付安全危机的职能。但安全问题也存在于董事会中，在企业高级执行战略会议中，在许多业务的规划进程中，也在业务的运营中。因此在接下来的一年，我也希望董事会能更重视CISO的地位和作用，让我们能够提供安全的建议/指导，以便帮助业务能够在安全的形势下健康运营。

科学培养的重要性。信息安全人才的匮乏是世界性的行业短缺。这种趋势还将继续发展，直到企业能够从大学和高中招募到足够的能够胜任的年轻人才。如果这种趋势不能逆转，那么我们将没有足够的安全人才和能力来保护重要数据。因此在2016年，我更多的兴趣将放到教育上，希望有更多的信息安全技术学科背景、并追求信息安全行业的人才从大学毕业。”

2.玛丽.钱尼，全球信息安全主管，强生公司（Johnson&Johnson）

“明年我最大的愿望就是所有的应用程序和数据库都能变得安全。今天的企业该如何应对和管理出现在企业网络、应用程序数据库层面中的电子漏洞呢？我认为人们的思想应该有所转变。漏洞的提醒实际上是暴露了一个组织潜在的风险，也是体现所有的业务风险的重要因素。

信息安全从IT的诞生，已经成长到今天的日益成熟，多年来，安全专家们坚信一个防御坚固的企业网络就是一切安全问题的答案。我们公司就曾为传统的网络防御系统，打造了完整的信息安全防护程序。但现在这一切都变得不再有效果。作为专业人士，我们需要转变思想，更加专注于技术和风险之间的关联。

现如今，从分析师到管理层都需要知道的是，攻击者的手段已经不再是强力的网络攻击，而是攻击企业的应用程序和数据库，也就是真正存储数据的地方。所以你必须时刻聚焦在你所处的环境中，真正存在风险的地方，也就是未打补丁和不安全的应用程序及数据库。一旦你找到了问题的答案，你就可以投入合适的时间、资金和精力，来建立企业的数据安全战略。”

3.埃尔坎.卡勒曼，CSO，Planview

“去年我曾希望我能完成项目进度，而在这一刻，我可以说，我完成了我的目标。对于接下来的一年，我希望能找到合格的技术专家加入我的成长团队。现在这种专家真的不容易招募。”

4.RobertJ.Schadey，CISO，1901Group

“2016年，我希望企业更关注安全工程应用的重要性。在企业中，如何知道防止核心功能被剥削的重要性？为什么安全问题总是在系统运营之后才被考虑，甚至是等到漏洞剥削系统资源的情况被发现和确认之后？在联邦政府、零售业甚至国防部的信息安全方面，这种错误似乎也出现在了这些系统工程建设中。

通常情况下，产品的选择和收购进程，往往是从反复的安全验证和供应商的安全保证开始的，在产品的监控、管理和支持中应用方法的安全性是必须被证明的。安全工程的应用程序在设计阶段，就必须朝着维护产品的恶意威胁处理能力，与提高产品生存能力之间的平衡性的方向发展。系统的识别功能和安全需求必须是在一个健全的开发过程中，同时数据的安全急救基线开发和所需文件要确保，这个系统的实施能够在技术上对风险及风险残留进行针对性防护。”

5.戴夫.达尔瓦，副总裁兼CISO，StrozFriedberg

“在2016年，我更希望企业的董事会和领导层能够意识到，应该把信息安全的风险管理视作最高级别的管理，等同于财务、名誉和法律风险。通常这些利益相关者提升对安全风险的关注，是因为本身或合作者有违约情况出现。我希望看到他们越来越主动的去了解安全风险是如何影响业务的，以及企业文化为何对于一个好的安全风险管理计划是如此的重要。”

6.JasonTaule,CSO,FEISystems

“在明年，我希望继续保持业务的发展与风险之间的平衡，在我的清单上只有一个附加条件，那就是像动漫《特种部队》里的那种可操作性的情报图。如今我们有丰富的工具和技术来抓取和评估威胁数据，但实际上我们自己成为了这种成功的受害者。对一切已经发生的数据威胁做出反应是不切实际的，现在的情况是，我们必须比以往更加重视早期的攻击检测，阻止未经授权的数据传输，并及时做出反应。忘记曾经的成就吧，最重要的事情已经变成如何在针堆栈中找到指针。”

7.柯蒂斯.达尔顿，高级副总裁兼信息风险与安全经理，文思海辉（Pectera）

“2016年，我希望通过跨企业系统的资源来加强行为分析的能力，以此发现数据误用或是滥用的现象。同事企业从董事会到各业务部门，对CISO的明确支持，包括他们希望风险降低到什么层次，和为了达到这个目的他们所能给予的预算支持。”

8.罗兰.克劳蒂，副总裁兼CSO，AutomaticDataProcessing（ADP）

“未来的一年，我希望安全技术部门的设计师、工程师和产品设计专家们，能够考虑开发一种自动化系统安全控制的高效平台。由于我要负责的是一个巨大的资源杠杆，所以在现有的安全管控中，如果能增加有效的透明度和高效的弹性，从企业决策的角度，甚至是审计这方面的考虑来讲都是很重要的。因此想象一下，如果我们安全部门能够看到一个可操作的平台或是报告，它们能够反映出我们当前系统运行的程度。我们也就能够知道各部门的需要，他们的效率和其内部资源分配、巩固乃至移除的概率。”

透过海外CISO们的“清单”，我们可以看出，企业高层的重视、高级工具的使用和人才的短缺是CISO们面临的最大的挑战。2016年，您的愿望“清单”上想写什么呢？