DataBank CISO 洞察 C-Suite 中的技术领导力

Mark Houpt 最早在高中重布计算机实验室时发现了自己的技术天赋。之后他加入了美国海军，担任密码专家，随后进入私营部门，从帮助台技术员一路干到了 C-Suite 高层。他目前担任 DataBank 的 CISO。该公司在全国运营着数十个数据中心。

在与 InformationWeek 的对话中，他讲述了自己如何进入技术领域，并对当前的技术格局提出了独特见解。

你是如何开始从事科技领域工作的？

我在 1980 年代后期高中时被要求铺设电缆并协助建设一个计算机实验室。那个实验室是一个打字室，主要是教年轻女士如何成为秘书。我们希望将其升级，使其更加包容。

1991 年，我加入海军，担任密码专家四年半。他们让我们接受所谓的 ( A School ) 和 ( C School )——那是关于如何执行我们工作的强化培训课程。

退伍后，我依然没有拿到学位。我的职业发展主要依靠认证和实践学习。后来我取得了信息安全与保障的硕士学位，那是我第一次接受正式教育。至今我仍在不断通过认证和实践学习来提升自己。

你在私营部门的早期工作是什么？

我先是进入一家医疗机构工作，负责帮助台。当 HIPAA 出现时，他们一天在董事会会议室讨论如何应对。有个人提到帮助台有个小伙子说他以前做过密码学。于是他们把我叫上董事会会议室进行讨论。这次经历重新激发了我对技术和安全事业的热情。

在我的各项工作中，我始终把安全纳入其中，即使那时这并不流行。我曾在伊利诺伊州的一所大学担任 CTO，并承担副职职责。我们还把我的 CISO 职称加到上去。这一点很重要，因为在那期间，美国教育部开始利用一系列安全要求。

你是如何拿到 CISO 职位的？

我在 DataBank 担任 CISO 已有 10 年。实际上，我的这一段职业历程起始于担任一家名为 Edge Hosting 的公司的 CISO，该公司后来被 DataBank 收购。我于 2015 年 1 月加入 Edge Hosting，2017 年 Edge Hosting 被收购后，我继续担任 DataBank 的 CISO，因为 DataBank 当时没有 CISO。我们的公司也从两个数据中心和 60 名员工发展到 73 个数据中心和近 1,000 名员工。

我们所服务的客户类型也完全不同。十年前，我们服务的小企业多是希望“上云”的家庭作坊式公司，而现在我们与知名品牌合作，为那些使用共置空间的企业服务，我们甚至将整个数据中心出售给一家公司。

领导方面的挑战大吗？业界常有这样的说法，认为技术能力和人际交往能力并不一定能兼得。

我并不觉得领导他人有什么困难。这只是一项额外的技能，如果你想从普通技术人员跃升到高层技术管理职位，就必须具备。如果你想成为一名优秀的安全架构师，就必须能够与他人顺畅互动、合作。你需要能够与那些对技术一窍不通的人坐下来交谈，用他们能理解的语言传达他们所需的安全方案。你还需要能与客户沟通，而大多数客户对安全甚至技术几乎一无所知。

海军给了我一个很好的起点。随着军衔的提升，海军要求你必须成为一个领袖，无论你是否愿意接受这种角色。你要么接受培训并调整方向，要么就无法成功。

因此，对我来说，领导并不困难，但我曾多次见到那些不刻意培养自己人际交往能力的人。这往往会带来问题——他们可能专横跋扈、冒犯他人。领导力是一项需要不断磨炼和培养的技能，并非与生俱来。

CISO 及其他技术高管在与 C-Suite 同行沟通时会遇到挑战吗？

如果我说完全没有问题，那是在撒谎。我坚信这个问题的广度和深度主要取决于 CISO 本身。他们是否能够为企业营造出紧迫感和需求感？

如果我不理解风险的重要性以及如何在业务需求和安全需求之间取得平衡，那么我就是在辜负我的公司。因此，我主动学习了如何处理财务问题。如果你想在大规模企业中作为 CISO 获得成功，这正是你必须做到的。

如今 CISO 面临哪些挑战？业界还存在哪些亟待改变的事情？

我们曾一直遵循着“绝不让危机浪费”的心态来争取更多人手和技术支持。每当公司遭遇哪怕一点点勒索软件袭击，我们就会充分利用这次机会。而我们现在面临的挑战是安全疲劳。

我们必须改变我们传递信息的方式——让它证明能如何帮助业务发展。另外，CISO 必须意识到，在预算有限的情况下同样可以做好安全工作。只要我们实施良好的安全习惯，就完全能取得理想的效果。

目前有哪些方面发展得不错？你如何看待 C-Suite 内部事态的演变？

我认为人们终于开始重视安全卫生了。安全意识已不再仅仅是一项乏味的任务——越来越多的企业开始认识到安全是所有人的责任。

此外，我们的联邦政府也开始真正给予我们资源。CISA 正在积极主动地伸出援手，帮助普通企业——他们雇佣人员作为中小企业的顾问，进行评估，指出企业缺乏哪些防护措施以及如何加以改进。