Clarke Rodgers（00:08）：
Darren，非常感谢你今天能够光临。

Darren Kane（00:10）：
谢谢，Clarke，很荣幸有这个机会。

Clarke Rodgers（00:11）：
你太客气了。能否请你介绍一下你自己、你的背景以及你在 NBN 担任的职位？

Darren Kane（00:18）：
好的。嗯，我是四个孩子的父亲，也是一位丈夫。我目前是澳大利亚国家宽带网络公司的首席安全官，这是一家全资的政府商业企业，为澳大利亚约 860 万个场所提供批发宽带服务，能够连接超过 1100 万个场所。

我在这个职位上已经有八年多的时间了。此前，我在安全领域工作了 11 年半，其中包括在 Telstra 负责指导公司安全。在此之前，我在政府、美国证券交易委员会、我们的澳大利亚证券投资委员会工作了六年半。而更早之前，我在澳大利亚联邦警察局工作了大约 13 年。所以说，近 40 年来，我主要在执法和安全领域工作。

Clarke Rodgers（01:05）：
了不起！我见过很多客户首席信息安全官，我们看到首席信息安全官的角色随着时间的推移而演变，可以公平地说，在过去的 10 到 15 年里，安全办公室的地位稳步提升，成为我们必须配置的机构。开句玩笑，他们待在地下室，只有在绝对必要的时候才会被召唤。而现在，首席信息安全官需要定期向董事会报告。他们是高管的一分子，实际上也是整个企业的一部分。你能根据自己的经验，分享一下 CISO 这个角色是如何演变的吗？或者可以特别谈谈澳大利亚的情况吗？

Darren Kane（01:44）：
首先，首席信息安全官这个角色非常重要。随着公司变得更加高效和有效，基于数字平台并逐渐进入数字时代，首席信息安全官在管理该领域的安全风险方面的职责也呈指数级增长。但是，所有在技术平台上的内容也是如此。

首席信息安全官只关注信息安全的角色实际上已经多余了。他们现在需要真正关注隐私、事件响应、业务连续性等问题，特别是与运营技术相关的问题。而且，由于我们实际上拥有用于构建接入点的访问控制系统，我们有数字取证调查要求等等，你会发现，首席信息安全官的角色已经不断发展，实际上会带来除信息安全之外的问题。

所以，我绝对是那个说“放弃 I”的人 在现代大公司中，如果需要一位首席信息安全官，我确实认为也应该有一位首席安全官。我所说的这些问责领域现在都非常重要。从值得信赖的内部计划到隐私和隐私泄露，再到事件响应，这是一套严密的问责制度。而且，对于首席执行官、高层管理层和董事会来说，要真正相信这是一项精简的工作，由一个人来负责的情况并不罕见。这个人现在就是首席安全官。

我还想补充一点，首席信息安全官和首席安全官在现代公司或实体中的重要性已经非常非常突出。董事会、高管，尤其是政府，现在已经了解安全问题所带来的风险。因此，负责这项工作的人扮演着更重要的角色，他们需要能够表达和沟通，以及管理和领导。

Clarke Rodgers（03:57）：
所以，首先，我喜欢那个放弃“I”的人，对吧？ 所以我们需要把它印在 T 恤上的某个地方。但回顾一下，你提到了管理组织的整体风险。组织在业务上需要寻求创新和成功，而在安全风险、合规性和隐私上需要做很多其他事情，对于担任首席安全官，或者首席信息安全官职位的人，如何平衡这两者之间的关系？ 你如何在为客户进行创新的同时向业务领导者“推销”安全方面的内容？

Darren Kane（04:40）：
这是一项挑战。毫无疑问。我认为过去我们都曾为此感到内疚，包括我。实际上，我不断地要求企业理解并认识到我们实际上要承担或负责的风险。通过这样做，我们常常会夸大风险，并要求他们通过进一步的资源支持或实际的资金支持来切实解决风险。我所说的资源显然是指劳动力。

这也是对我们管理的风险的认可。现在，我认为这种做法在一段时间内发挥了作用，同时我们实际上正在做出各种努力以确保他们理解并认识到风险。但最近，就你的观点而言，最有能力的董事会，当然还有最有能力的最高管理层现在对安全风险有相当深刻的了解。他们的问题是，我们要采取什么措施来控制它，以及我们如何在有限的资源范围内管理它？

这就是你的观点，如果你继续夸大风险，那么这是一个令人厌倦的信息。因此，我的方法是，与提供支持的最高管理层和表示理解的董事会切实合作，帮助他们理解良好的安全成熟度、强有力的防御姿态和卫生环境的重要性，以及由此带来的优势和机遇。事实是，如果他们确信我们正在通过有限资源有效管理风险，那么他们是否会考虑从我们这里拿走一部分资金，并将其用于其他业务领域，例如弹性领域？

Clarke Rodgers（06:21）：
对。

Darren Kane（06:21）：
他们真的能在晚上睡得更好一些，并且专注于其他问题，例如劳动力问题吗？ 所以，我的方法是，应该将安全视为推动力，而不是一种限制或某种阻碍力量。我能用的最好的类比是，如果你将一个实体看作一辆高性能的汽车，首席执行官就是驾驶员，那么人们普遍认为汽车中的制动器，也就是安全组，是用来让这辆车停下的。这是我们最常见的认识和理解。

我不同意这种看法。我认为，制动器是为了让车辆驾驶员，也就是首席执行官能够将这辆车的性能发挥到极限。

Clarke Rodgers（07:06）：
可以这么说，跑得更快。

Darren Kane（07:07）：
只要他们有信心并且知道可以在必要时踩下制动器并停下来，就可以发挥车辆性能，甚至到达极限。因此，实际上，安全组使企业能够充分发挥其性能能力。

Clarke Rodgers（07:22）：
很妙的比喻。我很喜欢。那么，你本人需要向董事会报告吗？

Darren Kane（07:25）：
是的，我经常通过条例委员会向董事会报告，偶尔也会临时直接向董事会报告，但肯定每年至少两次。显然，作为最高管理层的直接下属，我会直接向最高管理层报告，并且我会根据需要经常这样做。

Clarke Rodgers（07:40）：
那么，不详述具体细节，现在董事会对什么样的信息感兴趣，或者现在的高管对什么样的信息感兴趣？ 因为多年来的情况是“我已经修补了这么多机器。我们有这么多漏洞。我安装了这个新的安全软件，希望能够消除这些漏洞。” 他们是否仍然对位和字节这类信息感兴趣，或者你是否以不同的方式向他们传达风险？

Darren Kane（08:10）：
我想我是在用不同的方式传达风险。你刚才描述的内容非常细节化，更像是管理层向执行委员会报告，而不是向董事会报告。但我是一名首席安全官，因此我对整个 NBN 的所有安全风险负有企业责任，其中包括对 860 万个场所的批发式访问。澳大利亚 85% 到 86% 的数据都会经过我们的网络。

Clarke Rodgers（08:39）：
哇哦！

Darren Kane（08:40）：
当我向董事会和最高管理层简要汇报情况时，我会采取一种整体性的方法。如果他们要求我有针对性地介绍某件事，我会提供更精细的数据。然而，在当前的环境下，地缘政治问题、威胁环境、乌克兰问题、印太问题、供应链问题等都非常显著。显然，网络风险、民族国家和网络犯罪是一个显著问题，和世界其他地方一样。

因此，我可以报告的问题非常广泛。如果他们有针对性地询问网络安全问题，我当然会提供一些相关细节，以及我们是如何通过管理控制措施来应对这些问题的。但有时，我也会尝试从更广泛、更全面的角度来呈现我所报告的内容。

Clarke Rodgers（09:36）：
你通常会用损益和资金来量化风险吗？ 我想，如果我是董事会成员，我会采用什么样的语言，然后你会如何调整对话以适应他们的语言？

Darren Kane（09:52）：
不会。这是个好问题。传统上，正如你之前所说，这是硬指标。但我认为，未来的发展方向在于量化分析以及用业务语言实际识别风险的能力。因此，企业实际上看重的是 dollars and sense（经济效益和业务逻辑），这里后者的拼写是 S-E-N-S-E。因此，我认为，在向董事会、执行委员会或任何人汇报情况时，使用“攻击面”、“内部威胁”和“不法分子”之类的语言是不合适的。 甚至包括业内最近的示例和趋势“零信任”。

Clarke Rodgers（10:32）：
对。

Darren Kane（10:33）：
我的目标是让董事会和所有与我合作的人信任我。使用一个负面性的词汇来尝试向他们解释我的意图，这确实是一个非常糟糕的信息传递方式。因此，我认为定量分析和从财务角度来识别整体风险，将其与成本控制联系起来，然后确定剩余风险，可能是最好的方法。虽然我还没有完全掌握这种方法，但这确实是我正在考虑的事情。

Clarke Rodgers（11:02）：
非常好。稍微转变一下话题，我们来谈谈人员配备，好吗？ 我从来没有遇到过哪位首席信息安全官或首席安全官对自己手下的安全人员数量感到满意的，他们不会说“我的人手已经足够了”。 我们总是需要更多的人手。我也和一些人谈过，他们对于在不额外雇佣安全人员的情况下，如何在整个组织中扩大安全团队有不同的想法。在 NBN，当你的安全人员可能有限时，如何真正让安全工作走在所有人的前面，并在整个业务中推广开来呢？

Darren Kane（11:46）：
我认为续新和留用一样重要。实际上，从某种程度上说，我会更加重视续新。我可以用来留住人才的资金是有限的，可以提供给他们的发展和晋升以及其他机会也是有限的。

说到底，这个行业需要人才。如果有人才，而现在又到了他们该离开的时候了，我会对他们说祝你好运。我的职责是要确保通过人才管理和继任者计划留下的人才，以及我们实际上吸引到我们组织中的人才，都有能力填补这个空缺。因此，我真正的关注点放在了毕业生计划和最近的实习计划上，这是让我引以为豪的东西。如果你有 5 秒钟的时间，我可以向你简要介绍一下。

Clarke Rodgers（12:35）：
请讲。

Darren Kane（12:37）：
我们认识到，我们需要让我们的毕业生和实习生更加多样化。因此，SLT 和安全组的高级成员将目标对准了 Box Hill TAFE，一所社区学院。这是维多利亚州墨尔本的 Box Hill TAFE，我们向那些想要在网络安全领域开创事业的人提供实习机会。目标是寻找那些正在寻找第二职业或重返工作岗位的人。碰巧的是，我们找到了五位很优秀的女性，她们要么因为其他问题而重返工作岗位，要么已经身为人母，等等，她们过去没有网络安全方面的经验。

Clarke Rodgers（13:18）：
哇哦！

Darren Kane（13:19）：
我们最初为她们提供了为期六个月的实习机会，即使在这个时期，我们也希望延长这个实习期。我们的目标是确保如果有机会雇佣她们，我们会这样做。但如果我们不能，我们实际上会给她们提供 12 个月的行业经验，这样当她们申请我们之外的角色或整个业务中的角色时，她们实际上会在简历上有这样的经验。让我高兴的是，其中一位实习生最近被一家排名前四的咨询公司选中了。

Clarke Rodgers（13:46）：
哇，这太棒了。

Darren Kane（13:47）：
我们正在尽我们所能把其他人安置好。当你和这些实习生或这些女性交谈时，会发现她们是非常有能力的，她们在寻找机会，一个展现自我的机会。我认为，这是我们整个行业在全球范围内应该效仿的例子，也就是说，你需要在业务中雇佣的大多数人需要具有好奇心，并且有端正的态度。他们不一定需要具备硬技能，因为我们知道是否雇佣其实取决于态度，技能是可以培训的。

简而言之，我的回答是，我的重点是续新而不是留用。我为安全组的校友感到非常自豪。现在墨尔本有大约八到九位首席信息安全官是通过 NBN 出来的。

Clarke Rodgers（14:37）：
太棒了。

Darren Kane（14:38）：
没错。从我的角度来看，我们在加强行业和建设 NBN 方面所做的工作同样重要。

Clarke Rodgers（14:47）：
你讲的关于实习生的故事太棒了。你知道，我经常和很多首席信息安全官交流，他们都在谈论团队中的多样性，包括意见、背景和经验的多样性。你能分享一下你的团队中这种多样性的情况吗？ 并不是每个人都有计算机科学背景，或者都是核心安全研究员。也许你们有人来自人力资源部门，也许有人有金融背景，最终成为了一名出色的安全从业人员。

Darren Kane（15:19）：
再一次，我笑是因为你的问题就在我的命中范围。我坚信，如果你想保护一个“村庄”，就需要拥有不同背景的“村民”一起努力。我有一个很棒的故事。有个人联系到我。在疫情期间的封锁期，他当时在我们的一个国家航空公司工作。他是一位非常资深的员工，是训练其他空客机长的机长。他被解雇了。然后，他去了 Box Hill TAFE 社区学院，并在领英上联系了我。有趣的故事。

当然，我回复了他并表示：“我很感兴趣。” 然后问：“那你现在想做些什么？” 我不知道的是，他后来申请了 NBN 的职位，我们雇佣了他，签了合同。

Clarke Rodgers（16:08）：
对。

Darren Kane（16:09）：
他来到这里时，依然保持着对飞行的热爱，但他之前在西澳大利亚州从事执法工作。这两者之间有一些实际的交叉点。

Clarke Rodgers（16:19）：
是你创造了这样的联系。

Darren Kane（16:20）：是的，联系。我们与他签订了一份为期 12 个月的合同，他只在 Box Hill TAFE 接受 12 个月的培训，即证书课程。显然，他的能力十分出众，无论是作为领导者还是管理者，而且很明显，他在驾驶空客和波音方面也有出色的技能。

非常成功。就像手套适合手一样。我们非常希望他能全职加入我们。但是疫情结束了，我们回到了正常的生活方式，嗯，或者说试图回到我们正常的生活方式。就在我们要给他提供职位的时候，航空公司向他提供了永久高级机长职位。还有一篇文章讲述了他在经历种种后重返蓝天的故事。 

Clarke Rodgers（17:14）：
哇哦。

Darren Kane（17:15）：
没错。这个例子很好地证明了你所说的话。这与经验和能力无关。而是与沟通技巧和实际参与能力以及学习意愿有关。我发现，如果你能找到拥有这些特质的人，就能取得成功，因为他们寻找的只是一个机会，而这会随着他们的成长而增长。

Clarke Rodgers（17:41）：
然后，不同的观点在整个安全部门的每个部分都非常有帮助。

Darren Kane（17:46）：
完全正确。还有一点，这在澳大利亚并不那么重要，因为就语言技能而言，我们没有那么多样化，但是我们越来越多地发现，血统的多样性，宗教的多样性，当然还有性别的多样性正变得非常重要。如果你是一位称职的领导者和管理者，你就会明白多样性的重要性以及他们给团队带来的价值。

Clarke Rodgers（18:13）：
NBN 有 860 万左右的客户，再加上你们所拥有的所有数据中心，以及技术不断渗透到每个人的生活中的事实，可持续性在 NBN 管理资源的方式以及思考方式上扮演着什么角色？它如何影响客户？

Darren Kane（18:34）：
嗯，不妨想想 NBN 所提供的产品，它使人们能够在任何地方工作，居家工作。所以，你遇到了碳足迹问题，遇到了无纸化办公问题。在有些地方，由于我们使用技术来改善现状，因此不会留下碳足迹。

我们有 860 万个场所连接，而且每个家庭可能有多个人。但我认为这是一个弥合澳大利亚数字鸿沟的机会，为需要接入互联网的每个人提供接入服务，同时确保我们可以利用技术来减少碳足迹。

如果从能否居家工作的角度来考虑，我坚信在最近的疫情封锁期间，从基础设施角度来看，拯救澳大利亚经济的不是公路和铁路，而是连通性。

Clarke Rodgers（19:33）：
当然！

Darren Kane（19:34）：
人们学习新工作方式的机会是通过这项技术实现的。这显然带来了混合或远程工作的能力，因为更多居住在澳大利亚偏远和农村地区的人能通过减少通勤来减少碳足迹。

因此，从我的角度来看，我可以看到技术以及我们未来实际利用技术的方式，特别是通过连通性，肯定会减少碳排放，提高可持续性。

Clarke Rodgers（20:09）：
当然。我知道你面前没有能够预测未来的“水晶球”，但你说过，你从事安全行业已经接近或刚刚超过 40 年。你认为五年后我们会谈论什么？

Darren Kane（20:26）：
在 2025 年，我将迎来职业生涯的第 40 个年头。我认为我从来没有经历过像我们现在所面临的这样的威胁形势。我认为我们这个行业的人员无法理解，生成式人工智能和机器学习将给行业带来的机会和技术进步。我认为，如果有的话，它还会加剧威胁形势，因此这真的很令人兴奋。

数据和数据量将是呈指数级增长，并且能够真正管理它。我想，我对确保社区不会将安全风险留给那些从事安全工作的人员身上，有各种各样的担忧。这是否有意义？ 我现在的口头禅是，安全问题，人人有责。

Clarke Rodgers（21:34）：
很有意思。

Darren Kane（21:35）：
你不能说自己是首席安全官，风险问题由安全团队负责，因为只有确保参与该领域的每个人都负起责任，才能在能力范围内掌控风险。可能是确保锁上身后的门的清洁工。可能是食指无处安放，却不知道自己已经点击了某个链接的繁忙的私人助理。当然，还可能是我们防御部门中的网络安全专业人员或首席信息安全官。在接下来的三到五年中，所有这些人现在都有责任确保他们明白并理解并如何采取控制措施来管理风险。

我认为，我们必须鼓励他们做的一件事是，当他们认为自己可能看到或做了某些事情时，要勇敢说出来，这样我们才能控制它。网络钓鱼演练和其他类似活动都是学习体验。这不应该是惩罚性的体验。

Clarke Rodgers（22:37）：
那么，如果这将是未来的状态，那么从安全文化的角度来看，你现在正在做什么，以帮助他们在非安全角色中建立这种思维方式，让他们始终思考安全问题？

Darren Kane（22:54）：
我认为最重要的是，我们没有夸大风险。所以，我想尝试做的是“推销”好处和机会，而不是总是说：“不要这样做，因为有风险。” 回到那个汽车比喻。配置制动器是为了让你可以在需要时踩下它，但不会影响你出去享受生活。

Clarke Rodgers（23:13）：
我很喜欢。Darren，非常感谢你今天能够光临。

Darren Kane（23:15）：
深感荣幸。一次愉快的谈话。非常感谢！