擁有首席信息安全官的公司與只擁有IT安全經(jīng)理的公司有什么區(qū)別?有人可能會(huì)說(shuō)首席信息安全官具有更廣泛的責(zé)任，但真正的答案是領(lǐng)導(dǎo)力。

 

ESG公司最近的一項(xiàng)研究發(fā)現(xiàn)，溝通能力和領(lǐng)導(dǎo)技能是首席信息安全官獲得成功的兩個(gè)最重要的品質(zhì)。在受訪者眼中，技術(shù)敏銳性遠(yuǎn)不如傳遞正確信息的能力重要。

 

首席信息安全官成為首席信息官的合作者將成為一種常態(tài)，而安全專(zhuān)業(yè)人員需要學(xué)習(xí)安全知識(shí)以外的技能，并學(xué)習(xí)如何成為商業(yè)領(lǐng)袖。

 

 

英國(guó)博彩公司威廉·希爾集團(tuán)首席信息安全官Killian Faughnan說(shuō)，雖然人們認(rèn)為業(yè)務(wù)安全是一種推動(dòng)因素而不是成本中心或障礙，但首席信息安全官很少是人們認(rèn)可的商業(yè)領(lǐng)袖或推動(dòng)者。

 

與包括首席信息官在內(nèi)的更為成熟的角色相比，首席信息安全官往往處于次要地位，因?yàn)樗ǔ２皇且粋€(gè)推動(dòng)企業(yè)業(yè)務(wù)發(fā)展的角色。Faughnan說(shuō)：“企業(yè)管理層中的每個(gè)管理者幾乎都在推動(dòng)業(yè)務(wù)的發(fā)展，而如果沒(méi)有在企業(yè)董事會(huì)和委員會(huì)占有一席之地，就不是真正的商業(yè)領(lǐng)袖。”

 

其原因在于，首席信息安全官往往沒(méi)有考慮他們所做出的決策將如何推動(dòng)業(yè)務(wù)發(fā)展。Faughnan說(shuō)，“企業(yè)開(kāi)展業(yè)務(wù)的目標(biāo)就是為了盈利。其業(yè)務(wù)是生意而不是安全。但是人們需要考慮這樣一個(gè)事實(shí)：企業(yè)的決策者處在部署資源的位置上，業(yè)務(wù)決策將會(huì)影響到其他人。如果企業(yè)的某個(gè)部門(mén)花費(fèi)100萬(wàn)英鎊，這可能對(duì)于其他部門(mén)來(lái)說(shuō)并不只是100萬(wàn)英鎊，用于業(yè)務(wù)發(fā)展可能將其變成500萬(wàn)英鎊。”

 

他補(bǔ)充說(shuō)：“首席信息安全官需要確保所推動(dòng)的行為和結(jié)果來(lái)自于業(yè)務(wù)目標(biāo)，而不是安全行業(yè)的目標(biāo)。顯然，我們要做的是確保安全，但如果以犧牲業(yè)務(wù)為代價(jià)來(lái)實(shí)現(xiàn)目標(biāo)，那么這就是失敗。”

 

 

首席信息安全官需要學(xué)習(xí)的一項(xiàng)業(yè)務(wù)技能是營(yíng)銷(xiāo)。雖然他們可能不會(huì)向外界推廣，但每當(dāng)首席信息安全官與董事會(huì)成員溝通時(shí)，都在推銷(xiāo)自己及其職能。Faughnan在倫敦召開(kāi)的InfoSecurity歐洲會(huì)議上發(fā)布演講時(shí)表示，首席信息安全官在向企業(yè)董事會(huì)展示能力時(shí)，無(wú)論是更新還是資源請(qǐng)求，實(shí)際上都是營(yíng)銷(xiāo)活動(dòng)。他說(shuō)，“首席信息安全官正在推銷(xiāo)產(chǎn)品，而安全就是他們的產(chǎn)品。”

 

他表示，“人們不需要了解安全性即可理解市場(chǎng)營(yíng)銷(xiāo)。人們需要將重點(diǎn)放在需要關(guān)注的東西上，而不是需要學(xué)習(xí)的東西。市場(chǎng)營(yíng)銷(xiāo)是一個(gè)很好的理由。”

 

Faughnan表示，與企業(yè)董事會(huì)成員交流更像是一場(chǎng)營(yíng)銷(xiāo)活動(dòng)，這讓他更加關(guān)注消息傳遞。他說(shuō)，“我有很多圖表，其中具有太多的信息，當(dāng)我向董事會(huì)成員介紹正在做的工作的時(shí)時(shí)，我只看到他們坐在那里聽(tīng)我描述，但他們并不感興趣。”

 

為了像市場(chǎng)營(yíng)銷(xiāo)人員一樣思考，F(xiàn)aughnan建議首席信息安全官學(xué)習(xí)基本的營(yíng)銷(xiāo)原則，例如4P營(yíng)銷(xiāo)理論、Ansoff矩陣、產(chǎn)品生命周期，甚至是自我展示。他說(shuō)，“如果正在銷(xiāo)售一個(gè)特定的產(chǎn)品，那么就是在推銷(xiāo)一個(gè)愿景，而這個(gè)愿景將來(lái)自產(chǎn)品。對(duì)于首席信息安全官嘗試向董事會(huì)銷(xiāo)售的每件產(chǎn)品來(lái)說(shuō)，都有產(chǎn)品生命周期。”

 

他表示，“和其他任何東西一樣，人員也是這個(gè)產(chǎn)品的一部分，其中包括著裝。例如身著正裝在銀行辦理事務(wù)可能很適合，但是如果在一個(gè)公司文化比較隨意的公司中，這種穿著可能變得很奇怪。”

 

 

Faughnan在他的演講中表示，首席信息安全官最終的目標(biāo)應(yīng)該將演示文稿放到一張幻燈片中，幻燈片可以更簡(jiǎn)潔說(shuō)明做得很好、中等水平或不好。他承認(rèn)這是一個(gè)不切實(shí)際的目標(biāo)，但仍然應(yīng)該成為一個(gè)鼓勵(lì)保持內(nèi)容簡(jiǎn)潔的目標(biāo)。他說(shuō)，“數(shù)據(jù)有它的位置，但主要在儀表板中。首席信息安全官的工作就是把這些數(shù)據(jù)壓縮成有意義的數(shù)據(jù)，并能夠以一種通俗易懂的方式向企業(yè)董事會(huì)展示這些數(shù)據(jù)。可以提供與其他人相同的信息，但可以采用完全不同的方式呈現(xiàn)。”

 

實(shí)際上，首席信息安全官應(yīng)該嘗試將他們的演示文稿壓縮成三張幻燈片和三條消息。除此之外，董事會(huì)成員可能很難關(guān)注。他說(shuō)，“當(dāng)向董事會(huì)成員展示30頁(yè)的幻燈片時(shí)，等于告訴他們的是，‘我無(wú)法解決這個(gè)問(wèn)題，無(wú)法找出最重要的東西是什么，而我在全力以赴地工作。”董事會(huì)成員通常很忙碌，也許在15分鐘的時(shí)間就會(huì)產(chǎn)生靈感和主意。對(duì)首席信息安全官來(lái)說(shuō)，最困難的事情是要向董事會(huì)成員提供他們想要的東西。”

 

他說(shuō)，“董事會(huì)成員想要的是明確的數(shù)字，可以表示企業(yè)安全狀態(tài)的單一指標(biāo)或比例。首席信息安全官擔(dān)心的事情可能具有10多個(gè)指標(biāo)，董事會(huì)成員會(huì)說(shuō)，‘你能給我們一個(gè)數(shù)字嗎?’首席信息安全官需要采用一些方法處理所有的數(shù)據(jù)、圖表、信息，然后采用一個(gè)尺度來(lái)評(píng)估做得好不好。就是如此。”

 

就像采用一張幻燈片闡述內(nèi)容一樣，這可能是一個(gè)無(wú)法實(shí)現(xiàn)的目標(biāo)，但通過(guò)始終關(guān)注這個(gè)目標(biāo)，首席信息安全官將能夠保持他們的信息簡(jiǎn)短而重要。

 

 

Faughnan表示，雖然首席信息安全官采用營(yíng)銷(xiāo)方法向董事會(huì)成員提交的內(nèi)容是有所幫助的，但它只是將其安全角色轉(zhuǎn)變?yōu)闃I(yè)務(wù)領(lǐng)導(dǎo)者的一個(gè)方面。他說(shuō)，“安全專(zhuān)業(yè)人員通常都具有相同的職業(yè)發(fā)展路線，對(duì)事物有著相同的看法，并且非常注重技術(shù)交付和安全技術(shù)。”

 

為了拓寬思路，F(xiàn)aughnan建議學(xué)習(xí)工商管理碩士(MBA)課程。他說(shuō)，“學(xué)習(xí)商業(yè)課程使首席信息安全官能夠在關(guān)注技術(shù)和安全之外，理解商業(yè)概念。例如，很多人無(wú)法理解為什么從來(lái)沒(méi)有按照企業(yè)的要求進(jìn)行交付。”

 

他說(shuō)，“很多人并不會(huì)認(rèn)為可以很快掌握專(zhuān)業(yè)知識(shí)，例如，如果首席信息安全官正在向董事會(huì)成員營(yíng)銷(xiāo)推廣，并不意味著需要學(xué)習(xí)營(yíng)銷(xiāo)專(zhuān)業(yè)知識(shí)。如果與董事會(huì)成員討論財(cái)務(wù)問(wèn)題，并不意味著學(xué)習(xí)財(cái)務(wù)知識(shí)。如果計(jì)劃做預(yù)算編制，作為一名安全專(zhuān)業(yè)人員并不意味著需要學(xué)習(xí)預(yù)算課程。”

 

他承認(rèn)，首席信息安全官作為一名安全領(lǐng)導(dǎo)者，需要一職多能。但他說(shuō)，“首席信息安全官不必了解企業(yè)業(yè)務(wù)的所有內(nèi)容，只需要了解它們以及它們的價(jià)值。不需要成為全能的專(zhuān)家，也不要害怕尋求幫助。如果想進(jìn)行營(yíng)銷(xiāo)，可以咨詢市場(chǎng)部門(mén)。如果實(shí)施文化變革，那么需要與人力資源工作人員一起參與更廣泛的文化變革計(jì)劃。”