當今的首席信息安全官(CISO)需要與過去的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者有著截然不同的技能,因為他們對企業(yè)開展業(yè)務(wù)的成功越來越重要。
與首席執(zhí)行官(CEO)、首席運營官(COO)或首席財務(wù)官(CFO)等其他企業(yè)高管職位相比,首席信息官的角色和職責相對不成熟,僅在過去幾年就發(fā)生了顯著的發(fā)展。如今的首席信息安全官的職責和技能與過去的安全領(lǐng)導(dǎo)者有所不同,這反映了兩件事:數(shù)據(jù)在企業(yè)日常運營中扮演著重要且不斷增長的角色,以及由于對安全功能的期望不斷提高,需要確保數(shù)據(jù)的安全性和可操作性。
Randstad公司北美地區(qū)首席信息官Tami Hudson說:“在以前,首席信息安全官的角色僅僅是專注于技術(shù),而技術(shù)仍將是基礎(chǔ)。”然而,在我們?nèi)找鏀?shù)字化和數(shù)據(jù)驅(qū)動的環(huán)境中,首席信息安全官角色在技術(shù)與業(yè)務(wù)的交匯處提供了獨特的機會,以建立無處不在的網(wǎng)絡(luò)彈性,從而影響從會議室到郵件收發(fā)室的業(yè)務(wù)的各個部分。當一切都實現(xiàn)數(shù)字化時,一切都處于危險之中。”
如今,企業(yè)的業(yè)務(wù)成功與信息安全的成功息息相關(guān)。因此,現(xiàn)代首席信息安全官需要一套獨特的特性來使有效的數(shù)據(jù)安全策略、流程和實踐與各種業(yè)務(wù)需求和要求保持一致。
根據(jù)全球信息安全領(lǐng)域的專業(yè)人士提供的信息,以下是當今首席信息安全官需要具備的五個最重要的品質(zhì),以及如何獲得和保持這些品質(zhì)和技能的建議。
1.現(xiàn)代的首席信息安全官需要會講業(yè)務(wù)的語言
Cyber??GRX公司首席信息安全官 Dave Stapleton解釋說,“在網(wǎng)絡(luò)安全發(fā)展的早期,首席信息安全官最初希望執(zhí)行技術(shù)含量高且通常未公開的行動來保護其組織。如今,首席信息安全官不能簡單地成為其組織的技術(shù)專家。他們同樣需要了解企業(yè)的經(jīng)營使命,并清楚地說明他們開展的工作如何支持這一使命,為企業(yè)領(lǐng)導(dǎo)層提供切實可行的見解,并在在企業(yè)內(nèi)部中營造一種以安全為中心的文化。”
Stapleton補充說:“如果首席信息安全官不能完全理解其企業(yè)開展業(yè)務(wù)的使命,或者無法有效傳達安全對業(yè)務(wù)的影響,那么其有效性將至少受到影響。而在某些情況下,這種無法溝通甚至會導(dǎo)致首席信息安全官或企業(yè)領(lǐng)導(dǎo)層做出錯誤的決策,將會為企業(yè)的安全帶來直接和負面的影響。”
Stapleton認為,對于首席信息安全官來說,培養(yǎng)以業(yè)務(wù)為中心的溝通技能至關(guān)重要。他說,“不幸的是,如果首席信息安全官為不征求意見或不重視其意見的企業(yè)工作,這可能會很困難。也就是說,每個首席信息安全官都應(yīng)該能夠找到機會向企業(yè)領(lǐng)導(dǎo)層表達自己的信息。其中每一個機會都是有意義的,都有可能為隨后的參與打開大門。”他建議,首席信息安全官還應(yīng)將其了解信息的范圍從技術(shù)博客和安全新聞媒體擴展到商業(yè)新聞來源,例如《華爾街日報》、《福布斯》或彭博社。
2.現(xiàn)代的首席信息安全官是合作者
如今,首席信息安全官還必須是企業(yè)各部門之間的合作者,能夠在整個組織中建立和維護關(guān)系。國際信息安全認證機構(gòu)CREST公司總裁Ian Glover說,“網(wǎng)絡(luò)安全不是一門孤立運作的學(xué)科。為了取得成效,網(wǎng)絡(luò)安全需要來自其他業(yè)務(wù)部門的支持和專業(yè)知識,包括IT和通信、內(nèi)部審計、人力資源、營銷甚至文化變革計劃。”
Glover補充說,首席信息安全官需要確定可以從中獲得支持并努力工作,以建立基于信任、同理心、目標明確的協(xié)作關(guān)系的業(yè)務(wù)領(lǐng)域。
Chime 集團首席信息安全官Mark Nicholls對此表示認同,并強調(diào)了企業(yè)工作人員在任何安全策略中的重要性。沒有在業(yè)務(wù)部門建立牢固關(guān)系,安全功能很難有效發(fā)揮作用。對于包括首席信息安全官在內(nèi)的安全團隊的每個成員來說,重要的是要花費時間與各個業(yè)務(wù)部門了解他們的目標以及安全性如何幫助他們實現(xiàn)目標。
Nicholls表示,這種文化也能喚起成功并激勵良好的行為習慣,將有助于建立這種關(guān)系。他說,“與企業(yè)建立信任意味著將向首席信息安全官尋求幫助,并使他們盡早參與有助于按設(shè)計原則進行安全保護的項目,而不是在重蹈覆轍之后嘗試改進安全性。”
3.現(xiàn)代的首席信息安全官在情感上是明智的
Club公司首席信息安全官Stephen Khan表示,如今的首席信息安全官需要情感上的智慧。他解釋說,“這種素質(zhì)應(yīng)該不僅包括對他人的同理心和對自我的自我意識。在經(jīng)常處于高壓環(huán)境中的領(lǐng)導(dǎo)團隊,意味著我們的主要關(guān)注問題之一是他們的健康,并確保我們對他們的支持。對他們擔心的事情有同理心和了解,可以在這里有所幫助,并確保我們真正感興趣并參與其中。這會帶來更積極的結(jié)果。”
同樣,在現(xiàn)代安全領(lǐng)導(dǎo)角色中,認識和理解自己的偏見和知識差距也是至關(guān)重要的。Khan補充說,“意識到這些可以確保我們能夠建立一個多元化、包容性的團隊,這也讓我們能夠確保員工能夠補充知識并支持薄弱領(lǐng)域。此外,考慮到現(xiàn)代首席信息安全官角色的壓力,自我照顧以及能夠找到生活、家庭、自我、工作的平衡對于避免疲勞問題至關(guān)重要,這一點已經(jīng)困擾著全球各地的安全領(lǐng)導(dǎo)者。”
4.現(xiàn)代的首席信息安全官的戰(zhàn)略重點
華盛頓網(wǎng)絡(luò)風險咨詢機構(gòu)Good Harbor公司總裁Emilian Papadopoulos表示,現(xiàn)代首席信息安全官最被人忽視的重要素質(zhì)之一就是戰(zhàn)略重點。他說,“首席信息安全官受到各方面的干擾:最新的TTP(戰(zhàn)術(shù)、技術(shù)和程序)、不斷更新的技術(shù)解決方案、商業(yè)環(huán)境的變化以及來自高管、監(jiān)管機構(gòu)和客戶的大量問題。盡管其他高管可能會需要重新獲得戰(zhàn)略重點,但大多數(shù)首席信息安全官憑借其職責將近全天候處于聯(lián)系狀態(tài)。”
Papadopoulos補充說,“因此,關(guān)注戰(zhàn)略重點應(yīng)是當今首席信息安全官普遍且值得注意的挑戰(zhàn)。但是,我看到了出色的首席信息安全官在一些方面表現(xiàn)出色:通過制定簡明、有案可稽的戰(zhàn)略或優(yōu)先事項清單,通過讓主要利益相關(guān)者達成共識并共享優(yōu)先事項的所有權(quán),使他們成為外部驅(qū)動而不是僅僅是首席信息安全官本身的優(yōu)先事項,通過花費時間與其他首席信息安全官進行點對點對話,他們可以專注于自己最重要的問題,而不是對其他人更重要的問題作出反應(yīng)。”
5.現(xiàn)代的首席信息安全官需要更加頑強
最后,當今的首席信息安全官需要頑強的素質(zhì),使他們能夠繼續(xù)努力改善復(fù)雜、多方面的安全格局。Stapleton說。“網(wǎng)絡(luò)安全通常沒有快速解決辦法。因此,首席信息安全官必須著眼長遠的這些變化,無論多么明智和獲得支持,都需要投入時間和資源。這些資源將使人們的注意力轉(zhuǎn)移到其他活動上,而這些活動通常更容易理解,更直接地支持正常的業(yè)務(wù)運營。”
Stapleton補充說,首席信息安全官必須就如何改進網(wǎng)絡(luò)安全提出一致的信息。他說,“他們不太可能在第一次詢問時得到確切的答案。因此,首席信息安全官必須具備‘不接受’的能力,并繼續(xù)提出支持和資助的理由。”
Kahn對此表示認同,他說:“在某些場合,會出現(xiàn)來自利益相關(guān)者的壓力。對其職能發(fā)展的方向保持信心,并注意改變方向所需要的理性和努力。保持專注有助于企業(yè)的團隊取得成功,而不是過于頻繁地根據(jù)利益相關(guān)者的觀點改變方向,讓團隊成員感到筋疲力盡。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。