好消息是, 制定首席信息安全官繼任計劃有許多可能的好處,其中包括:
·節省成本。提前計劃并主動確定繼任候選者可以幫助節省招聘成本。
·連續性。培養和提拔現有員工(例如業務信息安全官或副首席信息安全官)擔任首席信息安全官,可以消除培訓新員工面臨的負擔。
·企業穩定性。最后也是最重要的一點,制定繼任計劃能夠在首席信息安全官離職時維持企業穩定性。
首席信息安全官繼任計劃的7個最佳實踐
沒有計劃可能面臨失敗。這意味著,在各種類型的組織和環境中,首席信息安全官都應幫助企業從戰略上為他們最終的離職和更換做好準備。
作為首席信息安全官,忽視繼任計劃并將自己視為不可或缺的一員,似乎是保障其職位安全的秘訣,但可能會導致職業停滯不前。鑒于該職位面臨的壓力,這一網絡安全角色通常具有一定的任期。因此,從任職初期開始,明智的首席信息安全官就需要有以下想法:
·計劃任職的大致時間;
·未來職業生涯的目標以及如何實現這些目標;
·誰可能接替他們;
·在理想情況下,這些轉變將如何以及何時展開。
首席信息安全官的人員流動率非常高。首席執行官、董事會成員和其他高管利益相關者因此應該采取措施,以在必要時確定首席信息安全官繼任者。為此需要考慮以下七個最佳實踐。
1.盡早開始首席信息安全官繼任計劃
在理想情況下,首席信息安全官應在上任之后的前六個月內啟動繼任計劃,從審查前任首席信息安全官制定的繼任計劃開始。接下來,他們應該審查其他執行角色的繼任計劃,以幫助確定安全計劃應該包括的特定項目。
2.預測未來的安全要求
與技術一樣,安全也在不斷發展。首席信息安全官繼任計劃需要預測未來的安全環境,并做好相應的準備。雖然沒有人可以準確預測未來會發生什么,但可以根據以下情況對可能出現或持續存在的安全問題做出明智的評估:
·特定業務如何發展;
·技術如何發展。
例如,自從新冠疫情爆發以來,已經看到遠程工作、SaaS和云計算的增加。因此,首席信息安全官應該問自己以下這些問題:
·這些更改有哪些安全隱患?
·哪些政策、技術和技能可以幫助企業滿足相關的安全需求?
在預測未來的安全要求之后,制定培訓計劃以確保員工具備應對未來挑戰所需的技能。
3.培養未來的領導者
在預期的安全環境和企業需求的背景下,評估現有高級安全人才的優勢和劣勢,以及他們的個性、專業經驗和職業目標。例如,考慮誰能處理最初的安全危機,誰能有效地保持業務穩定。結合領導力和管理培訓,可以使這些未來的領導者能夠在必要時自信地承擔新的責任。
這些嶄露頭角的安全領導者可能對新興趨勢和威脅有著自己的想法,因此需要積極將他們納入面向未來的討論中。將他們的想法融入培訓和計劃中,讓他們在這一過程中擁有主人翁意識,從而增加繼任者成功的可能性。
4.讓企業董事會參與
由于最高網絡安全工作對大多數企業而言具有越來越重要的戰略重要性,因此企業董事會應該要求制定和維護首席信息安全官繼任計劃。他們還應該審查和批準這些計劃,以確保做到以下幾點:
·與廣泛的業務需求保持一致;
·考慮計劃內和計劃外的首席信息安全官離職。
5.為計劃中的首席信息安全官離職做好準備
計劃中的離職包括退休和內部變動,例如從首席信息安全官的職位轉換到首席風險官。在某些情況下,首席信息安全官還可能與企業主達成共識,一旦達到特定的目標,首席信息安全官可能離職去獲得更多的發展機會。例如,一些安全領導者專門指導企業完成數據泄露恢復,然后在成功之后跳槽到其他的公司繼續發展。
首席信息安全官要離職之前需要提早通知,至少提前三個月,這樣企業可以有機會招聘繼任的首席信息安全官。這可能意味著提拔現有員工或從外部招聘。只要有足夠的時間,即將上任的首席信息安全官可以了解現有員工、政策和流程,從而將企業的運營和文化中斷降至最低。
6.為首席信息安全官計劃外離職做準備
然而,一些首席信息安全官的離職也可能在沒有發出任何警告的情況下發生。疾病、死亡、辭職、個人危機、監禁和重大安全事件都可能使企業的安全業務在接到首席信息安全官離職通知之后陷入動蕩。
企業需要為這種不可預見的事件做好準備,需要確保每個安全角色都有描述其關鍵職責和任務的文檔。人力資源部門應維護這些文件,首席信息安全官應每年對其進行審查,并將這些文件作為培訓指南。
在理想情況下,安全人員還將接受其他角色的交叉培訓,這對于支持單一職位尤其重要。例如,如果一名高級安全架構師突然任命為代理首席信息安全官,那么其他同事可能需要接手一些他的工作。
企業可以考慮制定備用計劃,以防首席信息安全官突然離職而需要內部員工進行緊急調整,使他們無法履行日常職責。這可能意味著將一些安全任務外包給第三方提供商,或者從外部招募以尋求具有關鍵技能的臨時或永久人才。
7.定期審查首席信息安全官繼任計劃
首席信息安全官、首席執行官、企業董事會和其他相關高管利益相關者應至少每年重新審視繼任計劃。以下是企業內部應觸發審查的主要變化:
·不斷變化的經濟狀況;
·并購;
·重大安全事件;
·副安全領導層的更替;
·安全人員績效問題。
有一件事是肯定的:變化將會發生。企業需要采取積極措施來塑造未來,而不僅僅是對未來的變化做出反應,這將讓企業處于更有利的地位。首席信息安全官繼任計劃可以幫助企業為不可避免的意外事件做好準備。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號