無論哪種情況,這種脫節都是真實存在的。然而,Head和其他專家表示,首席信息安全官在向首席執行官和董事會匯報時,具有業務技能是最重要的。然而,這并不意味著大多數首席信息安全官對技術一無所知,因為大多數都有技術背景。
在由高管咨詢機構Heidrick&Struggles公司進行的2022年首席信息安全官調查中,大多數首席信息安全官都具有反映時代問題的功能性IT背景(例如,2022年,10%的首席信息安全官具有軟件工程背景,并遵循美國政府關于保護軟件供應鏈的指令)。該報告指出,大多數首席信息安全官都有金融服務行業的經驗,而該行業的風險承受能力較低,在安全方面花費的費用更多。
調查還表明,只有一小部分首席信息安全官(主要在財富500強企業工作)由于兼具業務和技術職責而晉升為董事會成員。在調查中,三分之二以上的首席信息安全官為市值超過50億美元的企業工作。因此,與其指責首席信息安全官缺乏IT技能,還不如為即將上任的技術人員培養業務技能。
期望的首席信息安全官人員、流程、技術技能組合可以有所不同
曾擔任一家財富50強公司首席信息安全官的Renee Guttmann建議說,“對于首席信息安全官的技術要求沒有一個標準的答案。我的建議是,首席信息安全官必須在新興技術、供應商戰略方面保持最新狀態,并能夠確保技術項目及其實施不會給企業帶來更多風險。”
由于絕大多數的首席信息安全官都具有技術背景,他們需要學習適當的業務領導能力和與利益相關者、首席執行官、風險投資公司、外部投資者、監管機構打交道所需的高級溝通技巧。Head說,“技術技能很重要,但在職業生涯的早期,需要磨練自己的業務技能,這樣你可以與各種各樣的人溝通,并了解業務的運作方式。”
他表示,在網絡安全方面不如美國成熟的英國,很難找到將技術和業務技能相結合的首席信息安全官,大多數首席信息安全官更類似于資深工程師。他建議求職者提高他們的業務技能,并補充說,“我看到的最成功的人是那些通過重返學校接受更多培訓來提高業務技能的IT專業人士。”
其中的一個例子是Palo Alto Networks公司旗下Prisma Cloud公司首席安全官Bob West。他在20世紀80年代末就在花旗集團擔任高級系統主管,在向同齡人學習了業務技能的價值之后,他在20世紀90年代獲得了信息系統管理碩士學位,之后開始在摩根大通公司擔任安全架構師。隨后,他晉升為其Bank One零售集團的首席信息安全官,之后,他又成為了Fifth Third銀行的首席信息安全官。
West表示,“技術技能對首席信息官來說很重要,但更重要的是要做一個可靠的領導者,并在領導團隊中發揮作用。重要的是要了解業務發展方向,以便其安全戰略應與業務發展保持適當的一致,建立和管理與領導團隊其他成員的關系。如果不是各領域的技術專家,那么也需要知道該問誰。”
想成為首席信息安全官:找到冠軍,成為冠軍
West建議希望成為首席信息安全官的專業人士可以與業務部門以及IT團隊的同行和領導者進行溝通。他以被他視為導師的企業領導者為例,這位老板是資深的技術領導者,但并不是安全專家。然而,他能夠修復別人無法修復的安全程序。West把他的導師的成功歸功于他擅長向企業領導層和董事會講述故事。她說,“當他決定雇用我時,他對我說,‘你要知道如何講一個好故事,還要了解你的聽眾。’與董事會成員交談和與首席信息官或內部審計師交談是不同的。”
Syntax2Semantics 公司顧問Barbara Filkins補充道,溝通始于積極傾聽。她也有技術背景,并逐步可以與醫療服務提供商和企業高管進行溝通或咨詢,與此同時獲得了SANS技術學院的信息安全管理碩士學位。她說,傾聽有助于更好地溝通,最重要的是,有助于了解需要在受保護的領域中解決什么問題,無論是醫療、航空還是水管理。Filkins在所有這些領域都工作過。
她解釋說,“作為成功的首席信息安全官確實是一種平衡的行為,因為首席信息安全官必須了解技術方面的內容,這樣他們才能與技術人員進行溝通,并獲得他們的信任。他們還需要處理他們公司所面臨的規劃和業務問題,例如成本合理性、風險管理等事情。并不是每個技術熟練的人都能傳達他們的專業知識,以及這些知識在哪些方面適合業務需求。”
首席信息安全官獲得成功有多種路徑
高管招聘機構Alta Associates公司的全球網絡安全業務負責人Joyce Brocaglia表示,直到最近幾年,首席信息安全官的角色才從后臺職能提升為真正的管理層和業務推動者。即使這個職位和工作要求最終成熟,她也不相信現在或將來會有一個“一刀切”的首席信息安全官職位。她解釋說,盡管頭銜可能相同,但角色、職責、報告結構、員工數量、部門成熟度、支持文化和對成功的總體衡量都可能不同。
她解釋說:“這絕不僅僅是因為他們沒有正確的技術或管理技能這么簡單。有時候,擁有強大技術背景的首席信息安全官會傾向于雇傭比該職位所需技術水平更高的人。其他時候,招聘經理和他們的同行或參與面試過程的關鍵利益相關者在職位描述和他們真正希望在該職位上實現的目標上并不一致,所以Alta Associates公司幫助他們找到所需的平衡。”
據《財富》雜志報道,真正的首席信息安全官很少能拿到100萬美元甚至更多的薪酬。為了獲得成功,Guttmann建議未來的首席信息安全官參加業務培訓,積極參加行業會議和活動。
Guttmann補充說:“首席信息安全官如果能重視了解企業文化、對其業務的威脅、如何為產品試點制定適當的標準、實現的時間、系統依賴關系和長期運營需求,那就非常有價值。首席信息安全官能夠將這些數據打包提供給利益相關者和高管,并獲得支持和資金,這是值得稱道的。”
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號