根據ThreatTrackSecurity在2014年7月進行的一項調查報告稱,在受訪的203名美國C級高管中,74%認為CISO“不值得在董事會擁有一席之地,不應該成為企業領導團隊的一部分”。這突出了這樣的事實,即CISO主要被視為數據泄露事故發生時的替罪羊。
并非所有C級高管都享受平等的地位。根據CEO、執行董事會構成情況以及企業做生意的方式,C級高管的存在是為了支持業務,進行協作以及做出最佳決策以幫助企業確保生存能力、盈利能力和成功。
CISO是否“值得擁有一席之位”的問題并不是真正的問題。真正的問題在于,CISO是否可以向CEO以及業務高管提供正確水平的支持、指導和信息,讓他們基于風險和安全作出明智的業務決策。與CIO、企業委員會、首席隱私官和首席審計師職位一樣,CISO的存在部分在于向管理層提供專家級意見和建議。
有些C級高管職位作為非投票成員成為高管團隊的一部分并不罕見。例如,首席審計師絕不應該成為高管團隊的投票成員,但顯然他們應該有“一席之地”。CIO和CISO也應該有一席之地,前提是他們不卑躬屈膝,并為業務決策增加價值。
如何成為更好的CISO
從C級高管來看,CISO怎樣才能更加突出并獲得更多責任呢?該調查稱,74%的CISO不被其他C級高管所尊重,但還有另外26%則認為CISO是領導團隊的積極成員。那么,這小部分的CISO是如何收獲這種尊重的呢?他們是否在為企業增加價值呢?
事實上,CISO可以使用一定的策略來贏得高管團隊更高水平的信任,并讓CISO的職位得到更多重視和尊重。
· 使用以下三個標準來加強信息安全在企業內的重要性
合作排除惡性孤島;
溝通很重要,但必須深刻、相關且自信;
動態平衡確保其貢獻符合業務目標
· 確定可以捍衛CISO的貢獻與參與的C級高管團隊成員,與他或她交好、贏得其信任,并向其提供有見解的信息,以提高其可視性和信譽度。
· 對企業信息安全狀態發布每月執行管理報告。使用圖形、紅黃綠色圖標突觸重點,并從成本、ROI、風險、增長和合規相關的業務方面來傳達你的信息。
· 讓業務經理有理由來稱贊你的努力和價值。與關鍵業務管理人員會面,以更好地了解他們在信息安全、風險和合規方面的痛點,成為值得信賴的業務顧問。
· 隨時掌握最新事件和新技術,特別是涉及到你企業所在行業。
· 在項目管理周期中嵌入信息安全,改變管理生命周期和信息管理過程。
· 聘請或培養對信息安全充滿激情的模范員工。
· 成為你所在領域的杰出人物,讓管理層注意到你的努力,不僅來自內部,還有企業外部。寫文章,做信息安全講座。參與專業機構以了解哪些做法可行以及哪些不可行。
結論
當然,還有其他方法可能更具體到你企業的企業文化、管理實踐和業務目標。但最重要的是,不要閑著。不要等到其他C級高管要求你做出貢獻,不要力求完美,而是追求卓越。如果你能這樣做,你就不會被忽視。
京公網安備 11010502049343號