技術專長和知識經驗顯然是巨大的資產。優秀的首席信息安全官可以評估和選擇安全技術,與技術人員溝通,并就安全基礎設施和架構方面做出關鍵決策。大多數首席信息安全官具有領導和管理團隊的經驗,與企業內部的利益相關者建立了緊密關系,并應對過網絡安全方面的危機。他們知道如何快速做出決定并推動企業變革。
然而,很多人并不具備成功的首席信息安全官的一些品質和能力。以下是表明他們是否勝任首席信息安全官的5種方法。
1.規避風險
根據定義,首席信息安全官的職責是管理網絡風險。這包括評估和管理企業面臨的風險,并根據這些評估做出選擇。如果網絡安全專業人士不能做出基于風險的決策,或者很難弄清楚如何優先處理威脅,尤其是在壓力很大的情況下,那么他就不會成為一名成功的首席信息安全官。如果他們有避免為自己的決定和行動承擔責任的傾向,也是如此。
Blackcloak公司創始人兼首席執行官Chris Pierson表示,首席信息安全官的角色不適合那些不愿為自己可能倡導或實施的行動承擔責任的人。Pierson說:“如果網絡安全專業人員從CYA、對抗或風險規避的角度來處理,那么可能會降低與他人合作實現聯合任務或目標的能力。而成為一個不能容忍或不能承擔風險的人,可能會影響其有效運作的能力,并使其他人不愿與他合作。”
首席信息安全官當然不適合那些害怕在危險時刻做出艱難決定的人。
2. 難以適應變化
首席信息安全官主要負責領導和管理安全專業人員團隊。他需要善于管理人員并與他人有效溝通,這意味著愿意傾聽和考慮他人的反饋。Pierson表示,“如果網絡安全專業人員是一位總是希望獲勝的人,不能與不同的觀點或優先事項進行談判或達成一致,那么就不適合成為首席信息安全官。”
另一個危險信號是,人們普遍不愿意授權給其他安全負責人,因為他們認為首席信息安全官比周圍的人更了解正在發生的事情。Delinea公司的首席信息官Stan Black表示,如果網絡安全專業人員不愿意雇傭一些更聰明的人,那么最好放棄成為首席信息安全官的想法,因為當他所在的公司被黑客攻擊時,可能遭到更多的指責和社會關注。
Bugcrowd公司的首席信息安全官Nicholas McKenzie表示,那些難以適應變化的人需要避免擔任首席信息安全官。首席信息安全官需要靈活應變,并根據不斷變化的業務需求和網絡威脅環境調整策略。如果是那種固執地實施會破壞流程或影響用戶或客戶體驗措施的人,那么他就會知道自己不適合擔任首席信息安全官。
3.不理解業務需求和目標
如果網絡安全專業人員缺乏對業務需求和目標的深刻理解,無法開發與企業目標一致的安全策略,那么就不適合擔任首席信息安全官。如果開發和實現企業范圍的安全流程以及管理預算的想法讓他感到不安,那么最好遠離首席信息安全官這一角色。網絡安全領導者應該很好地理解其特定行業的法規和合規性要求,以及相關的數據保護和隱私法律。
McKenzie表示,如果網絡安全專業人員不能理解企業的業務語言、業務流程以及安全控制能夠或可能進一步發揮作用的地方,那么他就沒有資格成為首席信息安全官。不能或不愿意定期與供應商交談的網絡安全專業人員難以擔任首席信息安全官。Pierson說:“如果不想與供應商談論領先的技術或新方法,就不要擔任這一職位,因為這是首席信息安全官工作的關鍵部分。”
歸根結底,如果網絡安全專業人員是那種傾向于將安全團隊的目標置于企業目標之上的人,那么并不適合擔任首席信息安全官。Pierson說,“作為團隊合作者,這意味著首席信息安全官明白自己在公司的角色是保護客戶、員工和公司的數據。但這一切都需要符合其公司的目標。”
4.難以爭取更多的資金
成為首席信息安全官意味著能夠向企業管理層和首席財務官推銷其安全理念。有時,首席信息安全官需要能夠清楚地說明和辯護增加網絡安全預算或在項目上增加支出的理由。如果他沒有能力在需要的時候提出令人信服的理由來爭取更多的資金,那么就很難成為首席信息安全官。Stan Black表示,如果不是那種能找到令人信服的理由把資金花費在不能帶來直接收入的網絡安全的人,那么說明他并不適合擔任首席信息安全官。
金融服務行業的安全高管Larry Larsen曾擔任過各種網絡安全領導職位。他表示,通常情況下,成為成功的首席安全信息官的最大不利因素之一是過度關注獲得預算。那些認為首席安全信息官能夠得到了他們所需的所有資金的人,很可能對現實沒有準備。Larsen說:“如果他不能自信地去董事會為其提議的支出進行辯護,以抵御日益復雜的網絡威脅,而且不能得到他們的支持和理解,那么他可能不適合擔任首席安全信息官。”
5.過于技術化
技術和技能對于良好的網絡安全至關重要。但是過于技術化是一個缺點,因為它表明作為首席安全信息官,其采用的方法可能傾向于使用技術應對面臨的每個安全挑戰。現實情況是,作為一個安全領導者,首席安全信息官的角色實際上是管理網絡風險,同時使其公司繼續實現業務目標。
McKenzie說:“那些認為采用某種工具或實現審計或合規控制清單是解決所有安全問題的靈丹妙藥的人,并不勝任首席安全信息官。如果他認為網絡安全是非此即彼的事項,或者如果無法調整自己的思維和戰略,以跟上不斷變化的威脅格局和業務方向,那么他并不勝任首席安全信息官。”
Larsen表示,從其他方面來看,過于注重技術的首席安全信息官是不合格的。那些認為首席安全信息官的職責就是確保企業擁有最新的下一代防火墻、自適應端點檢測和響應工具以及其他技術的人,往往無法理解網絡攻擊者的行為和動機。
他說,“作為首席安全信息官,需要了解網絡攻擊者到底想要什么?為什么要進行攻擊?他們和誰合作?如果網絡攻擊者想在遭到網絡威脅之前采取行動,就必須考慮這些因素以及其他許多變量,更不用說在威脅發生時做出的反應了。”
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號