CISO的技能范圍從非常技術(shù)性到非常注重業(yè)務(wù)，然而，最受尊敬的人往往落在中間的某個(gè)地方——接近他們的技術(shù)根源，盡管他們的角色要求越來越多地以商業(yè)為導(dǎo)向，以犧牲另一端為代價(jià)，偏向這一端的CISO將更難贏得同行的信任，并在業(yè)務(wù)集團(tuán)之間建立富有成效的合作伙伴關(guān)系。如果你找到了兩個(gè)都擅長(zhǎng)的CISO，抓住它們——你可能會(huì)發(fā)現(xiàn)自己是一只獨(dú)角獸!

 

雖然2023年CISO高達(dá)30%的效率可以直接通過他們創(chuàng)造業(yè)務(wù)價(jià)值的能力來衡量，但他們?nèi)匀恍枰軌蛏钊肓私獠煌踩虸T解決方案的影響，這一點(diǎn)聽起來尤其正確，因?yàn)檐浖こ?、云安全、ML和AI的知識(shí)現(xiàn)在被期望用于CISO--說明了安全技能集的“左移”，這種技術(shù)細(xì)節(jié)往往有助于他們與團(tuán)隊(duì)建立融洽的關(guān)系。

 

CISO應(yīng)該能夠在此時(shí)此地捍衛(wèi)他們的架構(gòu)，但也應(yīng)該擁有推動(dòng)企業(yè)實(shí)現(xiàn)其未來安全和業(yè)務(wù)目標(biāo)的技術(shù)能力，他們的知識(shí)需要超越對(duì)新產(chǎn)品的了解，真正了解這些解決方案在短期和長(zhǎng)期內(nèi)如何為他們的業(yè)務(wù)帶來好處，也就是說，他們不必像一個(gè)人孤島一樣運(yùn)作——事實(shí)上，他們可以也應(yīng)該與同齡人進(jìn)行一致的、協(xié)作的對(duì)話，以征求意見，并確保每個(gè)人都站在同一立場(chǎng)上。

 

 

企業(yè)對(duì)新招聘的安全人員持保留態(tài)度是很常見的，原因通常有兩個(gè)，首先，安全專業(yè)人士可能會(huì)陷入“房間里最聰明的人”心態(tài)的陷阱，阻礙開放的溝通和妥協(xié)，其次，安全專業(yè)人士通常被認(rèn)為過于規(guī)避風(fēng)險(xiǎn)——通過立即拒絕可能存在風(fēng)險(xiǎn)的提議，或者要求員工在進(jìn)行任何新事物之前，要求制定全面的政策，從而放慢流程和勢(shì)頭，這些因素給試圖快速行動(dòng)并保持敏捷的企業(yè)，特別是初創(chuàng)企業(yè)發(fā)出了危險(xiǎn)信號(hào)。從好的方面來看，這并不是必須的——有效的安全領(lǐng)導(dǎo)者可以與他們現(xiàn)有的團(tuán)隊(duì)并駕齊驅(qū)，提供適當(dāng)?shù)淖o(hù)欄，同時(shí)仍有助于加速業(yè)務(wù)。

 

把風(fēng)險(xiǎn)管理比作沖浪：如果你坐在岸上，你永遠(yuǎn)不會(huì)趕上大浪。在評(píng)估一項(xiàng)新技術(shù)的安全影響時(shí)，CISO需要學(xué)會(huì)駕馭這股浪潮，從“讓我們等到完全了解其功能和影響”的心態(tài)轉(zhuǎn)變?yōu)?ldquo;讓我們對(duì)技術(shù)進(jìn)行編碼并編寫我們的策略，同時(shí)探索我們的選擇”。新的AI應(yīng)用程序，如ChatGPT和其他GenAI工具，通過謹(jǐn)慎而不阻礙探索或進(jìn)展，為CISO提供了將這種方法付諸實(shí)踐的及時(shí)機(jī)會(huì)。隨著公司評(píng)估如何將AI整合到各種內(nèi)部和外部流程，甚至是他們的產(chǎn)品，CISO可以通過提供關(guān)于防止數(shù)據(jù)丟失的見解和對(duì)大型語言模型的輸出使用良好的判斷來提供支持-同時(shí)鼓勵(lì)在有意義的地方負(fù)責(zé)任地使用這項(xiàng)新技術(shù)。當(dāng)CISO能夠通過只提供保護(hù)人員和信息最必要的護(hù)欄來表明他們相信自己的判斷時(shí)，他們就贏得了信任和尊重。

 

 

最后，隨著網(wǎng)絡(luò)威脅的數(shù)量和復(fù)雜性不斷上升，我們不能自滿，即使安全項(xiàng)目運(yùn)行順利，海面看起來風(fēng)平浪靜，CISO也需要保持積極主動(dòng)，始終考慮下一步和創(chuàng)新。攻擊者訪問企業(yè)的三種主要方式是竊取憑據(jù)、網(wǎng)絡(luò)釣魚和利用漏洞。因此，CISO需要跟上這些趨勢(shì)，并找到新的方法來保護(hù)他們的數(shù)據(jù)免受惡意參與者的攻擊。要做到這一點(diǎn)，他們需要抵制管理模式，轉(zhuǎn)而專注于創(chuàng)新建設(shè)，并提出這樣的問題，如：我們行業(yè)需要采取的下一步重大舉措是什么，以改善解決問題?最好的CISO不是在泡沫中運(yùn)作——他們與同行、高管和更廣泛的網(wǎng)絡(luò)討論更新、更快、更有效的方式來處理他們的角色和責(zé)任。

 

通過牢記這些提示，CISO將更好地平衡風(fēng)險(xiǎn)和機(jī)會(huì)，并在決策過程中更早地被帶到談判桌上，并被信任為其企業(yè)設(shè)定安全基調(diào)。此外，他們將能夠處理不斷變化的責(zé)任，并在當(dāng)今高風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全格局中引導(dǎo)他們的業(yè)務(wù)。通過回到信息安全的基層，并記住在網(wǎng)絡(luò)安全中有創(chuàng)造性思維的空間，他們可以花更少的時(shí)間說“不”，而花更多的時(shí)間探索新的解決方案，優(yōu)化程序，并與他們的團(tuán)隊(duì)建立牢固的聯(lián)系。

 

 

國(guó)內(nèi)主流的to B IT門戶，同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。