Gartner觀察了每個(gè)公司的CISO的四個(gè)發(fā)展階段：控制經(jīng)理->風(fēng)險(xiǎn)決策所有者->值得信賴的促進(jìn)者->和價(jià)值創(chuàng)造者。每個(gè)階段都建立在它之前的階段上，因此，我們不會(huì)將這些階段中的任何一個(gè)階段定位為“糟糕的”或“不成熟的”，而是作為下一階段表現(xiàn)的先決條件和貢獻(xiàn)者。我們定期對CISO的有效性進(jìn)行基準(zhǔn)評估，大多數(shù)CISO自認(rèn)為處于“風(fēng)險(xiǎn)決策所有者”或“值得信賴的促進(jìn)者”階段。大多數(shù)CISO已經(jīng)不再僅僅是控制管理者，“價(jià)值創(chuàng)造者”的角色仍然很稀有。

 

現(xiàn)在，當(dāng)你進(jìn)入這些階段，了解CISO的角色是如何演變的，最好的描述是這個(gè)角色仍然是一個(gè)“不穩(wěn)定的分子”?，F(xiàn)在，“不穩(wěn)定分子”并不是貶義，而僅僅是對現(xiàn)實(shí)的描述。這并不令人驚訝——畢竟，CISO這一角色實(shí)際上是在20世紀(jì)90年代中期才出現(xiàn)的。金融領(lǐng)袖們花了一千多年時(shí)間(這并不夸張)來理清他們的職權(quán)范圍，而CISO的角色在很大程度上仍處于早期階段?？紤]到公司和政府機(jī)構(gòu)對網(wǎng)絡(luò)安全的要求不同，角色的變化也是意料之中的，所以我們預(yù)計(jì)CISO的角色會(huì)有一些變化。

 

然而，作為一種不穩(wěn)定的分子確實(shí)會(huì)給CISO帶來問題。首先，它讓CISO有別于他們預(yù)計(jì)將與之接觸的其他C級高管。在類似的C級領(lǐng)導(dǎo)中，CHRO、CFO、銷售主管、市場營銷主管等職位的差異很小，因此CISO的同行往往很難準(zhǔn)確跟蹤C(jī)ISO做什么和不做什么。對于CISO來說，當(dāng)今最痛苦的現(xiàn)實(shí)之一是企業(yè)/機(jī)構(gòu)對其CISO的期望與CISO的實(shí)際任務(wù)和資金交付之間的持續(xù)脫節(jié)。這種脫節(jié)目前最明顯的表現(xiàn)是圍繞CISO在支持其企業(yè)遵守最新的SEC披露規(guī)則方面所扮演的角色的不確定性——無論是來自更廣泛的高管團(tuán)隊(duì)還是來自CISO本身，但還有許多其他例子。

 

為了達(dá)到值得信賴的促進(jìn)者和價(jià)值創(chuàng)造者的階段，CISO需要集中精力縮小企業(yè)期望與CISO實(shí)際能力(和資金！)之間的差距，去交付。

 

在你看來，在2024年發(fā)展CISO最關(guān)鍵的技能是什么？

 

關(guān)于CISO應(yīng)該發(fā)展哪些技能，世界上充斥著人們的意見。我的偏好是始終依賴數(shù)據(jù)！

 

Gartner的CISO有效性研究確定了14種行為和心態(tài)是CISO的必備條件。每年有200多名CISO為這一分析貢獻(xiàn)他們的績效和行為數(shù)據(jù)，最新版本顯示了前五名：發(fā)起關(guān)于不斷發(fā)展的規(guī)范以保持領(lǐng)先于威脅的討論、積極參與確保新興技術(shù)的安全、將定期發(fā)生的時(shí)間專門用于專業(yè)發(fā)展活動(dòng)、與項(xiàng)目背景外的高級決策者建立關(guān)系，以及通過與高級業(yè)務(wù)決策者的合作定義風(fēng)險(xiǎn)偏好。

 

顯然，當(dāng)人們讀到“積極參與確保新興技術(shù)的安全”時(shí)，人們的思維會(huì)轉(zhuǎn)向“弄清楚人工智能中的風(fēng)險(xiǎn)和機(jī)會(huì)”，但是，我從CISO那里得到的大多數(shù)問題都與在項(xiàng)目和問題的背景之外建立關(guān)系的挑戰(zhàn)有關(guān)。例如，我們的基準(zhǔn)測試清楚地表明，與首席財(cái)務(wù)官和銷售主管的定期接觸是最有效的CISO的一個(gè)與眾不同之處，但這種與眾不同的部分原因是，這種接觸在CISO社區(qū)中很少見，而且?guī)缀蹩偸桥c核心安全問題有關(guān)。

 

有效的CISO已經(jīng)超越了“如何讓你的職能更安全”，而是創(chuàng)造雙向價(jià)值，這意味著需要真正了解CFO和CSO的優(yōu)先事項(xiàng)是什么。劇透提醒：他們最優(yōu)先考慮的不是，也不應(yīng)該是網(wǎng)絡(luò)安全。

 

如上所述，在“不斷發(fā)展的規(guī)范”和“在項(xiàng)目背景之外建立關(guān)系”的聯(lián)系下，至少對于在美國市場交易的公司來說，支持企業(yè)努力遵守最新的SEC規(guī)則。CISO在這里過度擴(kuò)張的風(fēng)險(xiǎn)很大，但也創(chuàng)造了巨大的價(jià)值，并展示了真正的C級領(lǐng)導(dǎo)能力。因此，在技能發(fā)展方面，CISO需要專注于設(shè)定一些界限。例如，如果你不是公司的管理人員，就不要簽署8-K或被迫決定什么是實(shí)質(zhì)性。

 

CISO面臨的最大挑戰(zhàn)是什么？你建議如何解決這些挑戰(zhàn)？

 

更容易的任務(wù)是列出不重要的挑戰(zhàn)，因?yàn)檫@將是一個(gè)短得多的列表！作為一名網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的本質(zhì)是，確實(shí)沒有任何小問題，其中一位我尊敬并從中學(xué)到很多的CISO在她的業(yè)績儀表盤上只有紅色和綠色。她告訴我，黃色在網(wǎng)絡(luò)安全中并不存在。有些東西要么壞了，要么沒有！我認(rèn)為這種觀點(diǎn)很有洞察力。

 

對于CISO來說，最大的挑戰(zhàn)是時(shí)間管理。我們距離網(wǎng)絡(luò)安全領(lǐng)域“爭奪一席之地”的時(shí)代還有很長一段路要走——與我共事的大多數(shù)CISO現(xiàn)在都被邀請，甚至被要求在每一張桌子上！不出所料，效率飆升的CISO是那些無情地對待他們的時(shí)間的人。他們深思熟慮地決定與誰打交道，以及與他們打交道的程度，并委托/自動(dòng)化其他所有事情。

 

可以肯定的是，網(wǎng)絡(luò)安全在很大程度上是一種生活方式選擇，因此，每個(gè)CISO的工作/生活平衡的構(gòu)成將是不同的，但是，從多年的分析和經(jīng)驗(yàn)中可以清楚地看到，大多數(shù)CISO在進(jìn)入這份工作時(shí)都認(rèn)為，“始終在線”是該角色的一項(xiàng)要求，而且，‘爭奪餐桌一席之地’時(shí)代留下的遺產(chǎn)之一是想要無處不在，在我們能做的任何地方貢獻(xiàn)價(jià)值，這些行為和心態(tài)沒有規(guī)模，這從CISO角色令人難以置信的離職率和倦怠中可見一斑。

 

盡管聽起來很簡單，但解決辦法是開始把時(shí)間當(dāng)作你最稀缺的資源。培養(yǎng)時(shí)間管理技能，就像培養(yǎng)角色的其他關(guān)鍵技能一樣。事實(shí)上，我支持客戶的最常見方式之一是，在他們看到我們的CISO有效性基準(zhǔn)中的“個(gè)人發(fā)展”后，領(lǐng)導(dǎo)時(shí)間管理研討會(huì)來幫助他們培養(yǎng)這項(xiàng)技能。

 

CISO如何在網(wǎng)絡(luò)安全的技術(shù)方面與日益增長的業(yè)務(wù)敏銳性需求之間取得平衡？

 

CISO需要深層次的技術(shù)能力——如果沒有與技術(shù)的大規(guī)模連接，網(wǎng)絡(luò)安全是不會(huì)起作用的，而且，一旦你比CISO低了一兩層，技術(shù)就是一切！僅出于可信度的原因，CISO需要有技術(shù)印章，這樣他們才能在職能范圍內(nèi)積極做出貢獻(xiàn)。根據(jù)你所在的行業(yè)或公司的規(guī)模，親身實(shí)踐技術(shù)可能是這一角色中適當(dāng)且必要的一部分。我認(rèn)為，大多數(shù)精明的CISO都不相信他們可以通過僅限于政策/治理來交付價(jià)值。

 

與此同時(shí)，由于大多數(shù)CISO來自技術(shù)和運(yùn)營領(lǐng)域，當(dāng)面對模棱兩可且往往是政治性的領(lǐng)導(dǎo)力世界時(shí)，很容易在他們的技術(shù)舒適區(qū)過度投資。因此，我們看到越來越多的CISO依賴高級安全架構(gòu)師來保持與技術(shù)世界的聯(lián)系，從大量機(jī)會(huì)中篩選出真正需要高管級別關(guān)注的子集。同時(shí)，讓他們的領(lǐng)導(dǎo)團(tuán)隊(duì)能夠自主做出更多決策，這樣CISO就不會(huì)被置于“親自選擇每一家供應(yīng)商”的境地。

 

最后，你如何展望CISO角色的未來，該領(lǐng)域的專業(yè)人員應(yīng)該為什么趨勢做好準(zhǔn)備？

 

我的期望是，CISO的角色將繼續(xù)在職權(quán)范圍、報(bào)告結(jié)構(gòu)和各種其他因素方面保持高度多樣化。同樣，在企業(yè)領(lǐng)導(dǎo)力的背景下，這一角色仍然是相對較新的，而且對信息保護(hù)的理解和需求在不同行業(yè)之間都存在很大差異，所有這些都意味著我們不太可能在短期內(nèi)看到CISO角色被“確定”。

 

因此，利用你的時(shí)間，讓你的“北極星”縮小你的企業(yè)期望與真正必要和可能的之間的差距，這些將是每個(gè)CISO的重要焦點(diǎn)。

 

此外，Gartner剛剛發(fā)布了2024年最重要的網(wǎng)絡(luò)安全趨勢。簡而言之，我們建議CISO在2024年的工作中納入九個(gè)趨勢：

 

·持續(xù)的威脅暴露管理

·擴(kuò)展IAM的網(wǎng)絡(luò)安全價(jià)值

·第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理

·隱私驅(qū)動(dòng)的應(yīng)用程序和數(shù)據(jù)分離

·GenAI

·安全行為和文化計(jì)劃

·網(wǎng)絡(luò)安全成果驅(qū)動(dòng)型指標(biāo)

·不斷發(fā)展的網(wǎng)絡(luò)安全運(yùn)營模式

·重新掌握網(wǎng)絡(luò)安全技能

 

 

國內(nèi)主流的to B IT門戶，同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。