自1990年代中期Steve Katz在Citicorp首次擔任CISO以來,近30年內,CISO的角色變化顯著,從管理技術控制到應對業務風險,這一角色的演變為CISO們進入其他崗位鋪平了道路。
四位采取不同職業路徑的CISO分享了他們從CISO轉向新職位的經驗和建議。
從CISO到COO:Chad McDonald,RadiantLogic的COO
Chad McDonald從CISO轉任RadiantLogic的COO,擁有近20年的CISO角色經驗,還曾負責客戶體驗和專業服務,他發現,CISO這一角色需要從戰略角度思考整個業務,并影響各個部門,這些技能在他邁向下一個職業階段時非常有用。
McDonald認為,這些戰略技能非常適合應用到更廣泛的崗位,如COO。在他目前的職位上,他必須理解客戶需求,并與他們用共同的語言交流。“CISO需要與財務、人力資源、市場營銷以及產品部門溝通,以推動變革,改變企業的安全視角或降低風險,這些技能非常適用于運營團隊的管理。”他表示。
“作為CISO,你的日常工作就是從業務的戰略角度思考,而不僅限于你的職責范圍。一個小小的改變就可能影響整個業務,因此你必須善于在職責之外發揮影響力。”McDonald告訴記者。
廣泛接觸不同的行業領域有助于轉型為COO等角色,因為這涉及理解不同的監管和合規需求。“這幫助你用不同的方式思考,不僅是內部需求,還要考慮這些需求如何轉化為客戶的需求,并從內外部視角來看待你的組織。”他補充道。
雖然這大多是一條線性的職業路徑,但安全與其他C級職位(如CIO和CTO)之間的重疊越來越大,這為CISO們提供了新的機會。McDonald建議,CISO們需要掌握廣泛的商業技能,包括財務、項目管理以及理解法律合同。“這些對想要轉型為CIO、CTO或COO的CISO至關重要。”
良好的溝通能力仍然是關鍵。“隨著職位的提升,你需要在執行層面進行溝通,不僅僅是傳達戰術信息,還要向那些可能不熟悉技術或安全的人清晰解釋你的方向和原因。”他說。
從CISO到CIO再到副總裁:Tammy Loper,坦帕大學信息技術與安全副總裁
Tammy Loper是坦帕大學的信息技術與安全副總裁,她的職業生涯專注于創建和轉型安全與技術運營,從CISO晉升為CIO,如今是副總裁。
在她的職業生涯中,Loper發現,戰略思維、在各個層面建立強有力的關系并獲得支持,對于工作場所的成功至關重要,這也為她帶來了晉升機會。
“在啟動一個新的安全項目時,我與校園內的每個部門進行了會面,分析了他們使用的系統、處理的信息類型、技術手段、業務挑戰和差距。”Loper告訴記者。
Loper創建了一個共同的使命,幫助在組織內部建立權威性,從而進行教育和影響力擴展,這也有助于提升她的可見度——這是為晉升做好準備的關鍵因素之一。“如果你的角色在組織中被埋沒,并且你是自下而上推動工作而不是自上而下,那么董事會成員可能根本不會知道你是誰,也不會了解你的能力。”她說。
CISO在理解組織流程和將安全定位為核心使命的一部分方面具有獨特的視角,這為晉升至更高職位打開了潛在的機會。
在Loper的案例中,她成功地建立了一個安全項目,并將這一戰略擴展到了IT領域,最終成為CIO。她晉升為副總裁反映了IT和安全在大學的各個部門中需要一定的權威性。挑戰在于如何在業務需求和安全需求之間找到平衡,而CISO有時可能需要打破對安全的單一關注。“CISO有時在做出這些艱難妥協時會感到掙扎,但你必須能夠找到那個平衡點,以滿足組織目標,并對這些決策充滿信心。”她說。
從CISO到導師和董事會成員:Paul Connelly,董事會顧問
Paul Connelly曾擔任多個CISO、CSO和信息安全職位,包括在NSA和白宮的工作經歷,之后轉向擔任技術顧問和董事會成員。在此期間,他看到了CISO角色的重點和地位的變化。“剛開始時,這個角色主要是技術知識,而現在更多是了解業務及其影響。”Connelly告訴記者。
如今,他認為對工作的熱情、溝通能力和組織技巧幾乎比特定的背景更為重要。
對于希望進入董事會的CISO,Connelly發現今天成為成功CISO所需的技能同樣適用于領導職位。“CISO角色的演變部分體現在與業務領導者的互動,參與戰略決策。如果你能證明自己可以制定戰略,與他人合作并推動成功的項目,這確實為進入董事會打開了大門。”他說。
在擔任董事會成員時,他能夠提出其他人沒有意識到的問題,或者在CIO或CISO提供更新時提出后續問題。“當我想到安全對企業的重要性時,令人驚訝的是,更多公司沒有我們這種背景的人。”Connelly告訴記者。
然而,如果CISO不屬于包括CFO、CEO和現有董事會成員在內的社交圈,他們通常不會被推薦進入董事會。“你需要認識董事會成員,并建立起與他們的關系網絡,這樣當你準備好時,董事會成員會站在你身后并推薦你。”
Connelly建議CISO與其他業務領導者互動,拓寬技能,包括參與工作場所的風險或多元化與包容性(DEI)委員會。“參與其他領域至關重要,因為董事會無法將席位留給只專注于一個領域的人。”對董事會運作的了解也很重要,但這并不是自然而然發生的。“研究董事會的工作,考慮通過像全國公司董事協會(National Association of Corporate Directors)這樣的組織獲得認證,并通過為非營利組織服務積累一些董事會經驗,這些組織總是在尋找董事會成員。”
尋找能夠支持你進入董事會職位的盟友。一個支持你的CEO可以為你提供與董事會成員平等互動的機會,并在你準備時為你的陳述和向董事會匯報的更新提供指導和反饋。“與高級領導層溝通,讓他們知道你的興趣,看看他們是否能提供幫助。”
從CISO到CSO再到投資顧問:Justin Somaini,YL Ventures合伙人
Justin Somaini是YL Ventures的合伙人,曾在一些全球最大的科技公司擔任CISO、CSO和首席信任官的職位,之后轉為顧問。他認為CISO的角色是一個多面性的角色,類似于銷售人員。“我們是在內部銷售安全性。”Somaini告訴記者。
這意味著需要運用營銷技巧來推廣信息,理解人類行為以了解受眾及其采納安全措施的理由,并學會搭建橋梁以完成安全任務。“安全人員不僅僅是做工作,我們發現問題,然后找到解決方案,并告訴公司里的其他人實際完成工作。”他說。這需要理解他人的工作和職責,并意識到這些人面臨的挑戰和障礙。
這為CISO們提供了一個自然的機會去學習企業的構建方式,以及為未來的新機會鋪設基石。“如果你真的推動自己去學習這些其他職能,你不僅會在當前的角色中成功,還會為下一個角色打下基礎。”Somaini說。
沒有一條唯一正確的職業道路,因此每個人都需要繪制自己的路線圖。“許多CISO正在思考接下來該做什么,我們正第一次在行業內大規模地進行這種嘗試,但作為一個行業,我們確實需要弄清楚職業發展的軌跡是什么。”
Somaini走到他現在的職位,是通過“多年來的一些小事情”積累的,包括與創始人和風投公司(VC)建立聯系,并為風投公司和初創公司擔任顧問。他的建議是,擴展你的網絡,以創造進入新職位的機會。“當我在VeriSign工作時,我被介紹給Palo Alto Networks的Nir Zuk。當時公司剛剛走出隱秘階段,我成了他的顧問,我從沒想過這是一件你可以做的事,但我非常喜歡它。”他說。
作為一個投資團隊的成員,他利用自己的安全領域知識以及支持公司走向成熟的經驗。這意味著要成為一個“增值型VC”,理解銷售和市場營銷的生命周期,并為那些尚未設立銷售或市場營銷負責人的初創公司提供支持。
他建議CISO考慮持有雙頭銜角色,以獲得額外的專業知識,并利用這一角色在整個組織中學習業務的各個方面,建立與其他部門的關系。“由于CISO的職能是橫向的,他們可以看到一切,并建立這些關系。”
與其他人的觀點一致,他指出了建立網絡關系的重要性,這能夠為未來的機會打開新大門。“在安全領域之外發展并培養關系,以打開新的機會。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號