当今的首席信息安全官(CISO)需要与过去的网络安全领导者有着截然不同的技能,因为他们对企业开展业务的成功越来越重要。
与首席执行官(CEO)、首席运营官(COO)或首席财务官(CFO)等其他企业高管职位相比,首席信息官的角色和职责相对不成熟,仅在过去几年就发生了显著的发展。如今的首席信息安全官的职责和技能与过去的安全领导者有所不同,这反映了两件事:数据在企业日常运营中扮演着重要且不断增长的角色,以及由于对安全功能的期望不断提高,需要确保数据的安全性和可操作性。
Randstad公司北美地区首席信息官Tami Hudson说:“在以前,首席信息安全官的角色仅仅是专注于技术,而技术仍将是基础。”然而,在我们日益数字化和数据驱动的环境中,首席信息安全官角色在技术与业务的交汇处提供了独特的机会,以建立无处不在的网络弹性,从而影响从会议室到邮件收发室的业务的各个部分。当一切都实现数字化时,一切都处于危险之中。”
如今,企业的业务成功与信息安全的成功息息相关。因此,现代首席信息安全官需要一套独特的特性来使有效的数据安全策略、流程和实践与各种业务需求和要求保持一致。
根据全球信息安全领域的专业人士提供的信息,以下是当今首席信息安全官需要具备的五个最重要的品质,以及如何获得和保持这些品质和技能的建议。
1.现代的首席信息安全官需要会讲业务的语言
CyberGRX公司首席信息安全官 Dave Stapleton解释说,“在网络安全发展的早期,首席信息安全官最初希望执行技术含量高且通常未公开的行动来保护其组织。如今,首席信息安全官不能简单地成为其组织的技术专家。他们同样需要了解企业的经营使命,并清楚地说明他们开展的工作如何支持这一使命,为企业领导层提供切实可行的见解,并在在企业内部中营造一种以安全为中心的文化。”
Stapleton补充说:“如果首席信息安全官不能完全理解其企业开展业务的使命,或者无法有效传达安全对业务的影响,那么其有效性将至少受到影响。而在某些情况下,这种无法沟通甚至会导致首席信息安全官或企业领导层做出错误的决策,将会为企业的安全带来直接和负面的影响。”
Stapleton认为,对于首席信息安全官来说,培养以业务为中心的沟通技能至关重要。他说,“不幸的是,如果首席信息安全官为不征求意见或不重视其意见的企业工作,这可能会很困难。也就是说,每个首席信息安全官都应该能够找到机会向企业领导层表达自己的信息。其中每一个机会都是有意义的,都有可能为随后的参与打开大门。”他建议,首席信息安全官还应将其了解信息的范围从技术博客和安全新闻媒体扩展到商业新闻来源,例如《华尔街日报》、《福布斯》或彭博社。
2.现代的首席信息安全官是合作者
如今,首席信息安全官还必须是企业各部门之间的合作者,能够在整个组织中建立和维护关系。国际信息安全认证机构CREST公司总裁Ian Glover说,“网络安全不是一门孤立运作的学科。为了取得成效,网络安全需要来自其他业务部门的支持和专业知识,包括IT和通信、内部审计、人力资源、营销甚至文化变革计划。”
Glover补充说,首席信息安全官需要确定可以从中获得支持并努力工作,以建立基于信任、同理心、目标明确的协作关系的业务领域。
Chime 集团首席信息安全官Mark Nicholls对此表示认同,并强调了企业工作人员在任何安全策略中的重要性。没有在业务部门建立牢固关系,安全功能很难有效发挥作用。对于包括首席信息安全官在内的安全团队的每个成员来说,重要的是要花费时间与各个业务部门了解他们的目标以及安全性如何帮助他们实现目标。
Nicholls表示,这种文化也能唤起成功并激励良好的行为习惯,将有助于建立这种关系。他说,“与企业建立信任意味着将向首席信息安全官寻求帮助,并使他们尽早参与有助于按设计原则进行安全保护的项目,而不是在重蹈覆辙之后尝试改进安全性。”
3.现代的首席信息安全官在情感上是明智的
Club公司首席信息安全官Stephen Khan表示,如今的首席信息安全官需要情感上的智慧。他解释说,“这种素质应该不仅包括对他人的同理心和对自我的自我意识。在经常处于高压环境中的领导团队,意味着我们的主要关注问题之一是他们的健康,并确保我们对他们的支持。对他们担心的事情有同理心和了解,可以在这里有所帮助,并确保我们真正感兴趣并参与其中。这会带来更积极的结果。”
同样,在现代安全领导角色中,认识和理解自己的偏见和知识差距也是至关重要的。Khan补充说,“意识到这些可以确保我们能够建立一个多元化、包容性的团队,这也让我们能够确保员工能够补充知识并支持薄弱领域。此外,考虑到现代首席信息安全官角色的压力,自我照顾以及能够找到生活、家庭、自我、工作的平衡对于避免疲劳问题至关重要,这一点已经困扰着全球各地的安全领导者。”
4.现代的首席信息安全官的战略重点
华盛顿网络风险咨询机构Good Harbor公司总裁Emilian Papadopoulos表示,现代首席信息安全官最被人忽视的重要素质之一就是战略重点。他说,“首席信息安全官受到各方面的干扰:最新的TTP(战术、技术和程序)、不断更新的技术解决方案、商业环境的变化以及来自高管、监管机构和客户的大量问题。尽管其他高管可能会需要重新获得战略重点,但大多数首席信息安全官凭借其职责将近全天候处于联系状态。”
Papadopoulos补充说,“因此,关注战略重点应是当今首席信息安全官普遍且值得注意的挑战。但是,我看到了出色的首席信息安全官在一些方面表现出色:通过制定简明、有案可稽的战略或优先事项清单,通过让主要利益相关者达成共识并共享优先事项的所有权,使他们成为外部驱动而不是仅仅是首席信息安全官本身的优先事项,通过花费时间与其他首席信息安全官进行点对点对话,他们可以专注于自己最重要的问题,而不是对其他人更重要的问题作出反应。”
5.现代的首席信息安全官需要更加顽强
最后,当今的首席信息安全官需要顽强的素质,使他们能够继续努力改善复杂、多方面的安全格局。Stapleton说。“网络安全通常没有快速解决办法。因此,首席信息安全官必须着眼长远的这些变化,无论多么明智和获得支持,都需要投入时间和资源。这些资源将使人们的注意力转移到其他活动上,而这些活动通常更容易理解,更直接地支持正常的业务运营。”
Stapleton补充说,首席信息安全官必须就如何改进网络安全提出一致的信息。他说,“他们不太可能在第一次询问时得到确切的答案。因此,首席信息安全官必须具备‘不接受’的能力,并继续提出支持和资助的理由。”
Kahn对此表示认同,他说:“在某些场合,会出现来自利益相关者的压力。对其职能发展的方向保持信心,并注意改变方向所需要的理性和努力。保持专注有助于企业的团队取得成功,而不是过于频繁地根据利益相关者的观点改变方向,让团队成员感到筋疲力尽。”