然而,最卓越的CISO具有共同的特點——以他們的技能廣度、駕馭變革浪潮的意愿以及致力于解決問題和創(chuàng)新的精力為中心??梢钥隙ǖ氖牵S著威脅形勢的演變和新技術的曝光,這一角色所需的硬技能將繼續(xù)變化。因此,就目前而言,CISO應該努力獲得最佳實踐,使他們能夠產生影響,并與他們的團隊建立聯(lián)系,而不考慮未來的宏觀變化。
在技術敏銳和商業(yè)敏銳之間取得適當?shù)钠胶?/strong>
CISO的技能范圍從非常技術性到非常注重業(yè)務,然而,最受尊敬的人往往落在中間的某個地方——接近他們的技術根源,盡管他們的角色要求越來越多地以商業(yè)為導向,以犧牲另一端為代價,偏向這一端的CISO將更難贏得同行的信任,并在業(yè)務集團之間建立富有成效的合作伙伴關系。如果你找到了兩個都擅長的CISO,抓住它們——你可能會發(fā)現(xiàn)自己是一只獨角獸!
雖然2023年CISO高達30%的效率可以直接通過他們創(chuàng)造業(yè)務價值的能力來衡量,但他們仍然需要能夠深入了解不同安全和IT解決方案的影響,這一點聽起來尤其正確,因為軟件工程、云安全、ML和AI的知識現(xiàn)在被期望用于CISO--說明了安全技能集的“左移”,這種技術細節(jié)往往有助于他們與團隊建立融洽的關系。
CISO應該能夠在此時此地捍衛(wèi)他們的架構,但也應該擁有推動企業(yè)實現(xiàn)其未來安全和業(yè)務目標的技術能力,他們的知識需要超越對新產品的了解,真正了解這些解決方案在短期和長期內如何為他們的業(yè)務帶來好處,也就是說,他們不必像一個人孤島一樣運作——事實上,他們可以也應該與同齡人進行一致的、協(xié)作的對話,以征求意見,并確保每個人都站在同一立場上。
提供適當?shù)淖o欄,但不要太多
企業(yè)對新招聘的安全人員持保留態(tài)度是很常見的,原因通常有兩個,首先,安全專業(yè)人士可能會陷入“房間里最聰明的人”心態(tài)的陷阱,阻礙開放的溝通和妥協(xié),其次,安全專業(yè)人士通常被認為過于規(guī)避風險——通過立即拒絕可能存在風險的提議,或者要求員工在進行任何新事物之前,要求制定全面的政策,從而放慢流程和勢頭,這些因素給試圖快速行動并保持敏捷的企業(yè),特別是初創(chuàng)企業(yè)發(fā)出了危險信號。從好的方面來看,這并不是必須的——有效的安全領導者可以與他們現(xiàn)有的團隊并駕齊驅,提供適當?shù)淖o欄,同時仍有助于加速業(yè)務。
把風險管理比作沖浪:如果你坐在岸上,你永遠不會趕上大浪。在評估一項新技術的安全影響時,CISO需要學會駕馭這股浪潮,從“讓我們等到完全了解其功能和影響”的心態(tài)轉變?yōu)?ldquo;讓我們對技術進行編碼并編寫我們的策略,同時探索我們的選擇”。新的AI應用程序,如ChatGPT和其他GenAI工具,通過謹慎而不阻礙探索或進展,為CISO提供了將這種方法付諸實踐的及時機會。隨著公司評估如何將AI整合到各種內部和外部流程,甚至是他們的產品,CISO可以通過提供關于防止數(shù)據(jù)丟失的見解和對大型語言模型的輸出使用良好的判斷來提供支持-同時鼓勵在有意義的地方負責任地使用這項新技術。當CISO能夠通過只提供保護人員和信息最必要的護欄來表明他們相信自己的判斷時,他們就贏得了信任和尊重。
抵制自滿,尋求創(chuàng)造性的解決問題的方法
最后,隨著網絡威脅的數(shù)量和復雜性不斷上升,我們不能自滿,即使安全項目運行順利,海面看起來風平浪靜,CISO也需要保持積極主動,始終考慮下一步和創(chuàng)新。攻擊者訪問企業(yè)的三種主要方式是竊取憑據(jù)、網絡釣魚和利用漏洞。因此,CISO需要跟上這些趨勢,并找到新的方法來保護他們的數(shù)據(jù)免受惡意參與者的攻擊。要做到這一點,他們需要抵制管理模式,轉而專注于創(chuàng)新建設,并提出這樣的問題,如:我們行業(yè)需要采取的下一步重大舉措是什么,以改善解決問題?最好的CISO不是在泡沫中運作——他們與同行、高管和更廣泛的網絡討論更新、更快、更有效的方式來處理他們的角色和責任。
通過牢記這些提示,CISO將更好地平衡風險和機會,并在決策過程中更早地被帶到談判桌上,并被信任為其企業(yè)設定安全基調。此外,他們將能夠處理不斷變化的責任,并在當今高風險的網絡安全格局中引導他們的業(yè)務。通過回到信息安全的基層,并記住在網絡安全中有創(chuàng)造性思維的空間,他們可以花更少的時間說“不”,而花更多的時間探索新的解決方案,優(yōu)化程序,并與他們的團隊建立牢固的聯(lián)系。
關于企業(yè)網D1net(m.r5u5c.cn):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業(yè)網D1Net編譯,轉載需在文章開頭注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。