Gartner觀察了每個公司的CISO的四個發(fā)展階段:控制經(jīng)理->風(fēng)險決策所有者->值得信賴的促進(jìn)者->和價值創(chuàng)造者。每個階段都建立在它之前的階段上,因此,我們不會將這些階段中的任何一個階段定位為“糟糕的”或“不成熟的”,而是作為下一階段表現(xiàn)的先決條件和貢獻(xiàn)者。我們定期對CISO的有效性進(jìn)行基準(zhǔn)評估,大多數(shù)CISO自認(rèn)為處于“風(fēng)險決策所有者”或“值得信賴的促進(jìn)者”階段。大多數(shù)CISO已經(jīng)不再僅僅是控制管理者,“價值創(chuàng)造者”的角色仍然很稀有。
現(xiàn)在,當(dāng)你進(jìn)入這些階段,了解CISO的角色是如何演變的,最好的描述是這個角色仍然是一個“不穩(wěn)定的分子”?,F(xiàn)在,“不穩(wěn)定分子”并不是貶義,而僅僅是對現(xiàn)實的描述。這并不令人驚訝——畢竟,CISO這一角色實際上是在20世紀(jì)90年代中期才出現(xiàn)的。金融領(lǐng)袖們花了一千多年時間(這并不夸張)來理清他們的職權(quán)范圍,而CISO的角色在很大程度上仍處于早期階段??紤]到公司和政府機構(gòu)對網(wǎng)絡(luò)安全的要求不同,角色的變化也是意料之中的,所以我們預(yù)計CISO的角色會有一些變化。
然而,作為一種不穩(wěn)定的分子確實會給CISO帶來問題。首先,它讓CISO有別于他們預(yù)計將與之接觸的其他C級高管。在類似的C級領(lǐng)導(dǎo)中,CHRO、CFO、銷售主管、市場營銷主管等職位的差異很小,因此CISO的同行往往很難準(zhǔn)確跟蹤CISO做什么和不做什么。對于CISO來說,當(dāng)今最痛苦的現(xiàn)實之一是企業(yè)/機構(gòu)對其CISO的期望與CISO的實際任務(wù)和資金交付之間的持續(xù)脫節(jié)。這種脫節(jié)目前最明顯的表現(xiàn)是圍繞CISO在支持其企業(yè)遵守最新的SEC披露規(guī)則方面所扮演的角色的不確定性——無論是來自更廣泛的高管團隊還是來自CISO本身,但還有許多其他例子。
為了達(dá)到值得信賴的促進(jìn)者和價值創(chuàng)造者的階段,CISO需要集中精力縮小企業(yè)期望與CISO實際能力(和資金!)之間的差距,去交付。
在你看來,在2024年發(fā)展CISO最關(guān)鍵的技能是什么?
關(guān)于CISO應(yīng)該發(fā)展哪些技能,世界上充斥著人們的意見。我的偏好是始終依賴數(shù)據(jù)!
Gartner的CISO有效性研究確定了14種行為和心態(tài)是CISO的必備條件。每年有200多名CISO為這一分析貢獻(xiàn)他們的績效和行為數(shù)據(jù),最新版本顯示了前五名:發(fā)起關(guān)于不斷發(fā)展的規(guī)范以保持領(lǐng)先于威脅的討論、積極參與確保新興技術(shù)的安全、將定期發(fā)生的時間專門用于專業(yè)發(fā)展活動、與項目背景外的高級決策者建立關(guān)系,以及通過與高級業(yè)務(wù)決策者的合作定義風(fēng)險偏好。
顯然,當(dāng)人們讀到“積極參與確保新興技術(shù)的安全”時,人們的思維會轉(zhuǎn)向“弄清楚人工智能中的風(fēng)險和機會”,但是,我從CISO那里得到的大多數(shù)問題都與在項目和問題的背景之外建立關(guān)系的挑戰(zhàn)有關(guān)。例如,我們的基準(zhǔn)測試清楚地表明,與首席財務(wù)官和銷售主管的定期接觸是最有效的CISO的一個與眾不同之處,但這種與眾不同的部分原因是,這種接觸在CISO社區(qū)中很少見,而且?guī)缀蹩偸桥c核心安全問題有關(guān)。
有效的CISO已經(jīng)超越了“如何讓你的職能更安全”,而是創(chuàng)造雙向價值,這意味著需要真正了解CFO和CSO的優(yōu)先事項是什么。劇透提醒:他們最優(yōu)先考慮的不是,也不應(yīng)該是網(wǎng)絡(luò)安全。
如上所述,在“不斷發(fā)展的規(guī)范”和“在項目背景之外建立關(guān)系”的聯(lián)系下,至少對于在美國市場交易的公司來說,支持企業(yè)努力遵守最新的SEC規(guī)則。CISO在這里過度擴張的風(fēng)險很大,但也創(chuàng)造了巨大的價值,并展示了真正的C級領(lǐng)導(dǎo)能力。因此,在技能發(fā)展方面,CISO需要專注于設(shè)定一些界限。例如,如果你不是公司的管理人員,就不要簽署8-K或被迫決定什么是實質(zhì)性。
CISO面臨的最大挑戰(zhàn)是什么?你建議如何解決這些挑戰(zhàn)?
更容易的任務(wù)是列出不重要的挑戰(zhàn),因為這將是一個短得多的列表!作為一名網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的本質(zhì)是,確實沒有任何小問題,其中一位我尊敬并從中學(xué)到很多的CISO在她的業(yè)績儀表盤上只有紅色和綠色。她告訴我,黃色在網(wǎng)絡(luò)安全中并不存在。有些東西要么壞了,要么沒有!我認(rèn)為這種觀點很有洞察力。
對于CISO來說,最大的挑戰(zhàn)是時間管理。我們距離網(wǎng)絡(luò)安全領(lǐng)域“爭奪一席之地”的時代還有很長一段路要走——與我共事的大多數(shù)CISO現(xiàn)在都被邀請,甚至被要求在每一張桌子上!不出所料,效率飆升的CISO是那些無情地對待他們的時間的人。他們深思熟慮地決定與誰打交道,以及與他們打交道的程度,并委托/自動化其他所有事情。
可以肯定的是,網(wǎng)絡(luò)安全在很大程度上是一種生活方式選擇,因此,每個CISO的工作/生活平衡的構(gòu)成將是不同的,但是,從多年的分析和經(jīng)驗中可以清楚地看到,大多數(shù)CISO在進(jìn)入這份工作時都認(rèn)為,“始終在線”是該角色的一項要求,而且,‘爭奪餐桌一席之地’時代留下的遺產(chǎn)之一是想要無處不在,在我們能做的任何地方貢獻(xiàn)價值,這些行為和心態(tài)沒有規(guī)模,這從CISO角色令人難以置信的離職率和倦怠中可見一斑。
盡管聽起來很簡單,但解決辦法是開始把時間當(dāng)作你最稀缺的資源。培養(yǎng)時間管理技能,就像培養(yǎng)角色的其他關(guān)鍵技能一樣。事實上,我支持客戶的最常見方式之一是,在他們看到我們的CISO有效性基準(zhǔn)中的“個人發(fā)展”后,領(lǐng)導(dǎo)時間管理研討會來幫助他們培養(yǎng)這項技能。
CISO如何在網(wǎng)絡(luò)安全的技術(shù)方面與日益增長的業(yè)務(wù)敏銳性需求之間取得平衡?
CISO需要深層次的技術(shù)能力——如果沒有與技術(shù)的大規(guī)模連接,網(wǎng)絡(luò)安全是不會起作用的,而且,一旦你比CISO低了一兩層,技術(shù)就是一切!僅出于可信度的原因,CISO需要有技術(shù)印章,這樣他們才能在職能范圍內(nèi)積極做出貢獻(xiàn)。根據(jù)你所在的行業(yè)或公司的規(guī)模,親身實踐技術(shù)可能是這一角色中適當(dāng)且必要的一部分。我認(rèn)為,大多數(shù)精明的CISO都不相信他們可以通過僅限于政策/治理來交付價值。
與此同時,由于大多數(shù)CISO來自技術(shù)和運營領(lǐng)域,當(dāng)面對模棱兩可且往往是政治性的領(lǐng)導(dǎo)力世界時,很容易在他們的技術(shù)舒適區(qū)過度投資。因此,我們看到越來越多的CISO依賴高級安全架構(gòu)師來保持與技術(shù)世界的聯(lián)系,從大量機會中篩選出真正需要高管級別關(guān)注的子集。同時,讓他們的領(lǐng)導(dǎo)團隊能夠自主做出更多決策,這樣CISO就不會被置于“親自選擇每一家供應(yīng)商”的境地。
最后,你如何展望CISO角色的未來,該領(lǐng)域的專業(yè)人員應(yīng)該為什么趨勢做好準(zhǔn)備?
我的期望是,CISO的角色將繼續(xù)在職權(quán)范圍、報告結(jié)構(gòu)和各種其他因素方面保持高度多樣化。同樣,在企業(yè)領(lǐng)導(dǎo)力的背景下,這一角色仍然是相對較新的,而且對信息保護(hù)的理解和需求在不同行業(yè)之間都存在很大差異,所有這些都意味著我們不太可能在短期內(nèi)看到CISO角色被“確定”。
因此,利用你的時間,讓你的“北極星”縮小你的企業(yè)期望與真正必要和可能的之間的差距,這些將是每個CISO的重要焦點。
此外,Gartner剛剛發(fā)布了2024年最重要的網(wǎng)絡(luò)安全趨勢。簡而言之,我們建議CISO在2024年的工作中納入九個趨勢:
·持續(xù)的威脅暴露管理
·擴展IAM的網(wǎng)絡(luò)安全價值
·第三方網(wǎng)絡(luò)安全風(fēng)險管理
·隱私驅(qū)動的應(yīng)用程序和數(shù)據(jù)分離
·GenAI
·安全行為和文化計劃
·網(wǎng)絡(luò)安全成果驅(qū)動型指標(biāo)
·不斷發(fā)展的網(wǎng)絡(luò)安全運營模式
·重新掌握網(wǎng)絡(luò)安全技能
企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。