首席信息安全官如何成為商業(yè)領(lǐng)袖
時(shí)間:2019-07-26
William Hill 的首席信息安全官 (CISO) 表示,安全領(lǐng)導(dǎo)者需要掌握市場營銷、人力資源�����、商業(yè)術(shù)語等�����,才能真正對(duì)領(lǐng)導(dǎo)其組織機(jī)構(gòu)有所幫助���。
擁有 CISO 的公司與 IT 安全經(jīng)理是最高級(jí)別的安全專家的公司有什么不同?有人可能會(huì)說 CISO 的職責(zé)范圍更廣�����,但真正的答案是領(lǐng)導(dǎo)力�。
ESG 最近的一項(xiàng)研究發(fā)現(xiàn),溝通和領(lǐng)導(dǎo)能力是一個(gè)成功的 CISO 需要具備的兩個(gè)最重要的品質(zhì)��。在受訪者眼中�,技術(shù)上的敏銳遠(yuǎn)不如傳達(dá)正確信息的能力重要。
如果 CISO 和 CIO 同級(jí)將成為常態(tài)(在英國,只有 12% 的 CIO 表示 CISO 在他們組織機(jī)構(gòu)中是與自己同級(jí)的)�����,那么安全專業(yè)人員需要學(xué)習(xí)安全技能以外的知識(shí)��,以及如何成為業(yè)務(wù)領(lǐng)導(dǎo)者�。
CISO也需要考慮業(yè)務(wù)目標(biāo)
英國博彩公司 William Hill 集團(tuán)的 CISO 的 Killian Faughnan 表示,雖然你經(jīng)常聽說安全工作促進(jìn)了什么����,而不是成為成本中心或者障礙,但在行業(yè)里很少會(huì)期待 CISO 成為商業(yè)領(lǐng)袖或者是推動(dòng)者�����。他說道:我們花時(shí)間談?wù)撊绾纬蔀樯虡I(yè)領(lǐng)袖��。這可能是你聽到過最重復(fù)的一句話:安全人員需要成為商業(yè)領(lǐng)袖��。
然而��,與更成熟的角色(包括 CIO)相比���,CISO 常常處于邊緣�����,因?yàn)樗ǔ2皇峭苿?dòng)業(yè)務(wù)向前發(fā)展的角色�����。
如果你看看高層�,那里的每個(gè)人大部分都是為了推動(dòng)業(yè)務(wù)向前發(fā)展,出于某種商業(yè)原因才來到這里的���,而 CISO 往往站在一邊。如果你不是董事會(huì)和委員會(huì)成員���,你就不是真正的商業(yè)領(lǐng)袖�����。你并沒有站在前線���。
原因在于,CISO 們往往沒有考慮他們所做的決策將如何推動(dòng)業(yè)務(wù)�����。
“商業(yè)的全部意義在于賺錢。商業(yè)的存在是為了做生意����,而不是為了安全。你需要考慮到你的決策(關(guān)于你要在哪方面進(jìn)行投資)是業(yè)務(wù)決策����,而且這些決策會(huì)影響到每個(gè)人。如果你從這個(gè)罐子里拿出 100 萬英鎊���,那不僅是別人拿不到的錢����,而且可能是本可能被別的部門變成 500 萬英鎊的錢�。”
Faughnan 補(bǔ)充道:你需要確保你所推動(dòng)的行為和結(jié)果是為了業(yè)務(wù)目標(biāo),而不是安全行業(yè)的目標(biāo)����,顯然,CISO 在那里是為了安全����,但如果你以犧牲業(yè)務(wù)為代價(jià)來實(shí)現(xiàn)目標(biāo),那么這就是失敗���。
向董事會(huì)營銷你和你的目標(biāo)
CISO 們需要學(xué)習(xí)的一項(xiàng)業(yè)務(wù)技能是市場營銷����。雖然他們可能不會(huì)向外人推銷,但每當(dāng) CISO 與董事會(huì)進(jìn)行對(duì)話時(shí)��,他們都在推銷自己及其職能��。在倫敦舉行的信息安全歐洲會(huì)議上����,F(xiàn)aughnan 告訴與會(huì)者,當(dāng)向董事會(huì)報(bào)告時(shí)——無論是更新還是請(qǐng)求資源——這實(shí)際上是一種營銷活動(dòng)�。他說:我們正在向客戶推銷一種產(chǎn)品,安全是我們的產(chǎn)品���。
“你不需要理解安全性就能理解營銷,事實(shí)上�����,理解安全反而阻礙了你�����。你只會(huì)專注于你已經(jīng)知道的東西,而忽略了你需要學(xué)習(xí)的東西�。營銷本身就是一門學(xué)科是有充分理由的。”
Faughnan 在發(fā)現(xiàn)自己演講失敗后學(xué)到了這一課�。與董事會(huì)的談話更像是一場營銷活動(dòng),這讓他更專注于信息傳遞����。他說道:我有太多的表格和圖表,我在里面放了太多的信息����,當(dāng)我告訴他們我正在做的所有重要的事情時(shí),我能看到他們都心不在焉�,他們很高興坐在那里接受培訓(xùn),但離開時(shí)卻并沒有對(duì)此感到興奮�����。
要像營銷人員一樣思考��,F(xiàn)aughnan 建議你去學(xué)習(xí)基本的營銷原則��,比如 4P����、Ansoff 矩陣�����、產(chǎn)品生命周期���,甚至是自我表現(xiàn)。如果你在推廣一個(gè)東西���,你在推銷一個(gè)愿景���,而這個(gè)愿景將來自你的產(chǎn)品。每一件你想賣給董事會(huì)的東西都有一個(gè)產(chǎn)品生命周期�����。
他繼續(xù)說道�,你是產(chǎn)品的一部分,就像其他東西一樣�����,這包括你的著裝�。在銀行里��,你的穿著可能會(huì)很正式。如果你所在的公司比較隨意��,沒有人打領(lǐng)帶���,如果你穿西裝打領(lǐng)帶出現(xiàn)在那里���,就會(huì)顯得很奇怪。
保證你的信息簡短���,集中在最重要的事情上
Faughnan 在講話中表示,CISO 的最終目標(biāo)應(yīng)該是將董事會(huì)報(bào)告縮減為一張 PPT�,展示公司是否表現(xiàn)良好,中等還是做得不好����。他承認(rèn)這是一個(gè)不切實(shí)際的目標(biāo),但你仍然應(yīng)該以保持信息簡潔為目標(biāo)���。數(shù)據(jù)有它的位置�����,但主要在你的指示板上��。你的工作就是把這些數(shù)據(jù)壓縮成有意義的東西���,并能夠以一種讓董事會(huì)覺得你知道自己在做什么的方式呈現(xiàn)出來。你給出的信息可能和上一個(gè)人一模一樣����,但你可以用一種完全不同的方式來表達(dá)。
現(xiàn)實(shí)中�,CISO 們應(yīng)該盡量將他們的 PPT 控制在三張和三條信息之內(nèi)�����。如果超過這個(gè)數(shù)字��,很可能會(huì)失去董事會(huì)的關(guān)注��。當(dāng)你向董事會(huì)展示 30 頁的東西時(shí)���,你是在告訴他們,“我不想費(fèi)心去弄清楚最重要的部分是什么�,我只是想在你空閑的時(shí)候看看它們”。他們很忙��,需要經(jīng)營整個(gè)公司��。你只有 15 分鐘的時(shí)間�����,而在 15 分鐘內(nèi)��,你可以把三個(gè)好主意講清楚����。
“對(duì)我來說,最難的事情是習(xí)慣自己在那里是為了滿足董事會(huì)的需要��,而不是為了我希望他們需要的東西��。這完全是兩件事�����。”
他說他們想要的是一個(gè)數(shù)字��;可以代表公司安全狀態(tài)的單一指標(biāo)或量表��。
“我有 5 個(gè)�����、10 個(gè)���、15 個(gè)指標(biāo)來衡量我們最擔(dān)心的事情�����,他們說�����,‘你能給我們一個(gè)數(shù)字嗎����?’����,他們希望你能以某種方式處理所有數(shù)據(jù)、所有圖表����、所有信息,然后回到他們面前����,拿出一份量表,上面寫著我們做得好或不好。就是這樣�。”
就像一張 PPT 一樣,這可能是一個(gè)無法實(shí)現(xiàn)的目標(biāo)�,但通過始終以這個(gè)目標(biāo)為目標(biāo),CISO 們能夠保證他們想要傳遞的信息簡短而切題。
學(xué)習(xí)商業(yè)�����,尋求其他商業(yè)學(xué)科的幫助
雖然采用市場營銷的方式向董事會(huì)陳述對(duì) Faughnan 有幫助���,但這只是將 CISO 從一個(gè)邊緣安全角色轉(zhuǎn)變?yōu)樗f的商業(yè)領(lǐng)袖需要做到的一個(gè)方面。安全專業(yè)人士一路走來�����,對(duì)事情都有同樣的看法���。安全人士傾向于非常直截了當(dāng)�,在很多方面都注重治理,非常注重技術(shù)和技術(shù)交付��,因?yàn)樗麄儧]有商業(yè)背景����。
為了開闊自己的思路,F(xiàn)aughnan 修了一門 MBA 課程���。他說�,學(xué)習(xí)商業(yè)讓他的詞匯量擴(kuò)大到技術(shù)和安全之外�,并開始理解商業(yè)概念。他表示:“自己永遠(yuǎn)也搞不明白�,為什么 CISO 從來沒有滿足過企業(yè)的需求�。因?yàn)?CISO 們說的是同一種語言稍微不同的版本���,其含義也有所不同�。”
人們沒有考慮到他們可以從其它地方(學(xué)到)有價(jià)值的東西。如果你在向董事會(huì)做營銷�����,那就去學(xué)習(xí)營銷�。如果你要向董事會(huì)談?wù)撠?cái)務(wù)�,那就去學(xué)習(xí)財(cái)務(wù)。如果你打算做預(yù)算�����,作為一名安全專業(yè)人員并不意味著你可以做預(yù)算���,去向做預(yù)算的人學(xué)習(xí)并去上一門預(yù)算相關(guān)的課程��。
雖然 Faughnan 承認(rèn)作為一名安全領(lǐng)導(dǎo)者���,今天的 CISO 需要扮演很多不同的角色���,但他反駁道,你不必對(duì)這些主題了如指掌���,只需要了解它們及其價(jià)值���。
“我們不需要事事精通��,也不要害怕尋求幫助。如果你在做一個(gè)內(nèi)部宣傳活動(dòng)��,可以和內(nèi)部部門溝通����。如果你想做一些營銷,和你的市場部門談?wù)?��。人力資源管理也一樣��。你想要(做)一些文化上的改變��,和他們一起在更廣泛的文化改變項(xiàng)目上進(jìn)行合作�。”
ESG 最近的一項(xiàng)關(guān)于CISO的研究報(bào)告:https://www.esg-global.com/hubfs/pdf/ESG-ISSA-Research-Report-Life-of-Cybersecurity-Professionals-Apr-2019.pdf
來源:安全牛
在線咨詢
在線咨詢
0371-63319761