您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 业务知识 > 正文

变革型CISO是怎样炼成的?

发表于:2021-02-09 作者:计算机世界 来源:今日头条

Brian Kelly在昆尼皮亚克大学担任首席信息安全官时,就感受到了采取不同策略的压力。

与大多数安全主管一样,Kelly发现自己的工作资源有限,而承担的责任和面临的威胁却越来越多。

他当时认识到了变革的必要性,认为他可以通过将网络安全功能从根植于合规性的严格操作转变为以理解和减少风险为基础的更为灵活的方法,从而更好地应对压力,改善学校的安全状况。

他说,这一转变对该大学和作为领导的他都意味着巨大的变化。

他说:“对我来说,我必须对其他选择持更开放的态度,还必须对灰色领域持开放态度,明白安全并不总是非黑即白。我必须倾听,合作,向社区学习,提高适应能力,我必须围绕学校的目标制定战略。这开启了一种变革性的思维方式。”

Kelly在2006年至2019年的大学任期内实施了一系列新举措,包括一场旨在提高认识的宣传活动,让学校中的每个人都把安全视为自己的责任。

这些努力有助于将安全职能转变为高绩效、战略性和反应迅速的行动,这也改变了他。

Kelly现在是非盈利组织EDUCAUSE网络安全项目的主管,该组织致力于促进IT在高等教育中的应用,他说,“这些经历让我成为了一名更好的首席信息安全官。”

成为一名变革型首席信息安全官意味着什么

Kelly在这方面并不孤单。在过去十年中,企业安全高管这一职位从专注于维护系统的管理角色发展到以业务支持为中心的战略角色,再到如今被寄予厚望从事数字化转型工作。

毕马威网络服务公司(KPMG Cyber Services)的合伙人Vijay Jajoo评论说:“这不但是要尽到安全人员的职责,更是要有能力推动变革和实现企业价值。”

事实上,一名变革型的首席信息安全官不仅仅是了解业务的技术专家或者懂技术的商人。

相反,一名变革型的安全领导是能够设计、交付和运行安全策略的人,既能满足企业的日常需求,又能够支持企业的战略愿景,同时还可以与其高管同事们协同工作,以实施那些更大、更具挑战性的、通常让人感到棘手的计划,促使企业一代一代的向前发展。

这需要一系列特定的个人特质和专业技能才能做到。

Jeff Pollard是Forrester的副总裁兼首席分析师,与人合著了多份关于首席信息安全官职位状况的报告,他说:“变革型首席信息安全官是面对混乱时最得心应手的人,是能够处理最具变革性事物的人,还有,在处理延续多年的扩建项目时,也是最得心应手的人,这类项目从通常是战术性的活动过渡到更具战略性的活动,而关注的重点是整个企业的目标是什么。”

变革型首席信息安全官的技能和特质

Forrester认为,变革型首席信息安全官是六种不同类型的首席信息安全官之一。

Pollard与合著者Josh Zelonis在他们2020年5月的报告《每名首席信息安全官现在都是一名变革型首席信息安全官》中写道,“变革型首席信息安全官乐于彻底改革那些难以实施的安全计划,为长期的改善打下基础。从头开始重新配置、重新配备人员和重建工作激励着他们。”

然而,一名变革型的首席信息安全官究竟拥有什么才会让自己与众不同呢?还能让自己“热爱”彻底改革和重建的艰苦工作呢?

Pollard介绍说,经过研究,已经确定了界定这类领导的一些特质和特征。

变革型的首席信息安全官被变革和颠覆所激励,他们通常是充满活力的。他说:“在应对混乱时,他们得心应手。”

他们精力充沛,适应性极强。

他们直言不讳,很有说服力,往往更外向,而且他们能建立共识。他解释说:“他们必须有能力做一些销售工作,并且必须能将安全融入到企业的整个变革之旅中。”

Pollard继续补充道:“如果你是这样的人,则应该找一家乐于变革的公司,不进行微观管理或者指挥和控制,管理也不是过度集中。或者,你在不得不进行变革的市场中找一家公司。”

Kelly提供了一个类似的定义技能和特质的列表,突出了灵活性以及倾听和协作的能力。

其他人也同意这一点,并补充说,善于沟通是非常重要的,这种能力有助于将各个部门(例如,安全技术和单个业务部门)面临的变化联系起来,以推动企业和整个行业的变革。

高科技公司EVOTEK的首席信息安全官、ISACA圣地亚哥分公司总裁、《首席信息安全官案头参考指南》的合著者Matt Stamper补充道:“他们必须对自己的业务和行业以及运营技术非常好奇。他们必须对影响企业的所有事情以及企业怎样才能更具弹性等方面有更广阔的视野。”

一名变革型首席信息安全官还必须主动作为,富有远见,这样才能清楚地为安全职能部门和整个企业指明方向——不仅是明天,而且是今后几个月,甚至几年。Stamper补充道,过渡时期的首席信息安全官必须有能力与其他高管合作,在实现愿景时得到安全部门的支持。

他以金融公司的首席信息安全官为榜样,指出他们很早就明白,在金融行业向数字环境转型的过程中,安全是多么的重要。

毕马威网络服务公司的Jajoo说,他认为过渡时期的领导总的来说是富有远见、鼓舞人心、创新和充满激情的。

他补充道:“他们有推动变革的愿景,更能令人鼓舞。他们不但能凝聚自己的部门,而且还可以团结其他部门,推动大家一起朝着愿景前进。对安全部门的领导来说也是如此。”

Jajoo以一位在金融服务公司担任首席信息官的同事为例,来说明怎样才能成为变革型高管。该公司正在从整体上进行一次彻底的变革,首席信息安全官将策略上的安全功能转变为具体运维,重点是降低风险并为客户参与提供保障。他采用了人工智能等先进技术,与多个相关方进行了交流,阐述了他的战略愿景,彻底改革了他的安全运维,创造了新的职业道路和培训机会,鼓励员工创新且不会因冒险而受到惩罚,利用数据来证明出现了改进,精心设计了指标,以确保持续成功。

Jajoo说:“这与怎样交付工具关系不大,更多的是关于交付新功能和流程,然后推动改进。”

开发和借鉴转型特质

尽管Forrester的报告宣称每名首席信息安全官现在都必须是变革型的领导,但Pollard等人实际上认为还是应该留有一些余地。

事实上,Pollard说,他并不认为所有首席信息安全官一直都得是变革型的领导。也不是所有的首席信息安全官都想成为变革型的。一些首席信息安全官在管理状态稳定的环境方面是最得心应手和最有能力的,在这种环境中,重点主要是成功地维护安全运营,根据需要逐步进行调整。

Pollard说,此外,有些公司不太接受变革型的首席信息安全官。这些公司最近可能已经完成了一项重大的变革计划,并进入了维护阶段。他们所处的行业可能目前还没有出现颠覆性的变革。或者,他们可能还没有准备好开展更深入的企业变革,因此不需要变革型的首席信息安全官来提供支持。在这种情况下,变革型首席信息安全官是不合适的,自己可能也会不快乐,也难以成功。

然而,另一方面,Pollard等人说,很多首席信息安全官——即使是那些没有或者不能完全接受转型的首席信息安全官,将不得不发展和磨练变革型首席信息安全官所必备的一些特性和特质,因为几乎所有的企业现在都将面临一些颠覆性的变革。

Pollard说:“即使转型与自己无关,你也可能要开展一些转型活动”,他补充说,大多数专业人士都有能力成长为这类角色,即使这不是他们原本所擅长的。

位于布达佩斯的客户体验管理公司Transcom的全球首席信息安全官Andrea Szeiler反思了自己的技能和特质,认为自己非常适合转型角色——经过个性评估,她被评为有影响力、有热情、有说服力、有竞争力、有推动力和注重结果。

她说,经历过领导变革后,她也认识到了自己的个性必须适应其他同样重要的技能,以确保她在自己部门和整个企业中建立共识并激励他人。

更具体地说,作为ISACA布达佩斯分公司的董事会成员,Szeiler说她一直在努力保持冷静和耐心。

她说:“我听到别人说,‘你是坦克,我们挡不住你’,所以我训练自己不要走得太快,要有耐心,因为如果你一个人单打独斗,就会脱离整个公司。你得让每个人都能跟上自己。”