您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 业务知识 > 正文

七个首席信息安全官继任计划的优秀实践

发表于:2022-09-15 作者:Jerald Murphy 来源:企业网D1Net

随着安全事件的数量和严重性在各行业领域的不断升级,企业需要优秀的首席信息安全官。但是这个角色面临巨大压力,让一些首席信息安全官筋疲力尽,也有一些人离职获取更有利可图的机会。考虑到这一点,企业必须为现有首席信息安全官不可避免的离职做好准备。

好消息是, 制定首席信息安全官继任计划有许多可能的好处,其中包括:

  • 节省成本。提前计划并主动确定继任候选者可以帮助节省招聘成本。
  • 连续性。培养和提拔现有员工(例如业务信息安全官或副首席信息安全官)担任首席信息安全官,可以消除培训新员工面临的负担。
  • 企业稳定性。最后也是最重要的一点,制定继任计划能够在首席信息安全官离职时维持企业稳定性。

首席信息安全官继任计划的7个最佳实践

没有计划可能面临失败。这意味着,在各种类型的组织和环境中,首席信息安全官都应帮助企业从战略上为他们最终的离职和更换做好准备。

作为首席信息安全官,忽视继任计划并将自己视为不可或缺的一员,似乎是保障其职位安全的秘诀,但可能会导致职业停滞不前。鉴于该职位面临的压力,这一网络安全角色通常具有一定的任期。因此,从任职初期开始,明智的首席信息安全官就需要有以下想法:

  • 计划任职的大致时间。
  • 未来职业生涯的目标以及如何实现这些目标。
  • 谁可能接替他们。
  • 在理想情况下,这些转变将如何以及何时展开。

首席信息安全官的人员流动率非常高。首席执行官、董事会成员和其他高管利益相关者因此应该采取措施,以在必要时确定首席信息安全官继任者。为此需要考虑以下七个最佳实践。

1、尽早开始首席信息安全官继任计划

在理想情况下,首席信息安全官应在上任之后的前六个月内启动继任计划,从审查前任首席信息安全官制定的继任计划开始。接下来,他们应该审查其他执行角色的继任计划,以帮助确定安全计划应该包括的特定项目。

2、预测未来的安全要求

与技术一样,安全也在不断发展。首席信息安全官继任计划需要预测未来的安全环境,并做好相应的准备。虽然没有人可以准确预测未来会发生什么,但可以根据以下情况对可能出现或持续存在的安全问题做出明智的评估:

  • 特定业务如何发展。
  • 技术如何发展。

例如,自从新冠疫情爆发以来,已经看到远程工作、SaaS和云计算的增加。因此,首席信息安全官应该问自己以下这些问题:

  • 这些更改有哪些安全隐患?
  • 哪些政策、技术和技能可以帮助企业满足相关的安全需求?

在预测未来的安全要求之后,制定培训计划以确保员工具备应对未来挑战所需的技能。

3、培养未来的领导者

在预期的安全环境和企业需求的背景下,评估现有高级安全人才的优势和劣势,以及他们的个性、专业经验和职业目标。例如,考虑谁能处理最初的安全危机,谁能有效地保持业务稳定。结合领导力和管理培训,可以使这些未来的领导者能够在必要时自信地承担新的责任。

这些崭露头角的安全领导者可能对新兴趋势和威胁有着自己的想法,因此需要积极将他们纳入面向未来的讨论中。将他们的想法融入培训和计划中,让他们在这一过程中拥有主人翁意识,从而增加继任者成功的可能性。

4、让企业董事会参与

由于最高网络安全工作对大多数企业而言具有越来越重要的战略重要性,因此企业董事会应该要求制定和维护首席信息安全官继任计划。他们还应该审查和批准这些计划,以确保做到以下几点:

  • 与广泛的业务需求保持一致。
  • 考虑计划内和计划外的首席信息安全官离职。

5、为计划中的首席信息安全官离职做好准备

计划中的离职包括退休和内部变动,例如从首席信息安全官的职位转换到首席风险官。在某些情况下,首席信息安全官还可能与企业主达成共识,一旦达到特定的目标,首席信息安全官可能离职去获得更多的发展机会。例如,一些安全领导者专门指导企业完成数据泄露恢复,然后在成功之后跳槽到其他的公司继续发展。

首席信息安全官要离职之前需要提早通知,至少提前三个月,这样企业可以有机会招聘继任的首席信息安全官。这可能意味着提拔现有员工或从外部招聘。只要有足够的时间,即将上任的首席信息安全官可以了解现有员工、政策和流程,从而将企业的运营和文化中断降至最低。

6、为首席信息安全官计划外离职做准备

然而,一些首席信息安全官的离职也可能在没有发出任何警告的情况下发生。疾病、死亡、辞职、个人危机、监禁和重大安全事件都可能使企业的安全业务在接到首席信息安全官离职通知之后陷入动荡。

企业需要为这种不可预见的事件做好准备,需要确保每个安全角色都有描述其关键职责和任务的文档。人力资源部门应维护这些文件,首席信息安全官应每年对其进行审查,并将这些文件作为培训指南。

在理想情况下,安全人员还将接受其他角色的交叉培训,这对于支持单一职位尤其重要。例如,如果一名高级安全架构师突然任命为代理首席信息安全官,那么其他同事可能需要接手一些他的工作。

企业可以考虑制定备用计划,以防首席信息安全官突然离职而需要内部员工进行紧急调整,使他们无法履行日常职责。这可能意味着将一些安全任务外包给第三方提供商,或者从外部招募以寻求具有关键技能的临时或永久人才。

7、定期审查首席信息安全官继任计划

首席信息安全官、首席执行官、企业董事会和其他相关高管利益相关者应至少每年重新审视继任计划。以下是企业内部应触发审查的主要变化:

  • 不断变化的经济状况。
  • 并购。
  • 重大安全事件。
  • 副安全领导层的更替。
  • 安全人员绩效问题。

有一件事是肯定的:变化将会发生。企业需要采取积极措施来塑造未来,而不仅仅是对未来的变化做出反应,这将让企业处于更有利的地位。首席信息安全官继任计划可以帮助企业为不可避免的意外事件做好准备。