成為頂級CISO必備的五大素養
責編:gltian |2023-09-05 13:44:45CISO(首席信息安全官)在保障現代企業數字化轉型安全開展中發揮著關鍵性作用,也面臨諸多的挑戰。他們既要滿足監管部門復雜而嚴苛的監管要求,又要兼顧關鍵業務的安全性與連續性之間的平衡,還要應對安全預算和專業人才不足的問題。
日前,研究機構Gartner開展了一項關于CISO的專項調查,通過對227名CISO過去三年職業發展情況的跟蹤觀察與分析,研究人員發現,那些表現出色的頂級CISO往往都具有一些共性的素養和習慣,他們不會陷入技術性的安全運營工作中去,而是善于溝通與授權,并且能夠讓網絡安全工作和企業的數字化發展目標保持一致。
在Gartner的研究報告中,將“頂級CISO”定義為CISO工作成效衡量中得分最高的那一小部分人。通過從管理能力、安全保障能力等4個維度對CISO的工作成效進行衡量評價,只有11%的受訪CISO在全部四個工作成效類別中表現出色。研究人員發現,這些表現最出色的頂級CISO通常具有以下五個職業素養:
1. 關注新技術發展趨勢
數字環境和網絡安全都在不斷變化,如果CISO在應對新舊威脅時變得過于自負或自滿,他們的專業知識會變得落伍,這將可能使組織面臨潛在的安全風險。研究發現,那些頂級CISO會在整個企業主動談論不斷發展的國際安全領域監管要求與規范,他們也會與業務負責人討論他們感興趣的話題,比如地緣政治、網絡安全風險和數字資產安全等方面。對于優秀的CISO來說,愿意學習、提出批判性的問題和運用最新解決問題的技能是必不可少的。
2. 合理分配工作時間
CISO的工作非常繁雜:既要應對越來越多的新型安全威脅,還要和信息化部門保持溝通,幫助他們保持敏捷、加快開發速度、轉向遠程工作。當工作壓力越來越大時,CISO們的倦怠感也隨之而來。因此,頂級CISO通常都具備較好的壓力管理能力,善于對額外的工作時間和責任說不。CISO及其團隊應該明確地對那些非重點工作說不,這不僅僅是為了管理壓力,也是為了盡量減少干擾,由注重工作過程轉為注重工作結果。
?3. 與IT之外的人建立關系
Gartner表示,頂級CISO會用更多的時間去和非IT利益相關者進行溝通交流,因為在他們的意識中,銷售主管、市場主管和業務部門負責人都是他的關鍵工作合作伙伴。在現代企業中,與人打交道已經成為CISO的重要工作,他們既要向領導匯報工作、爭取預算與資源;又要向下屬下達意見、統籌指揮。這意味著,他們要更廣泛地參與到組織各項業務運營工作中。因此,CISO需要利用網絡安全之外的廣泛技能,探究企業內更值得關注的方面。隨著網絡安全形勢不斷變化,網絡安全工作已經觸及企業的各個部門,這會促使CISO積極參與到企業運營的各個方面,并不斷學習成長。
4. 了解企業的風險偏好
Gartner研究認為,CISO準確理解企業的風險偏好對于推動網絡安全能力建設至關重要。麥肯錫公司指出,網絡安全和風險專業人士需要深入地了解風險,這樣才能確保制定的防護策略真正有效,否則可能造成重大的業務損失。了解企業的風險偏好同時帶來的好處是,這種風險視角有助于CISO更好控制安全建設成本。頂級CISO通常能夠準確認識到高層決策者對其工作效果的影響,并在項目之外與他們建立良好溝通關系,共同確定企業的風險偏好。
5. 積極推動企業的數字化變革
CISO崗位的一個重要價值就是有機會成為推動企業變革的角色,而變革型CISO擅長解決問題,優化不足和打破孤島。頂級的CISO通常都能夠積極應用創新的安全技術。很少有CISO認為這是應該由下屬去負責的事情。頂級CISO通常會密切關注新興技術、新技術部署后帶來的威脅面變化。此外,頂級的CISO還有能力改變組織成員在安全方面的傳統觀念,幫助他們將這種轉變帶到個人生活中,使員工不僅反饋工作中安全成熟度有所提高,還會向家人和周圍朋友傳授安全經驗,這些都能夠體現出頂級CISO工作的意義和價值。
參考鏈接:
https://www.thestack.technology/the-five-key-habits-of-top-cisos-best-performing-cisos/
來源:安全牛