三位著名的首席信息安全官討論了當(dāng)今卓越的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力的定義�,以及如何將網(wǎng)絡(luò)安全職能轉(zhuǎn)變?yōu)闃I(yè)務(wù)驅(qū)動(dòng)的組織資產(chǎn)。
圖源:JACOB LUND(圖片上傳者��,可以譯為用戶JACOB LUND�����,或者JACOB LUND)?/?SHUTTERSTOCK
大多數(shù)IT和信息安全領(lǐng)導(dǎo)者對“VUCA”這個(gè)術(shù)語非常熟悉�。它代表了volatility/波動(dòng)性、uncertainty/不確定性�����、complexity/復(fù)雜性和ambiguity/模糊性���,概括了我們今天所處的世界�,這個(gè)世界只會(huì)隨時(shí)間變得更加復(fù)雜和不確定���。最佳的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者不僅對這一現(xiàn)實(shí)有著深刻的認(rèn)識�;他們還故意專注于制定和實(shí)施戰(zhàn)略,以在VUCA世界中蓬勃發(fā)展��,并培養(yǎng)出一系列未來就緒的網(wǎng)絡(luò)領(lǐng)導(dǎo)者�����,以領(lǐng)先于持續(xù)的干擾��。
上個(gè)月在SecureIT New York(是一個(gè)專注于信息安全領(lǐng)域的會(huì)議�,它為安全領(lǐng)導(dǎo)者提供了一個(gè)平臺��,以探討當(dāng)前和即將到來的挑戰(zhàn)����。2024年7月11日,SecureIT New York?在紐約的Convene NYC舉行�。會(huì)議的主題是“未來安全防護(hù):SecureIT New York 2024的關(guān)鍵策略”,旨在幫助信息安全領(lǐng)導(dǎo)者應(yīng)對前所未有的壓力����,包括保護(hù)數(shù)據(jù)和資產(chǎn)、遵守政府報(bào)告網(wǎng)絡(luò)安全事件的要求�,以及與將安全措施視為產(chǎn)品快速開發(fā)障礙的同事打交道���。),我有機(jī)會(huì)主持一個(gè)關(guān)于如何增強(qiáng)網(wǎng)絡(luò)彈性文化的小組討論��,由三位強(qiáng)大的首席信息安全官組成:Northwestern Mutual(西北互助人壽保險(xiǎn)公司����,是美國最大的人壽保險(xiǎn)公司之一����,提供個(gè)人和商業(yè)計(jì)劃���、教育基金����、信托和投資服務(wù)以及其他各種產(chǎn)品�。它擁有遍布全美的財(cái)務(wù)服務(wù)網(wǎng)絡(luò)���,包括350個(gè)辦公室和7800個(gè)獨(dú)立銷售代表或代理人。公司重視品質(zhì)和保險(xiǎn)人利益����,致力于為客戶提供優(yōu)質(zhì)服務(wù)���,其價(jià)值理念是首重公司安全和保險(xiǎn)人利益���,其次才是企業(yè)成長和公司規(guī)模。)的CISO?Laura Deaner(勞拉·迪納)�;The Estée Lauder Companies/ELC(雅詩蘭黛集團(tuán),是一家全球性的護(hù)膚�、化妝品����、香水和護(hù)發(fā)產(chǎn)品的制造商和銷售商。雅詩蘭黛集團(tuán)以其品牌組合而聞名�,其中包括多個(gè)高端美容品牌�����。雅詩蘭黛集團(tuán)通過其品牌提供多樣化的產(chǎn)品�,旨在滿足不同消費(fèi)者的需求,并且不斷擴(kuò)展其市場影響力���。)的CISO?Nada Noaman(納達(dá)·諾曼)��;還有RAND(蘭德公司���,是一家非營利性質(zhì)的國際政策研究機(jī)構(gòu),擅長通過研究和分析改善政策和決策制定����。蘭德公司的研究涉及眾多領(lǐng)域,包括人口�����、經(jīng)濟(jì)發(fā)展��、教育�、能源����、環(huán)境、衛(wèi)生、基礎(chǔ)設(shè)施建設(shè)�����、國際關(guān)系��、司法���、國家安全和科學(xué)技術(shù)等�。作為一家私營����、獨(dú)立、無黨派的研究機(jī)構(gòu)�����,蘭德公司以其獨(dú)立運(yùn)營和客觀性而備受尊重����。)的CISO?Liz Rodgers(莉茲·羅杰斯)。
在日益增長的威脅環(huán)境中����,這些首席信息安全官強(qiáng)調(diào)���,網(wǎng)絡(luò)安全團(tuán)隊(duì)需要理解和使用業(yè)務(wù)語言,并從戰(zhàn)略上著眼于推動(dòng)更大的客戶和利益相關(guān)者價(jià)值��。
正如Noaman(諾曼)所說�����,“這不是弱者的工作����。”這也是為什么這是一個(gè)令人興奮的職業(yè),而成功地駕馭這一領(lǐng)域需要的不僅僅是技術(shù)技能��。我們的對話涉及了今天定義一個(gè)偉大的信息安全領(lǐng)導(dǎo)者的特點(diǎn)���,以及這些領(lǐng)導(dǎo)特質(zhì)如何為業(yè)務(wù)帶來成果�����。
一��、北極星(最終愿景):將網(wǎng)絡(luò)安全與任務(wù)聯(lián)系起來
憑借對企業(yè)端到端的視角��,網(wǎng)絡(luò)安全組織處于一個(gè)獨(dú)特的位置�����,能夠預(yù)見問題和需求���,影響商業(yè)戰(zhàn)略,并主動(dòng)推動(dòng)商業(yè)變革和影響����。然而,許多網(wǎng)絡(luò)安全專業(yè)人員仍然埋頭于瑣碎之事��,缺乏對自己在推進(jìn)商業(yè)使命中所扮演角色的視角�����。最優(yōu)秀的首席信息安全官會(huì)故意確保他們的人理解他們的目的和與商業(yè)的聯(lián)系�。這是他們?nèi)绾螌⒙毮芴嵘匠綉?zhàn)術(shù)性命令接收者或值得信賴的顧問,成為前瞻性�、創(chuàng)新合作伙伴的一部分。
ELC的Nada Noaman(納達(dá)·諾曼)已經(jīng)將培養(yǎng)這種以業(yè)務(wù)為先的導(dǎo)向作為她組織中的優(yōu)先事項(xiàng)��。“我告訴他們���,無論您扮演什么角色�,您都是拼圖中的一部分,沒有那部分���,拼圖就不完整���。您必須知道自己在拼圖中的位置,才能說���,‘如果我不做好這個(gè)貢獻(xiàn)的部分�����,我們就永遠(yuǎn)不會(huì)實(shí)現(xiàn)那個(gè)目標(biāo)�����。’了解您的位置���,以及您的工作如何有助于最終目標(biāo),這是至關(guān)重要的�。”
她說,這種心態(tài)在她的團(tuán)隊(duì)成員與他們的業(yè)務(wù)同事一起“出現(xiàn)”的方式中表現(xiàn)得很明顯��。他們考慮的是自己提供的價(jià)值�,無論是他們正在解決的問題�����,還是他們的總體使命——以客戶為中心的安全�����。
最終,她說�,這關(guān)乎建立共識,而在建立共識中�,頭號利益相關(guān)者是您的團(tuán)隊(duì)。
“當(dāng)您讓他們理解您試圖實(shí)現(xiàn)的北極星(最終愿景)是什么���,為什么——他們知道安全方面的原因��,但他們是否理解商業(yè)方面的原因——這部分是讓他們集中注意力并有動(dòng)力朝同一個(gè)方向前進(jìn)��,并以完全相同的速度�,”Noaman(諾曼)說�����,“您必須告訴他們最終的目標(biāo)是什么�����。”
二、說商業(yè)語言
作為以任務(wù)為中心的業(yè)務(wù)推動(dòng)者��,是建立信譽(yù)和獲得關(guān)鍵安全舉措支持的關(guān)鍵����。但如果您不會(huì)說商業(yè)伙伴的語言,您就無法與他們建立可靠的聯(lián)系��。事實(shí)上��,網(wǎng)絡(luò)安全行業(yè)各個(gè)層面最大的技能差距之一不是技術(shù)性的���;是人:溝通��。
“我擁有一支出色���、充滿活力、技術(shù)精湛的團(tuán)隊(duì)�,”Northwestern Mutual的Deaner(迪納)說,“但是�,當(dāng)您與企業(yè)和其他戰(zhàn)略利益相關(guān)者進(jìn)行對話時(shí),他們不一定知道什么是單點(diǎn)登錄或多因素登錄。他們只想知道如何解決問題��。”
您傳達(dá)得越簡單越好����。網(wǎng)絡(luò)安全專業(yè)人員經(jīng)常陷入技術(shù)術(shù)語的泥潭,結(jié)果卻失去了聽眾����。“要清晰��、明確����、直接,”Noaman(諾曼)建議道���,“若您們直截了當(dāng)?shù)卣f出您們需要做什么��,并說明為什么�,您們就不必解釋技術(shù)問題��,因?yàn)楝F(xiàn)在每個(gè)人都知道為什么了�����。”
在商業(yè)現(xiàn)實(shí)的背景下進(jìn)行溝通也是必不可少的,這需要熟悉業(yè)務(wù)同事每天的經(jīng)歷����。Deaner(迪納)鼓勵(lì)她的團(tuán)隊(duì)了解業(yè)務(wù),訪問呼叫中心���,并接聽電話��,“這樣他們就會(huì)開始感受到對方可能感受到的情緒����?���!?/span>
RAND的Rodgers(羅杰斯)說,最重要的是�����,記住這句基本且根本的咒語:“在每一次對話中都要保持對業(yè)務(wù)優(yōu)先事項(xiàng)的關(guān)注���。”
三�����、頂級網(wǎng)絡(luò)領(lǐng)導(dǎo)者的獨(dú)特之處
在領(lǐng)導(dǎo)層面�,高級溝通技能更重要,技能差距往往更大�。網(wǎng)絡(luò)安全和其他技術(shù)專業(yè)人員通常會(huì)根據(jù)技術(shù)人員的成就晉升為領(lǐng)導(dǎo)者。雖然他們的技術(shù)證書可能是一流的���,但許多人在溝通���、影響力、客戶導(dǎo)向和商業(yè)頭腦等核心領(lǐng)導(dǎo)能力方面沒有太多的發(fā)展或指導(dǎo)(如果有的話)����。
正如Rodgers(羅杰斯)所說��,“讓您來的東西不會(huì)讓您來��。您知道如何配置防火墻���,但現(xiàn)在您必須與高管溝通�。您必須了解業(yè)務(wù)��,并能夠用商業(yè)語言來談?wù)撃募夹g(shù)、您的安全�、您的解決方案。能夠進(jìn)行這些對話是區(qū)分偉大領(lǐng)導(dǎo)者的關(guān)鍵�����。”
因?yàn)樗麄兪沁@個(gè)角色的基礎(chǔ)��,優(yōu)秀的溝通技巧會(huì)對領(lǐng)導(dǎo)效率產(chǎn)生連鎖反應(yīng)��。例如�����,透明度往往會(huì)建立更多的信任��,從而促進(jìn)更好的協(xié)作與合作�����。“動(dòng)機(jī)的質(zhì)疑減少了���,”Noaman(諾曼)說�,“我們在互相交談��,您明白我們?yōu)槭裁匆@樣做。我認(rèn)為�,除非您和我一起在船上劃槳,否則我們無法真正協(xié)作��。”
這些直觀的�����、以人為中心的技能是至關(guān)重要的��,特別是在首席信息安全官經(jīng)常處理的高壓力��、高風(fēng)險(xiǎn)的情況下����。正如Deaner(迪納)所說,“我可以談?wù)凜VSS(Common Vulnerability Scoring System��,通用漏洞評分系統(tǒng)����。是一個(gè)標(biāo)準(zhǔn)化框架�����,用于評估和衡量計(jì)算機(jī)系統(tǒng)和軟件中漏洞的嚴(yán)重性。CVSS?根據(jù)漏洞對受影響系統(tǒng)的機(jī)密性��、完整性����、可用性的影響以及漏洞的可利用性、攻擊向量等因素��,為每個(gè)漏洞分配數(shù)值分?jǐn)?shù)�����,范圍從0到10����,分?jǐn)?shù)越高表示漏洞越嚴(yán)重。)分?jǐn)?shù)�。但歸根結(jié)底,沒有人想度過糟糕的一天����。我認(rèn)為這是一種更好的定位方式,而不是過于技術(shù)化���,或者使用恐懼�����、不確定性和懷疑���,或者不讓事情簡單化�,在人們所在的地方與他們見面����。”
四、激發(fā)個(gè)人和團(tuán)隊(duì)的韌性
在信息安全領(lǐng)域�,風(fēng)險(xiǎn)無處不在,攻擊手段日益復(fù)雜�,且風(fēng)險(xiǎn)極高,成功的首席信息安全官的一個(gè)決定性特征是他們的勇氣�。好消息是,勇氣就像其他任何肌肉一樣��,是可以培養(yǎng)的��。它也是一種心態(tài)�。在這個(gè)小組討論中的首席信息安全官們描述了各種內(nèi)在的動(dòng)機(jī),這些動(dòng)機(jī)讓他們保持在游戲中����,具有韌性和適應(yīng)性,即使面對令人畏懼的挑戰(zhàn)�����。他們明確表示���,當(dāng)您被對您所做事情的熱愛所驅(qū)動(dòng)���,并保持對您正在產(chǎn)生的影響有清晰的認(rèn)識時(shí),表現(xiàn)出勇氣會(huì)容易得多����。
其中一個(gè)共同點(diǎn)是他們關(guān)注“關(guān)鍵時(shí)刻”,即網(wǎng)絡(luò)安全和各種利益相關(guān)者之間的聯(lián)系點(diǎn)��。有意這樣做的領(lǐng)導(dǎo)者會(huì)發(fā)現(xiàn)�����,他們能夠更好地看到周圍的角落��,并更具戰(zhàn)略性地成為業(yè)務(wù)推動(dòng)者�����。
Rodgers(羅杰斯)說,這是她在職業(yè)生涯早期在幫助臺工作時(shí)學(xué)到的一課�。整天抱怨需要自己的勇氣。“但它的美妙之處在于您可以了解人們以及他們是如何工作的�,”她說:“我已經(jīng)到了可以預(yù)測他們想要什么的地步,所以我開始主動(dòng)提供這些東西?��,F(xiàn)在�����,我正在將同樣的經(jīng)驗(yàn)應(yīng)用于我的領(lǐng)導(dǎo)職位����,以預(yù)測業(yè)務(wù)部門的需求�����。”
Deaner(迪納)補(bǔ)充說:“了解我們的客戶有助于我的團(tuán)隊(duì)加快速度��,也有助于您了解您所做的一切�����。我們充滿激情,但我們有很多天感覺就像��,伙計(jì)����,這太瘋狂了�����。有了這種感覺����,我正在產(chǎn)生影響并保護(hù)我的客戶,這太棒了���。”
在這個(gè)行業(yè)中���,“總有一些東西能讓您完全保持警覺,”Noaman(諾曼)說����,“這已經(jīng)融入了工作描述,也融入了我們這些在網(wǎng)絡(luò)領(lǐng)域長大的人����。我們通過疤痕組織學(xué)習(xí)�。”
優(yōu)秀的領(lǐng)導(dǎo)者能夠建立一種文化��,在這種文化中���,人們可以在高壓環(huán)境中蓬勃發(fā)展�,而不是被它拖垮�����。隨著職業(yè)倦怠的加劇�����,培養(yǎng)�、吸引、參與和留住最優(yōu)秀的人才是表現(xiàn)最佳的首席信息安全官的首要任務(wù)——因?yàn)樗麄冎?,沒有一支技術(shù)嫻熟、充滿激情���、團(tuán)結(jié)一致的團(tuán)隊(duì)���,他們就無法保護(hù)利益相關(guān)者并完成任務(wù)����。
“我使用橫穿國家的越野賽來比喻���,”Noaman(諾曼)說�����,“我們從A點(diǎn)到B點(diǎn),我們有這些目標(biāo)�����。我不會(huì)告訴您怎么到達(dá)那里�����。我也不會(huì)告訴您需要做什么�����。這是您的工作�。我的任務(wù)是為您準(zhǔn)備好這次旅行,因?yàn)檫@是一段旅程����。作為領(lǐng)導(dǎo)者�����,我必須設(shè)定那個(gè)愿景�����,然后帶領(lǐng)世界與我同行�����。”
五�����、領(lǐng)導(dǎo)力平衡法
正如這三位首席信息安全官所表明的那樣��,最好的領(lǐng)導(dǎo)者以humility/謙遜�、empathy/同理心���、adaptability/適應(yīng)性��、resiliency/彈性和transparency/透明度(即HEART)領(lǐng)導(dǎo)�,同時(shí)讓員工負(fù)責(zé)并專注于交付成果。這是一個(gè)棘手的平衡行為�。過于關(guān)注結(jié)果,您就會(huì)失去您的員工���。但如果過分關(guān)注HEART�,您可能會(huì)失去工作��。
在我們展望培養(yǎng)一批準(zhǔn)備好應(yīng)對未來的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的健康梯隊(duì)時(shí)�,我們需要記住這一點(diǎn)。我們需要確保我們?yōu)樗麄兣鋫淞诉@項(xiàng)工作所需的技術(shù)��、商業(yè)和領(lǐng)導(dǎo)能力��。這意味著要滿足他們當(dāng)前的需求���,并為他們即將踏上的旅程做好準(zhǔn)備。
“我讓人們走上坡路的方式各不相同���?��!?/span>Rodgers(羅杰斯)說,“這取決于識別領(lǐng)導(dǎo)技能方面的差距�����。這取決于那個(gè)人和他們想要達(dá)到的目標(biāo)。這也在很大程度上取決于您所處的環(huán)境���。有時(shí)人們沒有得到展示自己的機(jī)會(huì)�。要讓年輕領(lǐng)導(dǎo)者走上坡路��,您必須有意識地去做��。”
如果從這些領(lǐng)導(dǎo)者的成功中提煉出一個(gè)總體的教訓(xùn)�����,那就是:要有意識���?��?紤]一下您的世界里現(xiàn)在正在發(fā)生多少變化。這將是變化發(fā)生最慢的時(shí)候��。有意識和專注——在文化�����、人才和商業(yè)影響上——從未如此重要。
作者:Dan Roberts(丹·羅伯茨)
丹·羅伯茨是Ouellette&Associates Consulting的首席執(zhí)行官�,CIO Whisperers播客的主持人,也是許多書籍的作者����,包括Unleashing the Power of IT/《釋放它的力量》和Confessions of a Successful CIO/《成功CIO的自白》。"
譯者:寶藍(lán)
【睿觀:在快速變化和充滿挑戰(zhàn)的網(wǎng)絡(luò)安全環(huán)境中����,卓越的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力不僅僅依賴于技術(shù)能力,還需要深厚的溝通技巧����、戰(zhàn)略思維和對商業(yè)目標(biāo)的理解。本文探討頂尖首席信息安全官(CISO)如何定義和實(shí)踐卓越的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力�,并提供了如何將網(wǎng)絡(luò)安全職能轉(zhuǎn)變?yōu)闃I(yè)務(wù)驅(qū)動(dòng)的組織資產(chǎn)的洞見���。
核心觀點(diǎn)
