拥有首席信息安全官的公司与只拥有IT安全经理的公司有什么区别?有人可能会说首席信息安全官具有更广泛的责任,但真正的答案是领导力。
ESG公司最近的一项研究发现,沟通能力和领导技能是首席信息安全官获得成功的两个最重要的品质。在受访者眼中,技术敏锐性远不如传递正确信息的能力重要。
首席信息安全官成为首席信息官的合作者将成为一种常态,而安全专业人员需要学习安全知识以外的技能,并学习如何成为商业领袖。
首席信息安全官也需要考虑业务目标
英国博彩公司威廉·希尔集团首席信息安全官Killian Faughnan说,虽然人们认为业务安全是一种推动因素而不是成本中心或障碍,但首席信息安全官很少是人们认可的商业领袖或推动者。
与包括首席信息官在内的更为成熟的角色相比,首席信息安全官往往处于次要地位,因为它通常不是一个推动企业业务发展的角色。Faughnan说:“企业管理层中的每个管理者几乎都在推动业务的发展,而如果没有在企业董事会和委员会占有一席之地,就不是真正的商业领袖。”
其原因在于,首席信息安全官往往没有考虑他们所做出的决策将如何推动业务发展。Faughnan说,“企业开展业务的目标就是为了盈利。其业务是生意而不是安全。但是人们需要考虑这样一个事实:企业的决策者处在部署资源的位置上,业务决策将会影响到其他人。如果企业的某个部门花费100万英镑,这可能对于其他部门来说并不只是100万英镑,用于业务发展可能将其变成500万英镑。”
他补充说:“首席信息安全官需要确保所推动的行为和结果来自于业务目标,而不是安全行业的目标。显然,我们要做的是确保安全,但如果以牺牲业务为代价来实现目标,那么这就是失败。”
首席信息安全官向企业董事会推销自己和目标
首席信息安全官需要学习的一项业务技能是营销。虽然他们可能不会向外界推广,但每当首席信息安全官与董事会成员沟通时,都在推销自己及其职能。Faughnan在伦敦召开的InfoSecurity欧洲会议上发布演讲时表示,首席信息安全官在向企业董事会展示能力时,无论是更新还是资源请求,实际上都是营销活动。他说,“首席信息安全官正在推销产品,而安全就是他们的产品。”
他表示,“人们不需要了解安全性即可理解市场营销。人们需要将重点放在需要关注的东西上,而不是需要学习的东西。市场营销是一个很好的理由。”
Faughnan表示,与企业董事会成员交流更像是一场营销活动,这让他更加关注消息传递。他说,“我有很多图表,其中具有太多的信息,当我向董事会成员介绍正在做的工作的时时,我只看到他们坐在那里听我描述,但他们并不感兴趣。”
为了像市场营销人员一样思考,Faughnan建议首席信息安全官学习基本的营销原则,例如4P营销理论、Ansoff矩阵、产品生命周期,甚至是自我展示。他说,“如果正在销售一个特定的产品,那么就是在推销一个愿景,而这个愿景将来自产品。对于首席信息安全官尝试向董事会销售的每件产品来说,都有产品生命周期。”
他表示,“和其他任何东西一样,人员也是这个产品的一部分,其中包括着装。例如身着正装在银行办理事务可能很适合,但是如果在一个公司文化比较随意的公司中,这种穿着可能变得很奇怪。”
保持简短的消息传递,专注于最重要的事情
Faughnan在他的演讲中表示,首席信息安全官最终的目标应该将演示文稿放到一张幻灯片中,幻灯片可以更简洁说明做得很好、中等水平或不好。他承认这是一个不切实际的目标,但仍然应该成为一个鼓励保持内容简洁的目标。他说,“数据有它的位置,但主要在仪表板中。首席信息安全官的工作就是把这些数据压缩成有意义的数据,并能够以一种通俗易懂的方式向企业董事会展示这些数据。可以提供与其他人相同的信息,但可以采用完全不同的方式呈现。”
实际上,首席信息安全官应该尝试将他们的演示文稿压缩成三张幻灯片和三条消息。除此之外,董事会成员可能很难关注。他说,“当向董事会成员展示30页的幻灯片时,等于告诉他们的是,‘我无法解决这个问题,无法找出最重要的东西是什么,而我在全力以赴地工作。”董事会成员通常很忙碌,也许在15分钟的时间就会产生灵感和主意。对首席信息安全官来说,最困难的事情是要向董事会成员提供他们想要的东西。”
他说,“董事会成员想要的是明确的数字,可以表示企业安全状态的单一指标或比例。首席信息安全官担心的事情可能具有10多个指标,董事会成员会说,‘你能给我们一个数字吗?’首席信息安全官需要采用一些方法处理所有的数据、图表、信息,然后采用一个尺度来评估做得好不好。就是如此。”
就像采用一张幻灯片阐述内容一样,这可能是一个无法实现的目标,但通过始终关注这个目标,首席信息安全官将能够保持他们的信息简短而重要。
学习业务需要寻求其他商业学科的帮助
Faughnan表示,虽然首席信息安全官采用营销方法向董事会成员提交的内容是有所帮助的,但它只是将其安全角色转变为业务领导者的一个方面。他说,“安全专业人员通常都具有相同的职业发展路线,对事物有着相同的看法,并且非常注重技术交付和安全技术。”
为了拓宽思路,Faughnan建议学习工商管理硕士(MBA)课程。他说,“学习商业课程使首席信息安全官能够在关注技术和安全之外,理解商业概念。例如,很多人无法理解为什么从来没有按照企业的要求进行交付。”
他说,“很多人并不会认为可以很快掌握专业知识,例如,如果首席信息安全官正在向董事会成员营销推广,并不意味着需要学习营销专业知识。如果与董事会成员讨论财务问题,并不意味着学习财务知识。如果计划做预算编制,作为一名安全专业人员并不意味着需要学习预算课程。”
他承认,首席信息安全官作为一名安全领导者,需要一职多能。但他说,“首席信息安全官不必了解企业业务的所有内容,只需要了解它们以及它们的价值。不需要成为全能的专家,也不要害怕寻求帮助。如果想进行营销,可以咨询市场部门。如果实施文化变革,那么需要与人力资源工作人员一起参与更广泛的文化变革计划。”
京公网安备 11010502049343号