合作机构:阿里云 / 腾讯云 / 亚马逊云 / DreamHost / NameSilo / INWX / GODADDY / 百度统计
Gartner观察了每个公司的CISO的四个发展阶段:控制经理->风险决策所有者->值得信赖的促进者->和价值创造者。每个阶段都建立在它之前的阶段上,因此,我们不会将这些阶段中的任何一个阶段定位为“糟糕的”或“不成熟的”,而是作为下一阶段表现的先决条件和贡献者。我们定期对CISO的有效性进行基准评估,大多数CISO自认为处于“风险决策所有者”或“值得信赖的促进者”阶段。大多数CISO已经不再仅仅是控制管理者,“价值创造者”的角色仍然很稀有。
现在,当你进入这些阶段,了解CISO的角色是如何演变的,最好的描述是这个角色仍然是一个“不稳定的分子”。现在,“不稳定分子”并不是贬义,而仅仅是对现实的描述。这并不令人惊讶——毕竟,CISO这一角色实际上是在20世纪90年代中期才出现的。金融领袖们花了一千多年时间(这并不夸张)来理清他们的职权范围,而CISO的角色在很大程度上仍处于早期阶段。考虑到公司和政府机构对网络安全的要求不同,角色的变化也是意料之中的,所以我们预计CISO的角色会有一些变化。
然而,作为一种不稳定的分子确实会给CISO带来问题。首先,它让CISO有别于他们预计将与之接触的其他C级高管。在类似的C级领导中,CHRO、CFO、销售主管、市场营销主管等职位的差异很小,因此CISO的同行往往很难准确跟踪CISO做什么和不做什么。对于CISO来说,当今最痛苦的现实之一是企业/机构对其CISO的期望与CISO的实际任务和资金交付之间的持续脱节。这种脱节目前最明显的表现是围绕CISO在支持其企业遵守最新的SEC披露规则方面所扮演的角色的不确定性——无论是来自更广泛的高管团队还是来自CISO本身,但还有许多其他例子。
为了达到值得信赖的促进者和价值创造者的阶段,CISO需要集中精力缩小企业期望与CISO实际能力(和资金!)之间的差距,去交付。
关于CISO应该发展哪些技能,世界上充斥着人们的意见。我的偏好是始终依赖数据!
Gartner的CISO有效性研究确定了14种行为和心态是CISO的必备条件。每年有200多名CISO为这一分析贡献他们的绩效和行为数据,最新版本显示了前五名:发起关于不断发展的规范以保持领先于威胁的讨论、积极参与确保新兴技术的安全、将定期发生的时间专门用于专业发展活动、与项目背景外的高级决策者建立关系,以及通过与高级业务决策者的合作定义风险偏好。
显然,当人们读到“积极参与确保新兴技术的安全”时,人们的思维会转向“弄清楚人工智能中的风险和机会”,但是,我从CISO那里得到的大多数问题都与在项目和问题的背景之外建立关系的挑战有关。例如,我们的基准测试清楚地表明,与首席财务官和销售主管的定期接触是最有效的CISO的一个与众不同之处,但这种与众不同的部分原因是,这种接触在CISO社区中很少见,而且几乎总是与核心安全问题有关。
有效的CISO已经超越了“如何让你的职能更安全”,而是创造双向价值,这意味着需要真正了解CFO和CSO的优先事项是什么。剧透提醒:他们最优先考虑的不是,也不应该是网络安全。
如上所述,在“不断发展的规范”和“在项目背景之外建立关系”的联系下,至少对于在美国市场交易的公司来说,支持企业努力遵守最新的SEC规则。CISO在这里过度扩张的风险很大,但也创造了巨大的价值,并展示了真正的C级领导能力。因此,在技能发展方面,CISO需要专注于设定一些界限。例如,如果你不是公司的管理人员,就不要签署8-K或被迫决定什么是实质性。
更容易的任务是列出不重要的挑战,因为这将是一个短得多的列表!作为一名网络安全领导者的本质是,确实没有任何小问题,其中一位我尊敬并从中学到很多的CISO在她的业绩仪表盘上只有红色和绿色。她告诉我,黄色在网络安全中并不存在。有些东西要么坏了,要么没有!我认为这种观点很有洞察力。
对于CISO来说,最大的挑战是时间管理。我们距离网络安全领域“争夺一席之地”的时代还有很长一段路要走——与我共事的大多数CISO现在都被邀请,甚至被要求在每一张桌子上!不出所料,效率飙升的CISO是那些无情地对待他们的时间的人。他们深思熟虑地决定与谁打交道,以及与他们打交道的程度,并委托/自动化其他所有事情。
可以肯定的是,网络安全在很大程度上是一种生活方式选择,因此,每个CISO的工作/生活平衡的构成将是不同的,但是,从多年的分析和经验中可以清楚地看到,大多数CISO在进入这份工作时都认为,“始终在线”是该角色的一项要求,而且,‘争夺餐桌一席之地’时代留下的遗产之一是想要无处不在,在我们能做的任何地方贡献价值,这些行为和心态没有规模,这从CISO角色令人难以置信的离职率和倦怠中可见一斑。
尽管听起来很简单,但解决办法是开始把时间当作你最稀缺的资源。培养时间管理技能,就像培养角色的其他关键技能一样。事实上,我支持客户的最常见方式之一是,在他们看到我们的CISO有效性基准中的“个人发展”后,领导时间管理研讨会来帮助他们培养这项技能。
CISO需要深层次的技术能力——如果没有与技术的大规模连接,网络安全是不会起作用的,而且,一旦你比CISO低了一两层,技术就是一切!仅出于可信度的原因,CISO需要有技术印章,这样他们才能在职能范围内积极做出贡献。根据你所在的行业或公司的规模,亲身实践技术可能是这一角色中适当且必要的一部分。我认为,大多数精明的CISO都不相信他们可以通过仅限于政策/治理来交付价值。
与此同时,由于大多数CISO来自技术和运营领域,当面对模棱两可且往往是政治性的领导力世界时,很容易在他们的技术舒适区过度投资。因此,我们看到越来越多的CISO依赖高级安全架构师来保持与技术世界的联系,从大量机会中筛选出真正需要高管级别关注的子集。同时,让他们的领导团队能够自主做出更多决策,这样CISO就不会被置于“亲自选择每一家供应商”的境地。
我的期望是,CISO的角色将继续在职权范围、报告结构和各种其他因素方面保持高度多样化。同样,在企业领导力的背景下,这一角色仍然是相对较新的,而且对信息保护的理解和需求在不同行业之间都存在很大差异,所有这些都意味着我们不太可能在短期内看到CISO角色被“确定”。
因此,利用你的时间,让你的“北极星”缩小你的企业期望与真正必要和可能的之间的差距,这些将是每个CISO的重要焦点。
此外,Gartner刚刚发布了2024年最重要的网络安全趋势。简而言之,我们建议CISO在2024年的工作中纳入九个趋势:
TOP