面对不断扩大的工作职能清单和复杂且往往令人困惑的报告结构,CISO到底需要哪些技能才能成功,以及他们如何最好地激励整个企业的团队并与其合作,其中存在着很多挑战。
然而,最卓越的CISO具有共同的特点——以他们的技能广度、驾驭变革浪潮的意愿以及致力于解决问题和创新的精力为中心。可以肯定的是,随着威胁形势的演变和新技术的曝光,这一角色所需的硬技能将继续变化。因此,就目前而言,CISO应该努力获得最佳实践,使他们能够产生影响,并与他们的团队建立联系,而不考虑未来的宏观变化。
在技术敏锐和商业敏锐之间取得适当的平衡
CISO的技能范围从非常技术性到非常注重业务,然而,最受尊敬的人往往落在中间的某个地方——接近他们的技术根源,尽管他们的角色要求越来越多地以商业为导向,以牺牲另一端为代价,偏向这一端的CISO将更难赢得同行的信任,并在业务集团之间建立富有成效的合作伙伴关系。如果你找到了两个都擅长的CISO,抓住它们——你可能会发现自己是一只独角兽!
虽然2023年CISO高达30%的效率可以直接通过他们创造业务价值的能力来衡量,但他们仍然需要能够深入了解不同安全和IT解决方案的影响,这一点听起来尤其正确,因为软件工程、云安全、ML和AI的知识现在被期望用于CISO--说明了安全技能集的“左移”,这种技术细节往往有助于他们与团队建立融洽的关系。
CISO应该能够在此时此地捍卫他们的架构,但也应该拥有推动企业实现其未来安全和业务目标的技术能力,他们的知识需要超越对新产品的了解,真正了解这些解决方案在短期和长期内如何为他们的业务带来好处,也就是说,他们不必像一个人孤岛一样运作——事实上,他们可以也应该与同龄人进行一致的、协作的对话,以征求意见,并确保每个人都站在同一立场上。
提供适当的护栏,但不要太多
企业对新招聘的安全人员持保留态度是很常见的,原因通常有两个,首先,安全专业人士可能会陷入“房间里最聪明的人”心态的陷阱,阻碍开放的沟通和妥协,其次,安全专业人士通常被认为过于规避风险——通过立即拒绝可能存在风险的提议,或者要求员工在进行任何新事物之前,要求制定全面的政策,从而放慢流程和势头,这些因素给试图快速行动并保持敏捷的企业,特别是初创企业发出了危险信号。从好的方面来看,这并不是必须的——有效的安全领导者可以与他们现有的团队并驾齐驱,提供适当的护栏,同时仍有助于加速业务。
把风险管理比作冲浪:如果你坐在岸上,你永远不会赶上大浪。在评估一项新技术的安全影响时,CISO需要学会驾驭这股浪潮,从“让我们等到完全了解其功能和影响”的心态转变为“让我们对技术进行编码并编写我们的策略,同时探索我们的选择”。新的AI应用程序,如ChatGPT和其他GenAI工具,通过谨慎而不阻碍探索或进展,为CISO提供了将这种方法付诸实践的及时机会。随着公司评估如何将AI整合到各种内部和外部流程,甚至是他们的产品,CISO可以通过提供关于防止数据丢失的见解和对大型语言模型的输出使用良好的判断来提供支持-同时鼓励在有意义的地方负责任地使用这项新技术。当CISO能够通过只提供保护人员和信息最必要的护栏来表明他们相信自己的判断时,他们就赢得了信任和尊重。
抵制自满,寻求创造性的解决问题的方法
最后,随着网络威胁的数量和复杂性不断上升,我们不能自满,即使安全项目运行顺利,海面看起来风平浪静,CISO也需要保持积极主动,始终考虑下一步和创新。攻击者访问企业的三种主要方式是窃取凭据、网络钓鱼和利用漏洞。因此,CISO需要跟上这些趋势,并找到新的方法来保护他们的数据免受恶意参与者的攻击。要做到这一点,他们需要抵制管理模式,转而专注于创新建设,并提出这样的问题,如:我们行业需要采取的下一步重大举措是什么,以改善解决问题?最好的CISO不是在泡沫中运作——他们与同行、高管和更广泛的网络讨论更新、更快、更有效的方式来处理他们的角色和责任。
通过牢记这些提示,CISO将更好地平衡风险和机会,并在决策过程中更早地被带到谈判桌上,并被信任为其企业设定安全基调。此外,他们将能够处理不断变化的责任,并在当今高风险的网络安全格局中引导他们的业务。通过回到信息安全的基层,并记住在网络安全中有创造性思维的空间,他们可以花更少的时间说“不”,而花更多的时间探索新的解决方案,优化程序,并与他们的团队建立牢固的联系。
