為什么首席信息安全官需要精通業(yè)務(wù)和技術(shù)

責(zé)任編輯:cres

作者:Deb Radcliff

2022-10-17 10:46:23

來(lái)源:企業(yè)網(wǎng)D1Net

原創(chuàng)

傾聽(tīng)技術(shù)團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)雙方的意見(jiàn)并進(jìn)行溝通,對(duì)于成功領(lǐng)導(dǎo)IT團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)實(shí)現(xiàn)同一目標(biāo)的首席信息安全官來(lái)說(shuō)至關(guān)重要。

總部位于英國(guó)的獵頭機(jī)構(gòu)Intaso公司負(fù)責(zé)招聘首席信息安全官的主管Joe Head表示,在發(fā)布招聘首席信息安全官的廣告中,要求應(yīng)聘者會(huì)使用Python編程可能是對(duì)首席信息安全官職責(zé)的要求脫節(jié)的最離譜的一個(gè)例子。這個(gè)例子發(fā)生在幾年前,人們可能猜測(cè),這一要求可能是不關(guān)心或不了解業(yè)務(wù)的技術(shù)專(zhuān)家要求創(chuàng)建的,或者是對(duì)技術(shù)了解不夠的商業(yè)人士要求創(chuàng)建的。
 
無(wú)論哪種情況,這種脫節(jié)都是真實(shí)存在的。然而,Head和其他專(zhuān)家表示,首席信息安全官在向首席執(zhí)行官和董事會(huì)匯報(bào)時(shí),具有業(yè)務(wù)技能是最重要的。然而,這并不意味著大多數(shù)首席信息安全官對(duì)技術(shù)一無(wú)所知,因?yàn)榇蠖鄶?shù)都有技術(shù)背景。
 
在由高管咨詢機(jī)構(gòu)Heidrick&Struggles公司進(jìn)行的2022年首席信息安全官調(diào)查中,大多數(shù)首席信息安全官都具有反映時(shí)代問(wèn)題的功能性IT背景(例如,2022年,10%的首席信息安全官具有軟件工程背景,并遵循美國(guó)政府關(guān)于保護(hù)軟件供應(yīng)鏈的指令)。該報(bào)告指出,大多數(shù)首席信息安全官都有金融服務(wù)行業(yè)的經(jīng)驗(yàn),而該行業(yè)的風(fēng)險(xiǎn)承受能力較低,在安全方面花費(fèi)的費(fèi)用更多。
 
調(diào)查還表明,只有一小部分首席信息安全官(主要在財(cái)富500強(qiáng)企業(yè)工作)由于兼具業(yè)務(wù)和技術(shù)職責(zé)而晉升為董事會(huì)成員。在調(diào)查中,三分之二以上的首席信息安全官為市值超過(guò)50億美元的企業(yè)工作。因此,與其指責(zé)首席信息安全官缺乏IT技能,還不如為即將上任的技術(shù)人員培養(yǎng)業(yè)務(wù)技能。
 
期望的首席信息安全官人員、流程、技術(shù)技能組合可以有所不同
 
曾擔(dān)任一家財(cái)富50強(qiáng)公司首席信息安全官的Renee Guttmann建議說(shuō),“對(duì)于首席信息安全官的技術(shù)要求沒(méi)有一個(gè)標(biāo)準(zhǔn)的答案。我的建議是,首席信息安全官必須在新興技術(shù)、供應(yīng)商戰(zhàn)略方面保持最新?tīng)顟B(tài),并能夠確保技術(shù)項(xiàng)目及其實(shí)施不會(huì)給企業(yè)帶來(lái)更多風(fēng)險(xiǎn)。”
 
由于絕大多數(shù)的首席信息安全官都具有技術(shù)背景,他們需要學(xué)習(xí)適當(dāng)?shù)臉I(yè)務(wù)領(lǐng)導(dǎo)能力和與利益相關(guān)者、首席執(zhí)行官、風(fēng)險(xiǎn)投資公司、外部投資者、監(jiān)管機(jī)構(gòu)打交道所需的高級(jí)溝通技巧。Head說(shuō),“技術(shù)技能很重要,但在職業(yè)生涯的早期,需要磨練自己的業(yè)務(wù)技能,這樣你可以與各種各樣的人溝通,并了解業(yè)務(wù)的運(yùn)作方式。”
 
他表示,在網(wǎng)絡(luò)安全方面不如美國(guó)成熟的英國(guó),很難找到將技術(shù)和業(yè)務(wù)技能相結(jié)合的首席信息安全官,大多數(shù)首席信息安全官更類(lèi)似于資深工程師。他建議求職者提高他們的業(yè)務(wù)技能,并補(bǔ)充說(shuō),“我看到的最成功的人是那些通過(guò)重返學(xué)校接受更多培訓(xùn)來(lái)提高業(yè)務(wù)技能的IT專(zhuān)業(yè)人士。”
 
其中的一個(gè)例子是Palo Alto Networks公司旗下Prisma Cloud公司首席安全官Bob West。他在20世紀(jì)80年代末就在花旗集團(tuán)擔(dān)任高級(jí)系統(tǒng)主管,在向同齡人學(xué)習(xí)了業(yè)務(wù)技能的價(jià)值之后,他在20世紀(jì)90年代獲得了信息系統(tǒng)管理碩士學(xué)位,之后開(kāi)始在摩根大通公司擔(dān)任安全架構(gòu)師。隨后,他晉升為其Bank One零售集團(tuán)的首席信息安全官,之后,他又成為了Fifth Third銀行的首席信息安全官。
 
West表示,“技術(shù)技能對(duì)首席信息官來(lái)說(shuō)很重要,但更重要的是要做一個(gè)可靠的領(lǐng)導(dǎo)者,并在領(lǐng)導(dǎo)團(tuán)隊(duì)中發(fā)揮作用。重要的是要了解業(yè)務(wù)發(fā)展方向,以便其安全戰(zhàn)略應(yīng)與業(yè)務(wù)發(fā)展保持適當(dāng)?shù)囊恢?,建立和管理與領(lǐng)導(dǎo)團(tuán)隊(duì)其他成員的關(guān)系。如果不是各領(lǐng)域的技術(shù)專(zhuān)家,那么也需要知道該問(wèn)誰(shuí)。”
 
想成為首席信息安全官:找到冠軍,成為冠軍
 
West建議希望成為首席信息安全官的專(zhuān)業(yè)人士可以與業(yè)務(wù)部門(mén)以及IT團(tuán)隊(duì)的同行和領(lǐng)導(dǎo)者進(jìn)行溝通。他以被他視為導(dǎo)師的企業(yè)領(lǐng)導(dǎo)者為例,這位老板是資深的技術(shù)領(lǐng)導(dǎo)者,但并不是安全專(zhuān)家。然而,他能夠修復(fù)別人無(wú)法修復(fù)的安全程序。West把他的導(dǎo)師的成功歸功于他擅長(zhǎng)向企業(yè)領(lǐng)導(dǎo)層和董事會(huì)講述故事。她說(shuō),“當(dāng)他決定雇用我時(shí),他對(duì)我說(shuō),‘你要知道如何講一個(gè)好故事,還要了解你的聽(tīng)眾。’與董事會(huì)成員交談和與首席信息官或內(nèi)部審計(jì)師交談是不同的。”
 
Syntax2Semantics 公司顧問(wèn)Barbara Filkins補(bǔ)充道,溝通始于積極傾聽(tīng)。她也有技術(shù)背景,并逐步可以與醫(yī)療服務(wù)提供商和企業(yè)高管進(jìn)行溝通或咨詢,與此同時(shí)獲得了SANS技術(shù)學(xué)院的信息安全管理碩士學(xué)位。她說(shuō),傾聽(tīng)有助于更好地溝通,最重要的是,有助于了解需要在受保護(hù)的領(lǐng)域中解決什么問(wèn)題,無(wú)論是醫(yī)療、航空還是水管理。Filkins在所有這些領(lǐng)域都工作過(guò)。
 
她解釋說(shuō),“作為成功的首席信息安全官確實(shí)是一種平衡的行為,因?yàn)槭紫畔踩俦仨毩私饧夹g(shù)方面的內(nèi)容,這樣他們才能與技術(shù)人員進(jìn)行溝通,并獲得他們的信任。他們還需要處理他們公司所面臨的規(guī)劃和業(yè)務(wù)問(wèn)題,例如成本合理性、風(fēng)險(xiǎn)管理等事情。并不是每個(gè)技術(shù)熟練的人都能傳達(dá)他們的專(zhuān)業(yè)知識(shí),以及這些知識(shí)在哪些方面適合業(yè)務(wù)需求。”
 
首席信息安全官獲得成功有多種路徑
 
高管招聘機(jī)構(gòu)Alta Associates公司的全球網(wǎng)絡(luò)安全業(yè)務(wù)負(fù)責(zé)人Joyce Brocaglia表示,直到最近幾年,首席信息安全官的角色才從后臺(tái)職能提升為真正的管理層和業(yè)務(wù)推動(dòng)者。即使這個(gè)職位和工作要求最終成熟,她也不相信現(xiàn)在或?qū)?lái)會(huì)有一個(gè)“一刀切”的首席信息安全官職位。她解釋說(shuō),盡管頭銜可能相同,但角色、職責(zé)、報(bào)告結(jié)構(gòu)、員工數(shù)量、部門(mén)成熟度、支持文化和對(duì)成功的總體衡量都可能不同。
 
她解釋說(shuō):“這絕不僅僅是因?yàn)樗麄儧](méi)有正確的技術(shù)或管理技能這么簡(jiǎn)單。有時(shí)候,擁有強(qiáng)大技術(shù)背景的首席信息安全官會(huì)傾向于雇傭比該職位所需技術(shù)水平更高的人。其他時(shí)候,招聘經(jīng)理和他們的同行或參與面試過(guò)程的關(guān)鍵利益相關(guān)者在職位描述和他們真正希望在該職位上實(shí)現(xiàn)的目標(biāo)上并不一致,所以Alta Associates公司幫助他們找到所需的平衡。”
 
據(jù)《財(cái)富》雜志報(bào)道,真正的首席信息安全官很少能拿到100萬(wàn)美元甚至更多的薪酬。為了獲得成功,Guttmann建議未來(lái)的首席信息安全官參加業(yè)務(wù)培訓(xùn),積極參加行業(yè)會(huì)議和活動(dòng)。
 
Guttmann補(bǔ)充說(shuō):“首席信息安全官如果能重視了解企業(yè)文化、對(duì)其業(yè)務(wù)的威脅、如何為產(chǎn)品試點(diǎn)制定適當(dāng)?shù)臉?biāo)準(zhǔn)、實(shí)現(xiàn)的時(shí)間、系統(tǒng)依賴關(guān)系和長(zhǎng)期運(yùn)營(yíng)需求,那就非常有價(jià)值。首席信息安全官能夠?qū)⑦@些數(shù)據(jù)打包提供給利益相關(guān)者和高管,并獲得支持和資金,這是值得稱道的。”
 
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國(guó)內(nèi)主流的to B IT門(mén)戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專(zhuān)家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)18個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)