三位著名的首席信息安全官讨论了当今卓越的网络安全领导力的定义,以及如何将网络安全职能转变为业务驱动的组织资产。
图源:JACOB LUND(图片上传者,可以译为用户JACOB LUND,或者JACOB LUND) / SHUTTERSTOCK
大多数IT和信息安全领导者对“VUCA”这个术语非常熟悉。它代表了volatility/波动性、uncertainty/不确定性、complexity/复杂性和ambiguity/模糊性,概括了我们今天所处的世界,这个世界只会随时间变得更加复杂和不确定。最佳的网络安全领导者不仅对这一现实有着深刻的认识;他们还故意专注于制定和实施战略,以在VUCA世界中蓬勃发展,并培养出一系列未来就绪的网络领导者,以领先于持续的干扰。
上个月在SecureIT New York(是一个专注于信息安全领域的会议,它为安全领导者提供了一个平台,以探讨当前和即将到来的挑战。2024年7月11日,SecureIT New York 在纽约的Convene NYC举行。会议的主题是“未来安全防护:SecureIT New York 2024的关键策略”,旨在帮助信息安全领导者应对前所未有的压力,包括保护数据和资产、遵守政府报告网络安全事件的要求,以及与将安全措施视为产品快速开发障碍的同事打交道。),我有机会主持一个关于如何增强网络弹性文化的小组讨论,由三位强大的首席信息安全官组成:Northwestern Mutual(西北互助人寿保险公司,是美国最大的人寿保险公司之一,提供个人和商业计划、教育基金、信托和投资服务以及其他各种产品。它拥有遍布全美的财务服务网络,包括350个办公室和7800个独立销售代表或代理人。公司重视品质和保险人利益,致力于为客户提供优质服务,其价值理念是首重公司安全和保险人利益,其次才是企业成长和公司规模。)的CISO Laura Deaner(劳拉·迪纳);The Estée Lauder Companies/ELC(雅诗兰黛集团,是一家全球性的护肤、化妆品、香水和护发产品的制造商和销售商。雅诗兰黛集团以其品牌组合而闻名,其中包括多个高端美容品牌。雅诗兰黛集团通过其品牌提供多样化的产品,旨在满足不同消费者的需求,并且不断扩展其市场影响力。)的CISO Nada Noaman(纳达·诺曼);还有RAND(兰德公司,是一家非营利性质的国际政策研究机构,擅长通过研究和分析改善政策和决策制定。兰德公司的研究涉及众多领域,包括人口、经济发展、教育、能源、环境、卫生、基础设施建设、国际关系、司法、国家安全和科学技术等。作为一家私营、独立、无党派的研究机构,兰德公司以其独立运营和客观性而备受尊重。)的CISO Liz Rodgers(莉兹·罗杰斯)。
在日益增长的威胁环境中,这些首席信息安全官强调,网络安全团队需要理解和使用业务语言,并从战略上着眼于推动更大的客户和利益相关者价值。
正如Noaman(诺曼)所说,“这不是弱者的工作。”这也是为什么这是一个令人兴奋的职业,而成功地驾驭这一领域需要的不仅仅是技术技能。我们的对话涉及了今天定义一个伟大的信息安全领导者的特点,以及这些领导特质如何为业务带来成果。
一、北极星(最终愿景):将网络安全与任务联系起来
凭借对企业端到端的视角,网络安全组织处于一个独特的位置,能够预见问题和需求,影响商业战略,并主动推动商业变革和影响。然而,许多网络安全专业人员仍然埋头于琐碎之事,缺乏对自己在推进商业使命中所扮演角色的视角。最优秀的首席信息安全官会故意确保他们的人理解他们的目的和与商业的联系。这是他们如何将职能提升到超越战术性命令接收者或值得信赖的顾问,成为前瞻性、创新合作伙伴的一部分。
ELC的Nada Noaman(纳达·诺曼)已经将培养这种以业务为先的导向作为她组织中的优先事项。“我告诉他们,无论您扮演什么角色,您都是拼图中的一部分,没有那部分,拼图就不完整。您必须知道自己在拼图中的位置,才能说,‘如果我不做好这个贡献的部分,我们就永远不会实现那个目标。’了解您的位置,以及您的工作如何有助于最终目标,这是至关重要的。”
她说,这种心态在她的团队成员与他们的业务同事一起“出现”的方式中表现得很明显。他们考虑的是自己提供的价值,无论是他们正在解决的问题,还是他们的总体使命——以客户为中心的安全。
最终,她说,这关乎建立共识,而在建立共识中,头号利益相关者是您的团队。
“当您让他们理解您试图实现的北极星(最终愿景)是什么,为什么——他们知道安全方面的原因,但他们是否理解商业方面的原因——这部分是让他们集中注意力并有动力朝同一个方向前进,并以完全相同的速度,”Noaman(诺曼)说,“您必须告诉他们最终的目标是什么。”
二、说商业语言
作为以任务为中心的业务推动者,是建立信誉和获得关键安全举措支持的关键。但如果您不会说商业伙伴的语言,您就无法与他们建立可靠的联系。事实上,网络安全行业各个层面最大的技能差距之一不是技术性的;是人:沟通。
“我拥有一支出色、充满活力、技术精湛的团队,”Northwestern Mutual的Deaner(迪纳)说,“但是,当您与企业和其他战略利益相关者进行对话时,他们不一定知道什么是单点登录或多因素登录。他们只想知道如何解决问题。”
您传达得越简单越好。网络安全专业人员经常陷入技术术语的泥潭,结果却失去了听众。“要清晰、明确、直接,”Noaman(诺曼)建议道,“若您们直截了当地说出您们需要做什么,并说明为什么,您们就不必解释技术问题,因为现在每个人都知道为什么了。”
在商业现实的背景下进行沟通也是必不可少的,这需要熟悉业务同事每天的经历。Deaner(迪纳)鼓励她的团队了解业务,访问呼叫中心,并接听电话,“这样他们就会开始感受到对方可能感受到的情绪。”
RAND的Rodgers(罗杰斯)说,最重要的是,记住这句基本且根本的咒语:“在每一次对话中都要保持对业务优先事项的关注。”
三、顶级网络领导者的独特之处
在领导层面,高级沟通技能更重要,技能差距往往更大。网络安全和其他技术专业人员通常会根据技术人员的成就晋升为领导者。虽然他们的技术证书可能是一流的,但许多人在沟通、影响力、客户导向和商业头脑等核心领导能力方面没有太多的发展或指导(如果有的话)。
正如Rodgers(罗杰斯)所说,“让您来的东西不会让您来。您知道如何配置防火墙,但现在您必须与高管沟通。您必须了解业务,并能够用商业语言来谈论您的技术、您的安全、您的解决方案。能够进行这些对话是区分伟大领导者的关键。”
因为他们是这个角色的基础,优秀的沟通技巧会对领导效率产生连锁反应。例如,透明度往往会建立更多的信任,从而促进更好的协作与合作。“动机的质疑减少了,”Noaman(诺曼)说,“我们在互相交谈,您明白我们为什么要这样做。我认为,除非您和我一起在船上划桨,否则我们无法真正协作。”
这些直观的、以人为中心的技能是至关重要的,特别是在首席信息安全官经常处理的高压力、高风险的情况下。正如Deaner(迪纳)所说,“我可以谈谈CVSS(Common Vulnerability Scoring System,通用漏洞评分系统。是一个标准化框架,用于评估和衡量计算机系统和软件中漏洞的严重性。CVSS 根据漏洞对受影响系统的机密性、完整性、可用性的影响以及漏洞的可利用性、攻击向量等因素,为每个漏洞分配数值分数,范围从0到10,分数越高表示漏洞越严重。)分数。但归根结底,没有人想度过糟糕的一天。我认为这是一种更好的定位方式,而不是过于技术化,或者使用恐惧、不确定性和怀疑,或者不让事情简单化,在人们所在的地方与他们见面。”
四、激发个人和团队的韧性
在信息安全领域,风险无处不在,攻击手段日益复杂,且风险极高,成功的首席信息安全官的一个决定性特征是他们的勇气。好消息是,勇气就像其他任何肌肉一样,是可以培养的。它也是一种心态。在这个小组讨论中的首席信息安全官们描述了各种内在的动机,这些动机让他们保持在游戏中,具有韧性和适应性,即使面对令人畏惧的挑战。他们明确表示,当您被对您所做事情的热爱所驱动,并保持对您正在产生的影响有清晰的认识时,表现出勇气会容易得多。
其中一个共同点是他们关注“关键时刻”,即网络安全和各种利益相关者之间的联系点。有意这样做的领导者会发现,他们能够更好地看到周围的角落,并更具战略性地成为业务推动者。
Rodgers(罗杰斯)说,这是她在职业生涯早期在帮助台工作时学到的一课。整天抱怨需要自己的勇气。“但它的美妙之处在于您可以了解人们以及他们是如何工作的,”她说:“我已经到了可以预测他们想要什么的地步,所以我开始主动提供这些东西。现在,我正在将同样的经验应用于我的领导职位,以预测业务部门的需求。”
Deaner(迪纳)补充说:“了解我们的客户有助于我的团队加快速度,也有助于您了解您所做的一切。我们充满激情,但我们有很多天感觉就像,伙计,这太疯狂了。有了这种感觉,我正在产生影响并保护我的客户,这太棒了。”
在这个行业中,“总有一些东西能让您完全保持警觉,”Noaman(诺曼)说,“这已经融入了工作描述,也融入了我们这些在网络领域长大的人。我们通过疤痕组织学习。”
优秀的领导者能够建立一种文化,在这种文化中,人们可以在高压环境中蓬勃发展,而不是被它拖垮。随着职业倦怠的加剧,培养、吸引、参与和留住最优秀的人才是表现最佳的首席信息安全官的首要任务——因为他们知道,没有一支技术娴熟、充满激情、团结一致的团队,他们就无法保护利益相关者并完成任务。
“我使用横穿国家的越野赛来比喻,”Noaman(诺曼)说,“我们从A点到B点,我们有这些目标。我不会告诉您怎么到达那里。我也不会告诉您需要做什么。这是您的工作。我的任务是为您准备好这次旅行,因为这是一段旅程。作为领导者,我必须设定那个愿景,然后带领世界与我同行。”
五、领导力平衡法
正如这三位首席信息安全官所表明的那样,最好的领导者以humility/谦逊、empathy/同理心、adaptability/适应性、resiliency/弹性和transparency/透明度(即HEART)领导,同时让员工负责并专注于交付成果。这是一个棘手的平衡行为。过于关注结果,您就会失去您的员工。但如果过分关注HEART,您可能会失去工作。
在我们展望培养一批准备好应对未来的网络安全领导者的健康梯队时,我们需要记住这一点。我们需要确保我们为他们配备了这项工作所需的技术、商业和领导能力。这意味着要满足他们当前的需求,并为他们即将踏上的旅程做好准备。
“我让人们走上坡路的方式各不相同。”Rodgers(罗杰斯)说,“这取决于识别领导技能方面的差距。这取决于那个人和他们想要达到的目标。这也在很大程度上取决于您所处的环境。有时人们没有得到展示自己的机会。要让年轻领导者走上坡路,您必须有意识地去做。”
如果从这些领导者的成功中提炼出一个总体的教训,那就是:要有意识。考虑一下您的世界里现在正在发生多少变化。这将是变化发生最慢的时候。有意识和专注——在文化、人才和商业影响上——从未如此重要。
作者:Dan Roberts(丹·罗伯茨)
丹·罗伯茨是Ouellette&Associates Consulting的首席执行官,CIO Whisperers播客的主持人,也是许多书籍的作者,包括Unleashing the Power of IT/《释放它的力量》和Confessions of a Successful CIO/《成功CIO的自白》。"
译者:宝蓝
【睿观:在快速变化和充满挑战的网络安全环境中,卓越的网络安全领导力不仅仅依赖于技术能力,还需要深厚的沟通技巧、战略思维和对商业目标的理解。本文探讨顶尖首席信息安全官(CISO)如何定义和实践卓越的网络安全领导力,并提供了如何将网络安全职能转变为业务驱动的组织资产的洞见。
VUCA世界中的领导力:
网络安全领导者需要具备在不稳定、不确定、复杂和模糊(VUCA)环境中成功运作的能力。他们不仅要制定有效的战略,还要培养未来的网络安全领导者,使其具备应对不断变化和挑战的能力。
将网络安全与业务使命紧密联系:
优秀的CISO们理解他们的角色不仅仅是执行任务,更要成为企业变革的推动者。通过将网络安全策略与企业的核心业务目标紧密结合,他们能够超越传统的技术职能,成为企业的战略合作伙伴。
用商业语言沟通:
网络安全领导者必须能够用商业伙伴的语言进行沟通,以确保他们的战略获得广泛支持。这意味着将复杂的技术问题转化为简单明了的商业价值,以赢得关键利益相关者的信任和支持。
培养个人和团队的韧性:
在高压和高风险的网络安全领域,领导者需要具备坚强的韧性和适应性。他们通过关注关键时刻,与团队成员和业务伙伴建立深厚的联系,从而有效应对挑战。
平衡领导力与结果导向:
成功的CISO们能够在谦逊、同理心、适应性、韧性和透明度(HEART)之间找到平衡,同时保持对结果的关注。过度关注结果可能导致失去员工,而过度关注HEART则可能影响工作成效。】
