從CISO到CIRO,未來安全領(lǐng)導(dǎo)者的核心價(jià)值是什么?

安全與業(yè)務(wù)之間的更緊密融合已經(jīng)到來,無論頭銜是CIRO、CISO或是其他名稱,未來的安全領(lǐng)導(dǎo)者都將需要更加了解組織的數(shù)字化業(yè)務(wù)發(fā)展,并且能夠?yàn)橥苿?dòng)業(yè)務(wù)發(fā)展制定合適的安全規(guī)劃和舉措。同時(shí),他們還需要更頻繁地和其他高管進(jìn)行溝通,以擴(kuò)大組織對(duì)安全建設(shè)的理解,這樣才能把風(fēng)險(xiǎn)管理計(jì)劃有效映射回企業(yè)業(yè)務(wù)的發(fā)展目標(biāo)。

QQ截圖20211119092508.png

本文來自安全牛。

一直以來,首席信息安全官(CISO)的職責(zé)更多體現(xiàn)在組織的安全技術(shù)建設(shè)和風(fēng)險(xiǎn)事件處置方面。然而,時(shí)代在改變,組織對(duì)未來安全領(lǐng)導(dǎo)人的要求也正在發(fā)生變化,CISO的角色定位需要更加廣泛和復(fù)雜。

為了應(yīng)對(duì)不斷變化的數(shù)字化發(fā)展風(fēng)險(xiǎn),CISO不僅需要對(duì)網(wǎng)絡(luò)安全有深刻的理解,還需要具備強(qiáng)大的業(yè)務(wù)頭腦,并牢牢把控影響業(yè)務(wù)成敗的關(guān)鍵因素。因此,一些大型組織機(jī)構(gòu)已經(jīng)將負(fù)責(zé)這些更廣泛安全職能的領(lǐng)導(dǎo)者重新命名為“首席信息化風(fēng)險(xiǎn)官”(Chief Information Risk Officer,CIRO)

安全與業(yè)務(wù)之間的更緊密融合已經(jīng)到來,無論頭銜是CIRO、CISO或是其他名稱,未來的安全領(lǐng)導(dǎo)者都將需要更加了解組織的數(shù)字化業(yè)務(wù)發(fā)展,并且能夠?yàn)橥苿?dòng)業(yè)務(wù)發(fā)展制定合適的安全規(guī)劃和舉措。同時(shí),他們還需要更頻繁地和其他高管進(jìn)行溝通,以擴(kuò)大組織對(duì)安全建設(shè)的理解,這樣才能把風(fēng)險(xiǎn)管理計(jì)劃有效映射回企業(yè)業(yè)務(wù)的發(fā)展目標(biāo)。

為了更好地與目前的CISO職責(zé)進(jìn)行區(qū)別,研究人員對(duì)下一代安全領(lǐng)導(dǎo)者(CIRO)需要發(fā)揮的關(guān)鍵價(jià)值進(jìn)行了總結(jié):

1.將安全使命融入業(yè)務(wù)目標(biāo)

CIRO將確保他們的安全使命與更廣泛的業(yè)務(wù)目標(biāo)保持一致。為此,CIRO必須表現(xiàn)出對(duì)組織價(jià)值鏈的敏銳意識(shí)。當(dāng)被問及“您的CEO為新一年設(shè)定的三個(gè)目標(biāo)是什么?”時(shí),令人震驚的結(jié)果是,許多安全領(lǐng)導(dǎo)者并不知曉。然而,這些信息對(duì)于未來的安全領(lǐng)導(dǎo)者而言無疑是非常必要的。CIRO必須將他們的計(jì)劃與CEO為當(dāng)年設(shè)定的目標(biāo)聯(lián)系起來。

2.向上管理

現(xiàn)代性(Modernity)的本質(zhì)就是培養(yǎng)批判性思維技能,以及對(duì)執(zhí)行管理人員的高效溝通與使用。CIRO將花費(fèi)更多時(shí)間進(jìn)行向上管理(managing up)而不是向下管理(managing down)。他們應(yīng)該在互動(dòng)中保持同理心和透明性,在關(guān)鍵決策時(shí)做出并堅(jiān)持自己的決定。雖然沒有決定是完美的,需要在必要時(shí)進(jìn)行調(diào)整,但管理者的優(yōu)柔寡斷更可怕,這也是新一代安全建設(shè)敏捷性的一個(gè)重要體現(xiàn)。

3.發(fā)現(xiàn)人的價(jià)值

很多組織都缺少專業(yè)人才來保障安全建設(shè)工作的開展。這時(shí)候,不僅需要通過招聘補(bǔ)充人才,同時(shí),實(shí)現(xiàn)現(xiàn)有安全專業(yè)團(tuán)隊(duì)的高效利用也很關(guān)鍵。CIRO角色需要具備管理安全技術(shù)人員和團(tuán)隊(duì)的能力,并隨著時(shí)間的推移指導(dǎo)他們發(fā)展自身的技能和責(zé)任。CIRO還需要贏得并維持信任。合格的CIRO需要具備并了解人際交往技能,優(yōu)秀的CIRO更是要能夠嫻熟地掌握這種技能。

4.合理評(píng)估重要安全事項(xiàng)及價(jià)值

今天的CISO可能會(huì)說,“我們?nèi)ツ曜柚沽?00億次垃圾郵件嘗試。”這確實(shí)是一個(gè)令人印象深刻的數(shù)字,但它并不重要。CIRO需要制定一份包含重要指標(biāo)的、更簡(jiǎn)潔的工作效果列表,以更加清晰地傳達(dá)安全計(jì)劃的業(yè)務(wù)價(jià)值并證明安全部門的工作正在取得持續(xù)性的進(jìn)展。CIRO必須努力持續(xù)改進(jìn),并擁有證實(shí)團(tuán)隊(duì)努力去協(xié)助業(yè)務(wù)價(jià)值實(shí)現(xiàn)的數(shù)字。

5.獲取更多行業(yè)生態(tài)資源的支撐

CIRO需要確保他們正在與企業(yè)內(nèi)所有不同的業(yè)務(wù)部門,以及行業(yè)同行、合作伙伴和第三方組織進(jìn)行交流和合作。而且,作為行業(yè)領(lǐng)導(dǎo)者,CIRO應(yīng)該更積極參與像安全顧問聯(lián)盟(Security Advisor Alliance)這樣的支持團(tuán)體。當(dāng)然,好處是雙向的,因?yàn)檫@種協(xié)作有助于CIRO更廣泛地了解安全行業(yè)正在發(fā)生的事情,并在某些重要時(shí)刻得到幫助。

原文鏈接:

https://www.darkreading.com/risk/5-traits-that-differentiate-cisos-from-ciros

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論

本月熱門