本文来自数世咨询,作者/nana。
英国猎头公司Intaso总览首席信息安全官(CISO)猎头工作的Joe Head表示,所有CISO职位招聘广告中,要求CISO能用Python编程的恐怕是与CISO职位脱节最离谱的例子了。这广告出现在几年前,我们只能猜测这职位可能是由不关心或不了解业务的技术专家提出的,或者与之相反,是由不够了解技术的商人搞出来的。
无论如何,这种脱节真实存在。不过,Head和其他专家认为,涉及胜任真正的管理角色和向首席执行官(CEO)和董事会报告时,业务技能为王。但这并不意味着大多数CISO就对技术一无所知,因为CISO大多是技术背景起家。
高管安置公司Heidrick&Struggles的2022年CISO调研表明,大多数CISO出自反映当时问题的实用IT背景。(例如,2022年里,遵循美国政府保护软件供应链的指令,10%的CISO是软件工程背景出身。)调研报告指出,大多数CISO具有金融服务行业的从业经验,该行业风险承受度低,会在安全方面投入更多资金。
调研还表明,仅一小部分CISO(主要就职于财富500强企业)晋升高管层,兼具业务和技术职责。其中,超过三分之二的受访CISO供职价值超50亿美元的大企业。所以,真正需要的不是抨击CISO缺乏IT技能,而是培养有志晋升的技术专家的业务技能。
预期CISO人员、流程、技术技能组合可能有所不同
“CISO在技术方面需要达到什么水平并没有一个确切的答案。我的建议是,CISO必须紧跟新兴技术、供应商策略,要能够确保技术项目及其实现不会给公司带来更多风险。”曾担任多家财富50强公司CISO,现为CISO顾问的Renee Guttmann如是说。
鉴于大部分CISO是技术背景出身,加诸于他们身上的责任就是学习适当的业务领导和高级沟通技巧,与利益相关者和CEO、风险投资公司、外部投资人、监管机构对接。Head表示:“诚然,技术技巧很重要。但在职业生涯早期,你需要磨练你的业务技能,这样才能与很多人沟通,了解业务运营方式。”
英国的网络安全不如美国成熟,更难找到高管级CISO所需的技术和业务技能组合,大多数安全经理更类似于“称呼好听些的工程师”而已。Head一直致力于帮助应聘者提高业务见识,他补充道,“以我所见,重返学校接受更多经营管理教育,从而提高自身业务技能的IT专业人士,才是最成功的的那些。”
网络安全行业知名公司Palo Alto Networks云原生安全防护平台Prisma Cloud首席安全官Bob West就是成功安全高管的典型例子。上世纪80年代末,他在花旗公司(Citicorp)担任高级系统管理员。然后,在向同行了解到业务技能的价值之后,他于90年代修得信息系统管理硕士学位,随后进入摩根大通(JPMorgan)担任安全架构师。随后,他一路晋升,成长为摩根大通旗下Bank One零售集团的CISO。之后,West供职美国五三银行,担任这家历史悠久的银行的企业CISO。
West表示,对CISO而言,了解技术还是有点重要的,“但更重要的是作为可靠的领导者融入领导团队。”“必须了解业务走势,这样安全战略才能适配业务发展。要与领导团队中的其他人建立联系,并经营好这种关系。然后,如果你不精通每个领域的技术知识,得知道该去问谁。”
未来的CISO:找到榜样,成为榜样
West建议从同事和领导中找出能够与业务人员和IT团队两方面都沟通良好的人。作为例子,他提到了自己认为是导师的一位老板。这位老板是资深技术主管,但并非安全专业人士,却能够修复其他人无法解决的安全问题。West将其导师的成就归功于能向领导层和董事会讲好故事。他说:“我老板招聘我的时候就说过,‘要知道怎么讲好故事,要了解你的听众’。面对董事会和面对CIO或内部审计师是不一样的。”
Syntax2Semantics LLC顾问Barbara Filkins补充道,沟通始于积极倾听。Filkins同样出身技术背景,一路升至医疗供应商和交易所的首席级顾问,还获得了SANS技术学院信息安全管理硕士学位。她认为,倾听能带来更好的沟通,且最重要的是,能了解自己需要解决受保护领域中的什么问题,无论这个领域是医疗保健、航空,还是用水管理。Filkins在上述所有领域都工作过。
“CISO成功之道在于平衡,因为CISO必须了解各个技术方面,这样他们才能与自己的技术人员沟通,赢得他们的信任。CISO还需要处理公司面临的计划和业务问题,比如成本核准、风险管理之类的。不是每个精通技术的人都能交流他们的专业知识并将之应用到业务需求上。”
CISO迈向成功的多条路径
高管招聘公司Alta Associates全球网络安全实践主管Joyce Brocaglia表示,直到最近几年,CISO角色才从后台职能提升为真正的高管领导和业务推动者。而即使CISO角色和职位要求最终成熟,也别以为就存在或会出现“通用”的CISO职能。她解释道,尽管头衔可能相同,但角色、职责、报告结构、员工数量、部门成熟度、支持文化和成功的总体衡量标准都可能有所不同。
“这个问题可不像他们缺乏合适的技术或管理技能那么简单。有时候,技术背景强的CIO喜欢招聘技术能力超越CISO所需技术要求的人。有时候,招聘经理和参与面试流程的同事或主要利益相关者在职位描述和他们真正希望完成的任务上并不一致,所以Alta会帮助他们找到自己所需的平衡。”
据《财富》报道,真正的高管CISO非常稀缺,他们的薪酬在百万美元以上。如果想要在职业道路上更进一步,Guttmann建议未来的CISO更新自己的经营管理教育,参加行业活动,加入当地圈子。
“重视了解商业文化、业务威胁、产品试点标准创建、实施时间、系统依赖和长期运营要求,这样的CISO价值千金。”Guttmann补充道,“如果还能将这些数据打包呈现给利益相关者和高管,并获得相应的支持和资金,那就价值万金了。”