本文来自安全牛。
一直以来,首席信息安全官(CISO)的职责更多体现在组织的安全技术建设和风险事件处置方面。然而,时代在改变,组织对未来安全领导人的要求也正在发生变化,CISO的角色定位需要更加广泛和复杂。
为了应对不断变化的数字化发展风险,CISO不仅需要对网络安全有深刻的理解,还需要具备强大的业务头脑,并牢牢把控影响业务成败的关键因素。因此,一些大型组织机构已经将负责这些更广泛安全职能的领导者重新命名为“首席信息化风险官”(Chief Information Risk Officer,CIRO)
安全与业务之间的更紧密融合已经到来,无论头衔是CIRO、CISO或是其他名称,未来的安全领导者都将需要更加了解组织的数字化业务发展,并且能够为推动业务发展制定合适的安全规划和举措。同时,他们还需要更频繁地和其他高管进行沟通,以扩大组织对安全建设的理解,这样才能把风险管理计划有效映射回企业业务的发展目标。
为了更好地与目前的CISO职责进行区别,研究人员对下一代安全领导者(CIRO)需要发挥的关键价值进行了总结:
1.将安全使命融入业务目标
CIRO将确保他们的安全使命与更广泛的业务目标保持一致。为此,CIRO必须表现出对组织价值链的敏锐意识。当被问及“您的CEO为新一年设定的三个目标是什么?”时,令人震惊的结果是,许多安全领导者并不知晓。然而,这些信息对于未来的安全领导者而言无疑是非常必要的。CIRO必须将他们的计划与CEO为当年设定的目标联系起来。
2.向上管理
现代性(Modernity)的本质就是培养批判性思维技能,以及对执行管理人员的高效沟通与使用。CIRO将花费更多时间进行向上管理(managing up)而不是向下管理(managing down)。他们应该在互动中保持同理心和透明性,在关键决策时做出并坚持自己的决定。虽然没有决定是完美的,需要在必要时进行调整,但管理者的优柔寡断更可怕,这也是新一代安全建设敏捷性的一个重要体现。
3.发现人的价值
很多组织都缺少专业人才来保障安全建设工作的开展。这时候,不仅需要通过招聘补充人才,同时,实现现有安全专业团队的高效利用也很关键。CIRO角色需要具备管理安全技术人员和团队的能力,并随着时间的推移指导他们发展自身的技能和责任。CIRO还需要赢得并维持信任。合格的CIRO需要具备并了解人际交往技能,优秀的CIRO更是要能够娴熟地掌握这种技能。
4.合理评估重要安全事项及价值
今天的CISO可能会说,“我们去年阻止了100亿次垃圾邮件尝试。”这确实是一个令人印象深刻的数字,但它并不重要。CIRO需要制定一份包含重要指标的、更简洁的工作效果列表,以更加清晰地传达安全计划的业务价值并证明安全部门的工作正在取得持续性的进展。CIRO必须努力持续改进,并拥有证实团队努力去协助业务价值实现的数字。
5.获取更多行业生态资源的支撑
CIRO需要确保他们正在与企业内所有不同的业务部门,以及行业同行、合作伙伴和第三方组织进行交流和合作。而且,作为行业领导者,CIRO应该更积极参与像安全顾问联盟(Security Advisor Alliance)这样的支持团体。当然,好处是双向的,因为这种协作有助于CIRO更广泛地了解安全行业正在发生的事情,并在某些重要时刻得到帮助。
原文链接:
https://www.darkreading.com/risk/5-traits-that-differentiate-cisos-from-ciros