CISO為何需要熟悉業務和技術
英國獵頭公司Intaso總覽首席信息安全官(CISO)獵頭工作的Joe Head表示,所有CISO職位招聘廣告中,要求CISO能用Python編程的恐怕是與CISO職位脫節最離譜的例子了。這廣告出現在幾年前,我們只能猜測這職位可能是由不關心或不了解業務的技術專家提出的,或者與之相反,是由不夠了解技術的商人搞出來的。
無論如何,這種脫節真實存在。不過,Head和其他專家認為,涉及勝任真正的管理角色和向首席執行官(CEO)和董事會報告時,業務技能為王。但這并不意味著大多數CISO就對技術一無所知,因為CISO大多是技術背景起家。
高管安置公司Heidrick & Struggles的2022年CISO調研表明,大多數CISO出自反映當時問題的實用IT背景。(例如,2022年里,遵循美國政府保護軟件供應鏈的指令,10%的CISO是軟件工程背景出身。)調研報告指出,大多數CISO具有金融服務行業的從業經驗,該行業風險承受度低,會在安全方面投入更多資金。
調研還表明,僅一小部分CISO(主要就職于財富500強企業)晉升高管層,兼具業務和技術職責。其中,超過三分之二的受訪CISO供職價值超50億美元的大企業。所以,真正需要的不是抨擊CISO缺乏IT技能,而是培養有志晉升的技術專家的業務技能。
預期CISO人員、流程、技術技能組合可能有所不同
“CISO在技術方面需要達到什么水平并沒有一個確切的答案。我的建議是,CISO必須緊跟新興技術、供應商策略,要能夠確保技術項目及其實現不會給公司帶來更多風險。”曾擔任多家財富50強公司CISO,現為CISO顧問的Renee Guttmann如是說。
鑒于大部分CISO是技術背景出身,加諸于他們身上的責任就是學習適當的業務領導和高級溝通技巧,與利益相關者和CEO、風險投資公司、外部投資人、監管機構對接。Head表示:“誠然,技術技巧很重要。但在職業生涯早期,你需要磨練你的業務技能,這樣才能與很多人溝通,了解業務運營方式。”
英國的網絡安全不如美國成熟,更難找到高管級CISO所需的技術和業務技能組合,大多數安全經理更類似于“稱呼好聽些的工程師”而已。Head一直致力于幫助應聘者提高業務見識,他補充道,“以我所見,重返學校接受更多經營管理教育,從而提高自身業務技能的IT專業人士,才是最成功的的那些。”
網絡安全行業知名公司Palo Alto Networks云原生安全防護平臺Prisma Cloud首席安全官Bob West就是成功安全高管的典型例子。上世紀80年代末,他在花旗公司(Citicorp)擔任高級系統管理員。然后,在向同行了解到業務技能的價值之后,他于90年代修得信息系統管理碩士學位,隨后進入摩根大通(JPMorgan)擔任安全架構師。隨后,他一路晉升,成長為摩根大通旗下Bank One零售集團的CISO。之后,West供職美國五三銀行,擔任這家歷史悠久的銀行的企業CISO。
West表示,對CISO而言,了解技術還是有點重要的,“但更重要的是作為可靠的領導者融入領導團隊。”“必須了解業務走勢,這樣安全戰略才能適配業務發展。要與領導團隊中的其他人建立聯系,并經營好這種關系。然后,如果你不精通每個領域的技術知識,得知道該去問誰。”
未來的CISO:找到榜樣,成為榜樣
West建議從同事和領導中找出能夠與業務人員和IT團隊兩方面都溝通良好的人。作為例子,他提到了自己認為是導師的一位老板。這位老板是資深技術主管,但并非安全專業人士,卻能夠修復其他人無法解決的安全問題。West將其導師的成就歸功于能向領導層和董事會講好故事。他說:“我老板招聘我的時候就說過,‘要知道怎么講好故事,要了解你的聽眾’。面對董事會和面對CIO或內部審計師是不一樣的。”
Syntax2Semantics LLC顧問Barbara Filkins補充道,溝通始于積極傾聽。Filkins同樣出身技術背景,一路升至醫療供應商和交易所的首席級顧問,還獲得了SANS技術學院信息安全管理碩士學位。她認為,傾聽能帶來更好的溝通,且最重要的是,能了解自己需要解決受保護領域中的什么問題,無論這個領域是醫療保健、航空,還是用水管理。Filkins在上述所有領域都工作過。
“CISO成功之道在于平衡,因為CISO必須了解各個技術方面,這樣他們才能與自己的技術人員溝通,贏得他們的信任。CISO還需要處理公司面臨的計劃和業務問題,比如成本核準、風險管理之類的。不是每個精通技術的人都能交流他們的專業知識并將之應用到業務需求上。”
CISO邁向成功的多條路徑
高管招聘公司Alta Associates全球網絡安全實踐主管Joyce Brocaglia表示,直到最近幾年,CISO角色才從后臺職能提升為真正的高管領導和業務推動者。而即使CISO角色和職位要求最終成熟,也別以為就存在或會出現“通用”的CISO職能。她解釋道,盡管頭銜可能相同,但角色、職責、報告結構、員工數量、部門成熟度、支持文化和成功的總體衡量標準都可能有所不同。
“這個問題可不像他們缺乏合適的技術或管理技能那么簡單。有時候,技術背景強的CIO喜歡招聘技術能力超越CISO所需技術要求的人。有時候,招聘經理和參與面試流程的同事或主要利益相關者在職位描述和他們真正希望完成的任務上并不一致,所以Alta會幫助他們找到自己所需的平衡。”
據《財富》報道,真正的高管CISO非常稀缺,他們的薪酬在百萬美元以上。如果想要在職業道路上更進一步,Guttmann建議未來的CISO更新自己的經營管理教育,參加行業活動,加入當地圈子。
“重視了解商業文化、業務威脅、產品試點標準創建、實施時間、系統依賴和長期運營要求,這樣的CISO價值千金。”Guttmann補充道,“如果還能將這些數據打包呈現給利益相關者和高管,并獲得相應的支持和資金,那就價值萬金了。”
