從CISO到CIRO,未來安全領導者的核心價值是什么
一直以來,首席信息安全官(CISO)的職責更多體現在組織的安全技術建設和風險事件處置方面。然而,時代在改變,組織對未來安全領導人的要求也正在發生變化,CISO的角色定位需要更加廣泛和復雜。
為了應對不斷變化的數字化發展風險,CISO不僅需要對網絡安全有深刻的理解,還需要具備強大的業務頭腦,并牢牢把控影響業務成敗的關鍵因素。因此,一些大型組織機構已經將負責這些更廣泛安全職能的領導者重新命名為“首席信息化風險官”(Chief Information Risk Officer, CIRO)
安全與業務之間的更緊密融合已經到來,無論頭銜是CIRO、CISO或是其他名稱,未來的安全領導者都將需要更加了解組織的數字化業務發展,并且能夠為推動業務發展制定合適的安全規劃和舉措。同時,他們還需要更頻繁地和其他高管進行溝通,以擴大組織對安全建設的理解,這樣才能把風險管理計劃有效映射回企業業務的發展目標。
為了更好地與目前的CISO職責進行區別,研究人員對下一代安全領導者(CIRO)需要發揮的關鍵價值進行了總結:
1. 將安全使命融入業務目標
CIRO將確保他們的安全使命與更廣泛的業務目標保持一致。為此,CIRO必須表現出對組織價值鏈的敏銳意識。當被問及“您的CEO為新一年設定的三個目標是什么?”時,令人震驚的結果是,許多安全領導者并不知曉。然而,這些信息對于未來的安全領導者而言無疑是非常必要的。CIRO必須將他們的計劃與CEO為當年設定的目標聯系起來。
2. 向上管理
現代性(Modernity)的本質就是培養批判性思維技能,以及對執行管理人員的高效溝通與使用。CIRO將花費更多時間進行向上管理(managing up)而不是向下管理(managing down)。他們應該在互動中保持同理心和透明性,在關鍵決策時做出并堅持自己的決定。雖然沒有決定是完美的,需要在必要時進行調整,但管理者的優柔寡斷更可怕,這也是新一代安全建設敏捷性的一個重要體現。
3. 發現人的價值
很多組織都缺少專業人才來保障安全建設工作的開展。這時候,不僅需要通過招聘補充人才,同時,實現現有安全專業團隊的高效利用也很關鍵。CIRO角色需要具備管理安全技術人員和團隊的能力,并隨著時間的推移指導他們發展自身的技能和責任。CIRO還需要贏得并維持信任。合格的CIRO需要具備并了解人際交往技能,優秀的CIRO更是要能夠嫻熟地掌握這種技能。
4. 合理評估重要安全事項及價值
今天的CISO可能會說,“我們去年阻止了100億次垃圾郵件嘗試。”這確實是一個令人印象深刻的數字,但它并不重要。CIRO需要制定一份包含重要指標的、更簡潔的工作效果列表,以更加清晰地傳達安全計劃的業務價值并證明安全部門的工作正在取得持續性的進展。CIRO必須努力持續改進,并擁有證實團隊努力去協助業務價值實現的數字。
5. 獲取更多行業生態資源的支撐
CIRO需要確保他們正在與企業內所有不同的業務部門,以及行業同行、合作伙伴和第三方組織進行交流和合作。而且,作為行業領導者,CIRO應該更積極參與像安全顧問聯盟(Security Advisor Alliance)這樣的支持團體。當然,好處是雙向的,因為這種協作有助于CIRO更廣泛地了解安全行業正在發生的事情,并在某些重要時刻得到幫助。
