如何成為變革型首席信息安全官

Mary K. Pratt Charles

變革型的安全領(lǐng)導(dǎo)是能夠設(shè)計(jì)、交付和運(yùn)行安全策略的人，既能滿足企業(yè)的日常需求，又能夠支持企業(yè)的戰(zhàn)略愿景。

Brian Kelly在昆尼皮亞克大學(xué)擔(dān)任首席信息安全官時(shí)，就感受到了采取不同策略的壓力。

與大多數(shù)安全主管一樣，Kelly發(fā)現(xiàn)自己的工作資源有限，而承擔(dān)的責(zé)任和面臨的威脅卻越來越多。

他當(dāng)時(shí)認(rèn)識到了變革的必要性，認(rèn)為他可以通過將網(wǎng)絡(luò)安全功能從根植于合規(guī)性的嚴(yán)格操作轉(zhuǎn)變?yōu)橐岳斫夂蜏p少風(fēng)險(xiǎn)為基礎(chǔ)的更為靈活的方法，從而更好地應(yīng)對壓力，改善學(xué)校的安全狀況。

他說，這一轉(zhuǎn)變對該大學(xué)和作為領(lǐng)導(dǎo)的他都意味著巨大的變化。

他說：“對我來說，我必須對其他選擇持更開放的態(tài)度，還必須對灰色領(lǐng)域持開放態(tài)度，明白安全并不總是非黑即白。我必須傾聽，合作，向社區(qū)學(xué)習(xí)，提高適應(yīng)能力，我必須圍繞學(xué)校的目標(biāo)制定戰(zhàn)略。這開啟了一種變革性的思維方式?！?/p>

Kelly在2006年至2019年的大學(xué)任期內(nèi)實(shí)施了一系列新舉措，包括一場旨在提高認(rèn)識的宣傳活動(dòng)，讓學(xué)校中的每個(gè)人都把安全視為自己的責(zé)任。

這些努力有助于將安全職能轉(zhuǎn)變?yōu)楦呖冃?、?zhàn)略性和反應(yīng)迅速的行動(dòng)，這也改變了他。

Kelly現(xiàn)在是非盈利組織EDUCAUSE網(wǎng)絡(luò)安全項(xiàng)目的主管，該組織致力于促進(jìn)IT在高等教育中的應(yīng)用，他說，“這些經(jīng)歷讓我成為了一名更好的首席信息安全官?！?/p>

成為一名變革型首席信息安全官意味著什么

Kelly在這方面并不孤單。在過去十年中，企業(yè)安全高管這一職位從專注于維護(hù)系統(tǒng)的管理角色發(fā)展到以業(yè)務(wù)支持為中心的戰(zhàn)略角色，再到如今被寄予厚望從事數(shù)字化轉(zhuǎn)型工作。

畢馬威網(wǎng)絡(luò)服務(wù)公司（KPMG Cyber Services）的合伙人Vijay Jajoo評論說：“這不但是要盡到安全人員的職責(zé)，更是要有能力推動(dòng)變革和實(shí)現(xiàn)企業(yè)價(jià)值。”

事實(shí)上，一名變革型的首席信息安全官不僅僅是了解業(yè)務(wù)的技術(shù)專家或者懂技術(shù)的商人。

相反，一名變革型的安全領(lǐng)導(dǎo)是能夠設(shè)計(jì)、交付和運(yùn)行安全策略的人，既能滿足企業(yè)的日常需求，又能夠支持企業(yè)的戰(zhàn)略愿景，同時(shí)還可以與其高管同事們協(xié)同工作，以實(shí)施那些更大、更具挑戰(zhàn)性的、通常讓人感到棘手的計(jì)劃，促使企業(yè)一代一代的向前發(fā)展。

這需要一系列特定的個(gè)人特質(zhì)和專業(yè)技能才能做到。

Jeff Pollard是Forrester的副總裁兼首席分析師，與人合著了多份關(guān)于首席信息安全官職位狀況的報(bào)告，他說：“變革型首席信息安全官是面對混亂時(shí)最得心應(yīng)手的人，是能夠處理最具變革性事物的人，還有，在處理延續(xù)多年的擴(kuò)建項(xiàng)目時(shí)，也是最得心應(yīng)手的人，這類項(xiàng)目從通常是戰(zhàn)術(shù)性的活動(dòng)過渡到更具戰(zhàn)略性的活動(dòng)，而關(guān)注的重點(diǎn)是整個(gè)企業(yè)的目標(biāo)是什么?！?/p>

變革型首席信息安全官的技能和特質(zhì)

Forrester認(rèn)為，變革型首席信息安全官是六種不同類型的首席信息安全官之一。

Pollard與合著者Josh Zelonis在他們2020年5月的報(bào)告《每名首席信息安全官現(xiàn)在都是一名變革型首席信息安全官》中寫道，“變革型首席信息安全官樂于徹底改革那些難以實(shí)施的安全計(jì)劃，為長期的改善打下基礎(chǔ)。從頭開始重新配置、重新配備人員和重建工作激勵(lì)著他們?！?/p>

然而，一名變革型的首席信息安全官究竟擁有什么才會讓自己與眾不同呢？還能讓自己“熱愛”徹底改革和重建的艱苦工作呢？

Pollard介紹說，經(jīng)過研究，已經(jīng)確定了界定這類領(lǐng)導(dǎo)的一些特質(zhì)和特征：

變革型的首席信息安全官被變革和顛覆所激勵(lì)，他們通常是充滿活力的。他說：“在應(yīng)對混亂時(shí)，他們得心應(yīng)手。”

他們精力充沛，適應(yīng)性極強(qiáng)。

他們直言不諱，很有說服力，往往更外向，而且他們能建立共識。他解釋說：“他們必須有能力做一些銷售工作，并且必須能將安全融入到企業(yè)的整個(gè)變革之旅中。”

Pollard繼續(xù)補(bǔ)充道：“如果你是這樣的人，則應(yīng)該找一家樂于變革的公司，不進(jìn)行微觀管理或者指揮和控制，管理也不是過度集中。或者，你在不得不進(jìn)行變革的市場中找一家公司?！?/p>

Kelly提供了一個(gè)類似的定義技能和特質(zhì)的列表，突出了靈活性以及傾聽和協(xié)作的能力。

其他人也同意這一點(diǎn)，并補(bǔ)充說，善于溝通是非常重要的，這種能力有助于將各個(gè)部門（例如，安全技術(shù)和單個(gè)業(yè)務(wù)部門）面臨的變化聯(lián)系起來，以推動(dòng)企業(yè)和整個(gè)行業(yè)的變革。

高科技公司EVOTEK的首席信息安全官、ISACA圣地亞哥分公司總裁、《首席信息安全官案頭參考指南》的合著者M(jìn)att Stamper補(bǔ)充道：“他們必須對自己的業(yè)務(wù)和行業(yè)以及運(yùn)營技術(shù)非常好奇。他們必須對影響企業(yè)的所有事情以及企業(yè)怎樣才能更具彈性等方面有更廣闊的視野?！?/p>

一名變革型首席信息安全官還必須主動(dòng)作為，富有遠(yuǎn)見，這樣才能清楚地為安全職能部門和整個(gè)企業(yè)指明方向——不僅是明天，而且是今后幾個(gè)月，甚至幾年。Stamper補(bǔ)充道，過渡時(shí)期的首席信息安全官必須有能力與其他高管合作，在實(shí)現(xiàn)愿景時(shí)得到安全部門的支持。

他以金融公司的首席信息安全官為榜樣，指出他們很早就明白，在金融行業(yè)向數(shù)字環(huán)境轉(zhuǎn)型的過程中，安全是多么的重要。

畢馬威網(wǎng)絡(luò)服務(wù)公司的Jajoo說，他認(rèn)為過渡時(shí)期的領(lǐng)導(dǎo)總的來說是富有遠(yuǎn)見、鼓舞人心、創(chuàng)新和充滿激情的。

他補(bǔ)充道：“他們有推動(dòng)變革的愿景，更能令人鼓舞。他們不但能凝聚自己的部門，而且還可以團(tuán)結(jié)其他部門，推動(dòng)大家一起朝著愿景前進(jìn)。對安全部門的領(lǐng)導(dǎo)來說也是如此?！?/p>

Jajoo以一位在金融服務(wù)公司擔(dān)任首席信息官的同事為例，來說明怎樣才能成為變革型高管。該公司正在從整體上進(jìn)行一次徹底的變革，首席信息安全官將策略上的安全功能轉(zhuǎn)變?yōu)榫唧w運(yùn)維，重點(diǎn)是降低風(fēng)險(xiǎn)并為客戶參與提供保障。他采用了人工智能等先進(jìn)技術(shù)，與多個(gè)相關(guān)方進(jìn)行了交流，闡述了他的戰(zhàn)略愿景，徹底改革了他的安全運(yùn)維，創(chuàng)造了新的職業(yè)道路和培訓(xùn)機(jī)會，鼓勵(lì)員工創(chuàng)新且不會因冒險(xiǎn)而受到懲罰，利用數(shù)據(jù)來證明出現(xiàn)了改進(jìn)，精心設(shè)計(jì)了指標(biāo)，以確保持續(xù)成功。

Jajoo說：“這與怎樣交付工具關(guān)系不大，更多的是關(guān)于交付新功能和流程，然后推動(dòng)改進(jìn)?！?/p>

開發(fā)和借鑒轉(zhuǎn)型特質(zhì)

盡管Forrester的報(bào)告宣稱每名首席信息安全官現(xiàn)在都必須是變革型的領(lǐng)導(dǎo)，但Pollard等人實(shí)際上認(rèn)為還是應(yīng)該留有一些余地。

事實(shí)上，Pollard說，他并不認(rèn)為所有首席信息安全官一直都得是變革型的領(lǐng)導(dǎo)。也不是所有的首席信息安全官都想成為變革型的。一些首席信息安全官在管理狀態(tài)穩(wěn)定的環(huán)境方面是最得心應(yīng)手和最有能力的，在這種環(huán)境中，重點(diǎn)主要是成功地維護(hù)安全運(yùn)營，根據(jù)需要逐步進(jìn)行調(diào)整。

Pollard說，此外，有些公司不太接受變革型的首席信息安全官。這些公司最近可能已經(jīng)完成了一項(xiàng)重大的變革計(jì)劃，并進(jìn)入了維護(hù)階段。他們所處的行業(yè)可能目前還沒有出現(xiàn)顛覆性的變革。或者，他們可能還沒有準(zhǔn)備好開展更深入的企業(yè)變革，因此不需要變革型的首席信息安全官來提供支持。在這種情況下，變革型首席信息安全官是不合適的，自己可能也會不快樂，也難以成功。

然而，另一方面，Pollard等人說，很多首席信息安全官——即使是那些沒有或者不能完全接受轉(zhuǎn)型的首席信息安全官，將不得不發(fā)展和磨練變革型首席信息安全官所必備的一些特性和特質(zhì)，因?yàn)閹缀跛械钠髽I(yè)現(xiàn)在都將面臨一些顛覆性的變革。

Pollard說：“即使轉(zhuǎn)型與自己無關(guān)，你也可能要開展一些轉(zhuǎn)型活動(dòng)”，他補(bǔ)充說，大多數(shù)專業(yè)人士都有能力成長為這類角色，即使這不是他們原本所擅長的。

位于布達(dá)佩斯的客戶體驗(yàn)管理公司Transcom的全球首席信息安全官Andrea Szeiler反思了自己的技能和特質(zhì)，認(rèn)為自己非常適合轉(zhuǎn)型角色——經(jīng)過個(gè)性評估，她被評為有影響力、有熱情、有說服力、有競爭力、有推動(dòng)力和注重結(jié)果。

她說，經(jīng)歷過領(lǐng)導(dǎo)變革后，她也認(rèn)識到了自己的個(gè)性必須適應(yīng)其他同樣重要的技能，以確保她在自己部門和整個(gè)企業(yè)中建立共識并激勵(lì)他人。

更具體地說，作為ISACA布達(dá)佩斯分公司的董事會成員，Szeiler說她一直在努力保持冷靜和耐心。

她說：“我聽到別人說，‘你是坦克，我們擋不住你，所以我訓(xùn)練自己不要走得太快，要有耐心，因?yàn)槿绻阋粋€(gè)人單打獨(dú)斗，就會脫離整個(gè)公司。你得讓每個(gè)人都能跟上自己?！?/p>

Mary K. Pratt是馬薩諸塞州的一名自由撰稿人。

原文網(wǎng)址

https：//www.csoonline.com/article/3575603/what-it-takes-to-be-a-transformational-ciso.html