首席信息安全官如何成为商业领袖
星期三, 七月 24, 2019
William Hill 的首席信息安全官 (CISO) 表示,安全领导者需要掌握市场营销、人力资源、商业术语等,才能真正对领导其组织机构有所帮助。
拥有 CISO 的公司与 IT 安全经理是最高级别的安全专家的公司有什么不同?有人可能会说 CISO 的职责范围更广,但真正的答案是领导力。
ESG 最近的一项研究发现,沟通和领导能力是一个成功的 CISO 需要具备的两个最重要的品质。在受访者眼中,技术上的敏锐远不如传达正确信息的能力重要。
如果 CISO 和 CIO 同级将成为常态(在英国,只有 12% 的 CIO 表示 CISO 在他们组织机构中是与自己同级的),那么安全专业人员需要学习安全技能以外的知识,以及如何成为业务领导者。
英国博彩公司 William Hill 集团的 CISO 的 Killian Faughnan 表示,虽然你经常听说安全工作促进了什么,而不是成为成本中心或者障碍,但在行业里很少会期待 CISO 成为商业领袖或者是推动者。他说道:我们花时间谈论如何成为商业领袖。这可能是你听到过最重复的一句话:安全人员需要成为商业领袖。
然而,与更成熟的角色(包括 CIO)相比,CISO 常常处于边缘,因为他通常不是推动业务向前发展的角色。
如果你看看高层,那里的每个人大部分都是为了推动业务向前发展,出于某种商业原因才来到这里的,而 CISO 往往站在一边。如果你不是董事会和委员会成员,你就不是真正的商业领袖。你并没有站在前线。
原因在于,CISO 们往往没有考虑他们所做的决策将如何推动业务。
商业的全部意义在于赚钱。商业的存在是为了做生意,而不是为了安全。你需要考虑到你的决策(关于你要在哪方面进行投资)是业务决策,而且这些决策会影响到每个人。如果你从这个罐子里拿出 100 万英镑,那不仅是别人拿不到的钱,而且可能是本可能被别的部门变成 500 万英镑的钱。
Faughnan 补充道:你需要确保你所推动的行为和结果是为了业务目标,而不是安全行业的目标,显然,CISO 在那里是为了安全,但如果你以牺牲业务为代价来实现目标,那么这就是失败。
CISO 们需要学习的一项业务技能是市场营销。虽然他们可能不会向外人推销,但每当 CISO 与董事会进行对话时,他们都在推销自己及其职能。在伦敦举行的信息安全欧洲会议上,Faughnan 告诉与会者,当向董事会报告时——无论是更新还是请求资源——这实际上是一种营销活动。他说:我们正在向客户推销一种产品,安全是我们的产品。
你不需要理解安全性就能理解营销,事实上,理解安全反而阻碍了你。你只会专注于你已经知道的东西,而忽略了你需要学习的东西。营销本身就是一门学科是有充分理由的。
Faughnan 在发现自己演讲失败后学到了这一课。与董事会的谈话更像是一场营销活动,这让他更专注于信息传递。他说道:我有太多的表格和图表,我在里面放了太多的信息,当我告诉他们我正在做的所有重要的事情时,我能看到他们都心不在焉,他们很高兴坐在那里接受培训,但离开时却并没有对此感到兴奋。
要像营销人员一样思考,Faughnan 建议你去学习基本的营销原则,比如 4P、Ansoff 矩阵、产品生命周期,甚至是自我表现。如果你在推广一个东西,你在推销一个愿景,而这个愿景将来自你的产品。每一件你想卖给董事会的东西都有一个产品生命周期。
他继续说道,你是产品的一部分,就像其他东西一样,这包括你的着装。在银行里,你的穿着可能会很正式。如果你所在的公司比较随意,没有人打领带,如果你穿西装打领带出现在那里,就会显得很奇怪。
Faughnan 在讲话中表示,CISO 的最终目标应该是将董事会报告缩减为一张 PPT,展示公司是否表现良好,中等还是做得不好。他承认这是一个不切实际的目标,但你仍然应该以保持信息简洁为目标。数据有它的位置,但主要在你的指示板上。你的工作就是把这些数据压缩成有意义的东西,并能够以一种让董事会觉得你知道自己在做什么的方式呈现出来。你给出的信息可能和上一个人一模一样,但你可以用一种完全不同的方式来表达。
现实中,CISO 们应该尽量将他们的 PPT 控制在三张和三条信息之内。如果超过这个数字,很可能会失去董事会的关注。当你向董事会展示 30 页的东西时,你是在告诉他们,“我不想费心去弄清楚最重要的部分是什么,我只是想在你空闲的时候看看它们”。他们很忙,需要经营整个公司。你只有 15 分钟的时间,而在 15 分钟内,你可以把三个好主意讲清楚。
对我来说,最难的事情是习惯自己在那里是为了满足董事会的需要,而不是为了我希望他们需要的东西。这完全是两件事。
他说他们想要的是一个数字;可以代表公司安全状态的单一指标或量表。
我有 5 个、10 个、15 个指标来衡量我们最担心的事情,他们说,‘你能给我们一个数字吗?’,他们希望你能以某种方式处理所有数据、所有图表、所有信息,然后回到他们面前,拿出一份量表,上面写着我们做得好或不好。就是这样。
就像一张 PPT 一样,这可能是一个无法实现的目标,但通过始终以这个目标为目标,CISO 们能够保证他们想要传递的信息简短而切题。
虽然采用市场营销的方式向董事会陈述对 Faughnan 有帮助,但这只是将 CISO 从一个边缘安全角色转变为他所说的商业领袖需要做到的一个方面。安全专业人士一路走来,对事情都有同样的看法。安全人士倾向于非常直截了当,在很多方面都注重治理,非常注重技术和技术交付,因为他们没有商业背景。
为了开阔自己的思路,Faughnan 修了一门 MBA 课程。他说,学习商业让他的词汇量扩大到技术和安全之外,并开始理解商业概念。他表示:自己永远也搞不明白,为什么 CISO 从来没有满足过企业的需求。因为 CISO 们说的是同一种语言稍微不同的版本,其含义也有所不同。”
人们没有考虑到他们可以从其它地方(学到)有价值的东西。如果你在向董事会做营销,那就去学习营销。如果你要向董事会谈论财务,那就去学习财务。如果你打算做预算,作为一名安全专业人员并不意味着你可以做预算,去向做预算的人学习并去上一门预算相关的课程。
虽然 Faughnan 承认作为一名安全领导者,今天的 CISO 需要扮演很多不同的角色,但他反驳道,你不必对这些主题了如指掌,只需要了解它们及其价值。
我们不需要事事精通,也不要害怕寻求帮助。如果你在做一个内部宣传活动,可以和内部部门沟通。如果你想做一些营销,和你的市场部门谈谈。人力资源管理也一样。你想要(做)一些文化上的改变,和他们一起在更广泛的文化改变项目上进行合作。
ESG 最近的一项关于CISO的研究报告:
相关阅读