安全管理是一项极具意义的工作,他可以有效地保障我们的网络生活,对于企业来说,关系更是非凡的。
CISO(首席信息安全官)和首席安全官(CSO)在当今时代,越来越多地发现,与十年以前自己的这种角色初次出现在各个单位中的时候相比,现在这个头衔中的“首席”二字总是伴随着人们的不同期望。
当今的CISO需要建立一个全面的技能矩阵,要像其它高级管理人员一样,将这些技能放到极其重要的水平上。在选择CISO时,公司现在需要寻求哪些关键的技能和品质呢?
下面笔者谈一下四个最重要的技能,并给出安全专家如何才能获得这些技能的一些建议。
一、与业务有关的技术知识
虽然专门技术是CISO必需的东西,但扎实丰厚的技术知识仍是CISO和CSO的基础。事实上,正是这个水平的知识将会使差距进一步扩大,并将继续区分高级安全领导者与那些仅有物理安全背景的安全人员,而且会使他们在人才市场中更加有吸引力。
随着企业越来越依赖于技术增强其业务,企业就越发要求CISO扩展和增强其技术能力和意识。这类知识的广度将成为维护其可信性的关键要素,且有助于建立对CISO核心技术领导能力的信任,这种职责包括软件开发、基础架构、工程学和运营。
CISO不必考虑一个组件能够干什么以及它怎样“酷”,而是要思考:“这种技术将怎样影响我们的企业?如果我们依靠供应链或访问管理或移动应用程序等来做这件事情,会造成怎样的影响?”
在企业为扩展开始评估新技术时,CISO必须帮助企业理解这些新技术所带来的风险和暴露程度。
当前,这方面最好的例子是围绕着移动设备的安全问题。许多单位正在考虑这种可以促进销售、增加生产率和使性能最大化的方法,然而,CISO需要清楚地阐明这些新技术如何给企业带来风险,以及如何正确地实施这些技术才能满足合规要求,并遵循行业标准和框架。
二、在全新水平上的业务敏锐性
安全人员现在面临的最大问题是:过去他们将同行业的安全专家的技能作为自己的技能标准,而现在他们应当将管理团队真正需要的技能作为其技能标准。
也许你是一位应用程序安全专家,将自己与应用程序安全专家相比只会使你处于应用程序安全的领域,而不会使你升级到管理领域。
你必须将自己与管理层的人员相比较。许多安全人员认为自己在管理层并没有适合的位子。但事实上,他们得不到管理层的职位的真正原因是其他管理人员并不确信他们配得上这样的位子。
因此,我建议安全人员从管理的角度学习和提升技能并进行职业投资。要理解一个单位的关键要素,绝不仅仅是安全,而是安全人员应当关注的内容。要了解单位正在应对的外部因素,要理解该单位在市场上还面临着除安全和风险之外的哪些阻碍。
多数安全专业人员认为自己拥有业务技能。但是安全人员定义业务技能的方法与CIO或CFO定义业务技能的方法不同。
三、交流能力,其中包括倾听技能
为了正确实施一个安全项目,你必须将这方面的消息告知每个人。每个人都应当形成某种安全意识。
在整个单位中,在与其他人的进行交流的早期阶段,倾听技能也许比表达能力更为重要。理解人员和文化是一种很重要的技能,但多数人都会忽视。
例如,在你与技能运营团队进行交流时,所使用的方法与同企业领导人交流时是不同的。
安全领导者的有效交流意味着拥有广泛的知识库,理解企业的竞争利益。
四、领导能力——不管你现在的职位如何
在所有的技能中,必须重视CISO或安全管理员的领导能力。许多公司雇佣一个CISO只是因为公司正在寻求一个可以将单位的安全态势推动到一个新方向的信息安全管理人员。
因为信息安全正以难以预料的不同方法渗透到单位中,单位必须有效传达安全方面的信息。不仅要传达给熟悉此领域的人员,还要传达给必须重视安全的各方,这必然需要一定的领导能力。
如果现在你并没有处于领导的地位,你可以在当前的职位培养这种技能。
要努力使自己成为在某个项目上做得出色的人员。部署一个软件补丁或合规工具可以成为赢得领导能力的一个机会。或者你可以成为一个传达领导思想从而在整个单位中构建安全文化的人员。领导能力并不总是一种可以描述的东西,但它确实可以识别。
安全管理者要想变得优秀是不容易的,这就要他们多多学习。多多积累经验,充分发挥创新精神。
【编辑推荐】