过去几年,***信息安全官(CISO)角色已从战术性IT经理发展到了战略性业务主管的地位。那么,身份上的转型对CISO迈向成功提出了哪些能力素质上的要求呢?
从企业战略集团(ESG)和信息系统安全联盟(ISSA)去年发布的数据中可以窥探一二。
数据显示:
- 54%的CISO认为,CISO的成功取决于领导力
CISO必须要能通过网络风险教育、创建定制安全意识培训项目、全面确立公司网络安全文化等手段来领导公司通往更好的安全态势。
- 49%的CISO认为,CISO的成功取决于沟通能力
CISO必须要能以业务部门人员能够理解的方式阐述清楚晦涩难懂的一些概念,比如软件漏洞、威胁情报、加密等等,让业务部门人员可以消化吸收这些概念并以之指导自身行动。而且,CISO要与诸多利益相关者打交道,比如律师、人力资源、司法机构、审计、合作伙伴等等。好口才无疑会对成功助力良多。
- 44%的CISO认为,CISO的成功取决于与业务主管的良好关系
如果业务主管积极主动参与安全事务,并将CISO当做平级伙伴对待,CISO无疑就有了成功的沃土。如果情况不是这样,那CISO***还是另谋高就吧。
- 33%的CISO认为,CISO的成功取决于管理能力
管理能力排位不高的事实或许有点令人惊讶,这可能是因为安全人员的管理工作往往被委派给了直接下属,而CISO自己则集中精力在风险管理和与业务主管沟通上。
- 21%的CISO认为,CISO的成功取决于技术能力
仅这一条就足以反映出CISO角色在这几年间的演变。过去,CISO倾向于通过IT和网络安全部门监管杀毒软件、防火墙和达成合规要求。如今,CISO更多地倚靠业务部门。
总结:
- 公司规模和公司里安全员工的多寡,极大地影响着CISO的成功。公司规模越小,CISO需要亲力亲为的事就越多。
- 成功的CISO都与CIO保持着良好的合作关系。事实上,很难严格划分出IT与网络安全之间的界限。往IT团队中嵌入安全技术似乎是个特别有用的模式。
- CISO成功的绝对关键因素是高管团队。高管的态度和行动要么成就CISO,要么毁掉CISO。
ESG和ISSA报告地址:https://www.issa.org/default.aspx
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】