四位安全领导者分享了他们从CISO到COO、副总裁、董事会成员和投资顾问的职业历程,展示了CISO未来可能的职业发展路径。
自1990年代中期Steve Katz在Citicorp首次担任CISO以来,近30年内,CISO的角色变化显著,从管理技术控制到应对业务风险,这一角色的演变为CISO们进入其他岗位铺平了道路。
四位采取不同职业路径的CISO分享了他们从CISO转向新职位的经验和建议。
从CISO到COO:Chad McDonald,RadiantLogic的COO
Chad McDonald从CISO转任RadiantLogic的COO,拥有近20年的CISO角色经验,还曾负责客户体验和专业服务,他发现,CISO这一角色需要从战略角度思考整个业务,并影响各个部门,这些技能在他迈向下一个职业阶段时非常有用。
McDonald认为,这些战略技能非常适合应用到更广泛的岗位,如COO。在他目前的职位上,他必须理解客户需求,并与他们用共同的语言交流。“CISO需要与财务、人力资源、市场营销以及产品部门沟通,以推动变革,改变企业的安全视角或降低风险,这些技能非常适用于运营团队的管理。”他表示。
“作为CISO,你的日常工作就是从业务的战略角度思考,而不仅限于你的职责范围。一个小小的改变就可能影响整个业务,因此你必须善于在职责之外发挥影响力。”McDonald告诉记者。
广泛接触不同的行业领域有助于转型为COO等角色,因为这涉及理解不同的监管和合规需求。“这帮助你用不同的方式思考,不仅是内部需求,还要考虑这些需求如何转化为客户的需求,并从内外部视角来看待你的组织。”他补充道。
虽然这大多是一条线性的职业路径,但安全与其他C级职位(如CIO和CTO)之间的重叠越来越大,这为CISO们提供了新的机会。McDonald建议,CISO们需要掌握广泛的商业技能,包括财务、项目管理以及理解法律合同。“这些对想要转型为CIO、CTO或COO的CISO至关重要。”
良好的沟通能力仍然是关键。“随着职位的提升,你需要在执行层面进行沟通,不仅仅是传达战术信息,还要向那些可能不熟悉技术或安全的人清晰解释你的方向和原因。”他说。
从CISO到CIO再到副总裁:Tammy Loper,坦帕大学信息技术与安全副总裁
Tammy Loper是坦帕大学的信息技术与安全副总裁,她的职业生涯专注于创建和转型安全与技术运营,从CISO晋升为CIO,如今是副总裁。
在她的职业生涯中,Loper发现,战略思维、在各个层面建立强有力的关系并获得支持,对于工作场所的成功至关重要,这也为她带来了晋升机会。
“在启动一个新的安全项目时,我与校园内的每个部门进行了会面,分析了他们使用的系统、处理的信息类型、技术手段、业务挑战和差距。”Loper告诉记者。
Loper创建了一个共同的使命,帮助在组织内部建立权威性,从而进行教育和影响力扩展,这也有助于提升她的可见度——这是为晋升做好准备的关键因素之一。“如果你的角色在组织中被埋没,并且你是自下而上推动工作而不是自上而下,那么董事会成员可能根本不会知道你是谁,也不会了解你的能力。”她说。
CISO在理解组织流程和将安全定位为核心使命的一部分方面具有独特的视角,这为晋升至更高职位打开了潜在的机会。
在Loper的案例中,她成功地建立了一个安全项目,并将这一战略扩展到了IT领域,最终成为CIO。她晋升为副总裁反映了IT和安全在大学的各个部门中需要一定的权威性。挑战在于如何在业务需求和安全需求之间找到平衡,而CISO有时可能需要打破对安全的单一关注。“CISO有时在做出这些艰难妥协时会感到挣扎,但你必须能够找到那个平衡点,以满足组织目标,并对这些决策充满信心。”她说。
从CISO到导师和董事会成员:Paul Connelly,董事会顾问
Paul Connelly曾担任多个CISO、CSO和信息安全职位,包括在NSA和白宫的工作经历,之后转向担任技术顾问和董事会成员。在此期间,他看到了CISO角色的重点和地位的变化。“刚开始时,这个角色主要是技术知识,而现在更多是了解业务及其影响。”Connelly告诉记者。
如今,他认为对工作的热情、沟通能力和组织技巧几乎比特定的背景更为重要。
对于希望进入董事会的CISO,Connelly发现今天成为成功CISO所需的技能同样适用于领导职位。“CISO角色的演变部分体现在与业务领导者的互动,参与战略决策。如果你能证明自己可以制定战略,与他人合作并推动成功的项目,这确实为进入董事会打开了大门。”他说。
在担任董事会成员时,他能够提出其他人没有意识到的问题,或者在CIO或CISO提供更新时提出后续问题。“当我想到安全对企业的重要性时,令人惊讶的是,更多公司没有我们这种背景的人。”Connelly告诉记者。
然而,如果CISO不属于包括CFO、CEO和现有董事会成员在内的社交圈,他们通常不会被推荐进入董事会。“你需要认识董事会成员,并建立起与他们的关系网络,这样当你准备好时,董事会成员会站在你身后并推荐你。”
Connelly建议CISO与其他业务领导者互动,拓宽技能,包括参与工作场所的风险或多元化与包容性(DEI)委员会。“参与其他领域至关重要,因为董事会无法将席位留给只专注于一个领域的人。”对董事会运作的了解也很重要,但这并不是自然而然发生的。“研究董事会的工作,考虑通过像全国公司董事协会(National Association of Corporate Directors)这样的组织获得认证,并通过为非营利组织服务积累一些董事会经验,这些组织总是在寻找董事会成员。”
寻找能够支持你进入董事会职位的盟友。一个支持你的CEO可以为你提供与董事会成员平等互动的机会,并在你准备时为你的陈述和向董事会汇报的更新提供指导和反馈。“与高级领导层沟通,让他们知道你的兴趣,看看他们是否能提供帮助。”
从CISO到CSO再到投资顾问:Justin Somaini,YL Ventures合伙人
Justin Somaini是YL Ventures的合伙人,曾在一些全球最大的科技公司担任CISO、CSO和首席信任官的职位,之后转为顾问。他认为CISO的角色是一个多面性的角色,类似于销售人员。“我们是在内部销售安全性。”Somaini告诉记者。
这意味着需要运用营销技巧来推广信息,理解人类行为以了解受众及其采纳安全措施的理由,并学会搭建桥梁以完成安全任务。“安全人员不仅仅是做工作,我们发现问题,然后找到解决方案,并告诉公司里的其他人实际完成工作。”他说。这需要理解他人的工作和职责,并意识到这些人面临的挑战和障碍。
这为CISO们提供了一个自然的机会去学习企业的构建方式,以及为未来的新机会铺设基石。“如果你真的推动自己去学习这些其他职能,你不仅会在当前的角色中成功,还会为下一个角色打下基础。”Somaini说。
没有一条唯一正确的职业道路,因此每个人都需要绘制自己的路线图。“许多CISO正在思考接下来该做什么,我们正第一次在行业内大规模地进行这种尝试,但作为一个行业,我们确实需要弄清楚职业发展的轨迹是什么。”
Somaini走到他现在的职位,是通过“多年来的一些小事情”积累的,包括与创始人和风投公司(VC)建立联系,并为风投公司和初创公司担任顾问。他的建议是,扩展你的网络,以创造进入新职位的机会。“当我在VeriSign工作时,我被介绍给Palo Alto Networks的Nir Zuk。当时公司刚刚走出隐秘阶段,我成了他的顾问,我从没想过这是一件你可以做的事,但我非常喜欢它。”他说。
作为一个投资团队的成员,他利用自己的安全领域知识以及支持公司走向成熟的经验。这意味着要成为一个“增值型VC”,理解销售和市场营销的生命周期,并为那些尚未设立销售或市场营销负责人的初创公司提供支持。
他建议CISO考虑持有双头衔角色,以获得额外的专业知识,并利用这一角色在整个组织中学习业务的各个方面,建立与其他部门的关系。“由于CISO的职能是横向的,他们可以看到一切,并建立这些关系。”
与其他人的观点一致,他指出了建立网络关系的重要性,这能够为未来的机会打开新大门。“在安全领域之外发展并培养关系,以打开新的机会。”
