安全厂商CISO应被纳入行业社群?打破壁垒促进行业交流

本文探讨网络安全活动中排除安全厂商CISO参与的现象,分析这种做法的弊端,并提出通过建立透明行为准则实现包容性交流的解决方案,旨在促进整个行业的知识共享与共同发展。

安全厂商的CISO在您的社群中吗?

组织聚集网络安全领导者的活动需要大量努力和赞助。遗憾的是,某些活动和社群将就职于安全厂商的CISO排除在外。这种立场虽然初衷良好,却损害了行业利益,并使隐藏的利益冲突得不到监督。以下是原因及解决方法,以改进此类活动和整个社群。

各类CISO的价值

行业资深人士Andrew Hay曾发布过一个戏谑的"行业尊重度CISO等级体系"。处于顶端的是财富500强企业的安全负责人,其次是金融服务或保险公司的CISO,硬件厂商的CISO排名较低,而接近底层的则是就职于网络安全厂商的CISO——嘿,这就是我!

这个尊重等级本是玩笑,CISO们也一笑置之。其有趣之处在于反映了某些事实:有些高管比同行获得更多尊重。就职于大型机构的CISO需要处理更复杂的挑战,掌握比小公司同行更大的预算。但无论组织类型或规模如何,CISO们都面临诸多挑战,都能为社群做出重要贡献。

CISO活动的赞助模式

举办活动需要承担场地、餐饮和组织者薪酬等成本。通常这些成本由厂商赞助覆盖,赞助商借此进行演讲、宣传和提升品牌价值。

因此,CISO聚会有时会包含赞助商讨论其商业产品的指定环节。有时,组织者要求赞助商展示不直接推销产品的"思想领导力"内容。对于此类演讲,组织者通常要求演讲者不能来自销售或市场部门。如果厂商设有CISO,该人选往往是合适的选择。

当精心安排时,这种覆盖活动成本的方式能使所有利益相关方受益:组织者、参会者和厂商。

将安全厂商CISO排除在活动之外的问题

有些活动限制安全厂商的CISO只能参加其雇主赞助的环节。组织者以此旨在:

  • 维持收入来源,使安全厂商接触参会者的唯一途径是通过赞助
  • 在没有厂商代表的情况下开展关于安全厂商的开放讨论
  • 确保参会者是实践型CISO,而非头衔含"CISO"的销售或市场人员

这些目标合理;然而,禁止安全厂商CISO参加活动是实现这些目标的拙劣方式。

这种"一刀切"的做法表面上创造了促进思想和意见自由交流的环境,但未能解决明显的利益冲突和参会者的厂商关系问题,例如:

  • 作为投资者或顾问与安全厂商有关联(这对CISO并不罕见)
  • 就职于向活动参会者提供产品或服务的非安全厂商
  • 即使头衔包含"CISO"但不就职于安全厂商的非实践者

当活动禁止网络安全厂商的CISO参加却对上述潜在问题视而不见时,仅仅是营造了建立无厂商参与或其他不良干扰环境的表象。

此外,所有就职于商业公司的人都是某些人的供应商。我们都希望自己的供应商拥有强大的安全计划和知识渊博的领导者。我们通常希望结识这些领导者,与他们建立关系,甚至向他们学习。如果不能创建允许所有组织(包括安全厂商)CISO参与的环境,组织者就阻碍了我们行业的发展。

如何组织面向所有CISO的活动

还有另一种方式。许多CISO社群成功包容了各类安全领导者。它们如何在允许安全厂商CISO(如我)参与的同时促进富有成效的讨论?它们执行透明的行为准则,要求参会者:

  • 在指定论坛外避免推销或推广雇主产品
  • 披露利益冲突或避免参与相关讨论
  • 如因利益冲突导致他人不适则退出讨论
  • 尊重且专业地参与,承认不同的意见和隶属关系

建立这些规则需要刻意努力,但是可行且有效的。我目睹过由此创建的繁荣社群,使所有利益相关方受益并推动行业发展。如果您是参加安全活动的CISO,请询问是否允许安全厂商CISO参与整个活动。如果不允许,鼓励组织者采纳这些规则或参考本文。

更新于2024年6月21日 Lenny Zeltser

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次