安全厂商CISO是否应被纳入社区?探讨行业活动包容性与利益冲突管理

本文探讨网络安全活动中排除安全厂商CISO的现象,分析其带来的行业弊端,并提出通过建立透明行为准则实现包容性社区构建的方案,推动行业知识共享与良性发展。

安全厂商的CISO在您的社区中吗?

组织聚集网络安全领导者的活动需要大量努力和赞助。遗憾的是,某些活动和社区将就职于安全厂商的CISO排除在外。这种立场虽出于好意,却损害行业利益,并使隐藏的利益冲突得不到监督。以下是我们为何及如何解决这个问题以改进此类活动和整个社区的原因与方法。

各类CISO的现状

行业资深人士Andrew Hay曾发布过一个戏谑的“CISO行业尊重等级”。位于顶端的是财富500强企业的安全负责人,其次是金融服务或保险公司的CISO,再往下是硬件厂商的CISO,而接近底层的则是为网络安全厂商工作的CISO——比如我!

这个尊重等级本是个玩笑,CISO们也一笑置之。其有趣之处在于反映了某种事实:有些高管在同僚中确实更受尊重。就职于大型组织的CISO需要处理更复杂的事务,掌握比小公司同行更庞大的预算。但无论组织类型或规模如何,CISO们都面临诸多挑战,并为社区贡献良多。

CISO活动的赞助机制

举办活动涉及场地、餐饮和组织者薪酬等成本。通常这些成本由厂商赞助覆盖,赞助商借此进行演讲、广告宣传并提升品牌价值。

因此,CISO聚会有时会包含赞助商讨论其商业产品的特定环节。组织者可能要求赞助商展示不直接推销产品的“思想领导力”内容。对于此类演讲,组织者常要求演讲者不能来自销售或市场部门。如果厂商设有CISO,该人选往往是合适的选择。

若协调得当,这种覆盖活动成本的方式能使所有利益相关者受益:组织者、参会者和厂商。

将安全厂商CISO排除在活动之外的问题

某些活动限制安全厂商的CISO仅能参加其雇主赞助的环节。组织者以此旨在:

  • 维持收入来源,使安全厂商仅能通过赞助接触参会者
  • 在无厂商代表的情况下开展关于安全厂商的开放讨论
  • 确保参会者是实践型CISO,而非头衔含“CISO”的销售或市场人员

这些目标合理,但禁止安全厂商CISO参与活动是实现这些目标的拙劣方式。

这种“一刀切”的做法看似营造了自由交流思想和观点的环境,却未解决明显的利益冲突和参会者的厂商关系问题,例如:

  • 作为安全厂商的投资人或顾问(这对CISO并不罕见)
  • 就职于向活动参会者提供产品或服务的非安全厂商
  • 即使头衔含“CISO”却非实践人员,且未就职于安全厂商

当活动禁止网络安全厂商CISO参与却对上述潜在问题视而不见时,只是表面营造了无厂商介入或其他不良干扰的环境。

此外,所有就职于商业公司的人都是某人的供应商。我们希望供应商拥有强大的安全计划和知识渊博的领导者。我们常希望结识这些领导者,与之建立关系,甚至向他们学习。若未能创造允许所有组织(包括安全厂商)CISO参与的环境,组织者就阻碍了行业的发展。

如何为所有CISO组织活动

另有他法。许多CISO社区成功包容了各类安全领导者。它们如何在允许安全厂商CISO(如我)参与的同时促进富有成效的讨论?它们执行透明的行为准则,要求参会者:

  • 在指定论坛外避免推销或推广雇主产品
  • 披露利益冲突或回避相关讨论
  • 若因利益冲突导致他人不适则退出讨论
  • 尊重且专业地参与,认可不同观点和背景

建立这些规则需要刻意努力,但可行且有效。我目睹过由此创建的繁荣社区,使所有利益相关者受益并推动行业进步。如果您是参加安全活动的CISO,请询问安全厂商CISO是否被允许参与整个活动。若否,鼓励组织者采纳这些规则或参考本文。

更新于2024年6月21日 Lenny Zeltser

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次