现代CISO必备的六大技能
现代首席信息安全官(CISO)的角色需要多样且独特的技能组合
首席信息安全官(CISO)的角色非常复杂,而且就像网络安全本身一样,正在快速变化。在许多方面,CISO的工作已经与过去截然不同;86%的CISO表示,自他们开始工作以来,他们的角色发生了如此大的变化,几乎变成了一个不同的职位。曾经这是一个深度技术性和以安全功能为中心的学科,而现代安全领导者必须提供更多的东西。网络安全现在对业务成功至关重要——CISO的责任不仅是确保数据和系统受到保护,免受不断变化的威胁,还要确保安全的设计、构建和实施是为了支持业务发展。
这需要一个既多样又独特的技能组合,虽然某些具体的复杂性可能因角色而异。Cyber Security Hub与几位CISO进行了交流,他们都认为以下六项技能对成功至关重要。
CISO必须具备商业敏锐度和理解力
十年前,商业敏锐度和理解力可能还不在CISO技能要求列表的前列,但现在它们已成为工作的组成部分。在最近的一项Cyber Security Hub调查中,43%的受访者将商业敏锐度评为当今CISO最重要的技能。“现代CISO首先需要成为业务领导者,展示其活动和计划如何为业务带来超越安全职责范围的价值,“数字银行Kroo的CISO Guillaume Ehny表示。
安全行业长期以来一直呼吁安全领导者不应被视为真正的高管成员,在董事会层面缺乏代表性。这种情况终于开始改变——例如,美国证券交易委员会(SEC)的新规则要求董事会职位具备网络安全专业知识,缺乏专业知识可能会受到SEC和/或股东的审查。
“当前对CISO的普遍看法是,他们缺乏董事会准备度,被视为技术人员,不适合进行业务对话,“Ehny说。他补充说,现代CISO需要在这里通过展示对业务的理解来区分自己,包括其目标、挑战、行业和竞争对手,超越严格的安全范围。“高管成员被期望理解、挑战并为业务的任何领域做出贡献,即使这不直接属于他们的职责范围,现代CISO应该让自己处于能够这样做的位置。”
他补充说,未能实现这一点的CISO将继续被视为技术人员,向高管汇报,并且他们的言论会被翻译并可能被淡化。National Highways的CISO Keith Price同意这一观点,并警告说,没有扎实的商业敏锐度,CISO将遭受执行委员会和董事会的"很少或没有接受”。为了在这方面发展技能,他建议其他CISO请业务同行,如首席财务官(CFO)和首席运营官(COO)担任导师,“参加商业课程,即使只是为期一天的模块”,并自愿参与非安全项目。
CISO必须是有效的沟通者和故事讲述者
现代CISO的另一项关键技能是能够有效且易于理解地沟通一个"技术性"主题。“CISO制定并领导对组织的所有方面都有影响的复杂安全计划。为了有效实施安全,他们必须能够与所有公司部门和人员层级进行沟通,“ProcessUnity的CISO Dave Stapleton说。他补充说,这种沟通包括从激励和指导自己的团队,到在整个组织中培养安全意识文化,再到有效管理与安全相关的危机。
全球数字资产交易所Kraken的CSO Nick Percoco表示,有效的领导者会根据每个受众调整沟通方式以获得所需的支持,CISO也必须效仿。“例如,CISO将在高管层中使用说服力来争取资源,但也会部署信息性和指导性语言来教育员工企业面临的网络风险。”
Ehny说,CISO工作的至少50%是与各种群体沟通想法、机会、担忧和计划。“我们在组织内是真正的销售人员,而安全通常不在产品或交付的关键路径上。“他补充说,如果做不到这一点,可能会强化安全部门是"否定"部门的看法,并缩小其影响力——让安全部门在业务上处于追赶状态。
Ehny表示,有许多方法可以发展和提高沟通技巧,并且所有这些方法都可以并行使用。“最好的组合始终是理论知识和实践经验与经验的结合,导师指导是一个明显的选择。可以是与经验丰富的CISO或非安全高管合作,他们会为情况提供不同的视角。“他补充说,另一种锻炼这些软技能的方法是通过消费相关文献,如书籍、杂志、文章、播客、网络研讨会和关于销售技巧、情商、业务管理和行业趋势的YouTube频道。
CISO必须具备技术能力和知识
Stapleton说,虽然在大多数情况下,CISO不需要成为安全团队中技术最精通的成员,但为了做出明智的决策、有效指导团队并保持可信度,CISO必须了解当前的网络安全威胁、防御机制和新兴技术。他补充说,CISO经常直接与可能精通各种技术领域的CIO和CTO接触,为了有效合作,CISO至少需要对所讨论的技术有操作上的熟悉度。
“如果你没有那种技术技能,你就没有准备好保卫你的组织——你会在会议上与人交谈时迷失方向,“网络安全公司Centripetal的CISO Jess Parnell同意道。“网络中的一切都在着火,你需要知道如何分类。保护宝贵的公司资产不是闹着玩的。拥有适合这个角色的正确技能和背景至关重要,否则你会让公司面临风险。”
Stapleton说,未充分利用现有的安全解决方案、未识别和处理的技术风险以及在持续的安全事件中缺乏有效性,都是未能拥有足够技术能力和知识的潜在后果。
“这是在个人担任CISO角色后很难获得的技能。想要提高技术能力的CISO应该寻找向员工学习的机会。自愿与安全工程师(例如)合作,在工作中学习。其他选择可能包括在线培训、安全认证课程和当地大学提供的技术训练营,“Stapleton继续说道。
CISO必须具备学习心态
Percoco说,由于网络风险和攻击向量不断变化,现代CISO必须具备持续学习的心态,以便能够适应新的发展。“任何优秀的CISO都会花时间寻求理解当前的已知差距如何与不断变化的威胁形势相交,以及如何不断改善组织的安全状况以减轻攻击。“他补充说,网络安全是一场持续的"猫鼠游戏”,因此虽然保持领先对于成功至关重要,但对组织当前能力(或缺乏能力)的强烈意识对于保持专注于最重要的事情至关重要。
MongoDB的CISO Lena Smart表示,这也指学习并理解影响CISO自身及其组织的许多当前和即将出台的网络安全法规和规则。她警告说,未能这样做可能导致罚款和失去客户。
例如,SEC最近宣布对软件公司SolarWinds Corporation及其CISO Timothy G. Brown提起诉讼,指控其与据称已知的网络安全风险和漏洞相关的内部控制失败。SEC寻求永久禁令、返还违法所得加判前利息、民事处罚以及对Brown的高管和董事禁令。
“与你的法律部门密切合作,确保你对问题、所需的控制措施以及每个实体的具体要求有清晰的了解,“Smart说。
CISO必须能够优先排序和平衡成本
安全团队被视为成本中心,经常发现自己被迫在低于最优预算的情况下运作。Stapleton说,优先排序确保即使在运行精简计划时,CISO也能与业务目标保持一致,有效分配资源,解决最关键的风险并满足内部和外部利益相关者的期望。他补充说,在这方面出错可能导致安全计划中浪费时间和精力、预算减少、对业务产生不必要的负面影响以及合规失败。
“你是在防止坏事发生,但有些东西你无法总是衡量它可能花费多少,“Parnell说。“你可以评估,但你永远不知道实际成本。没有发生的事情也很难转化为切实的节省,这最终会影响你的预算。“CISO需要能够用有限的预算获得真正的安全,知道他们必须每次都做对。“如果你错过一件事,你就会被解雇。”
Stapleton说,安全计划优先排序的一个关键要素是与业务保持一致。“提高这项技能的第一步是理解你组织的成功标准。将SWOT分析(优势、劣势、机会和威胁)视为一个良好的起点。有了这些知识,CISO就有能力将其计划的优先事项与公司的优先事项对齐。”
CISO必须冷静且意志坚定
最后,Percoco说,现代CISO必须展示冷静和"钢铁般的意志”,同时果断地执行他们预定的策略。“危机管理在这个职位中很常见,因此能够保持冷静和镇定的态度怎么强调都不为过。“组织中的其他人在高压事件响应场景中会向CISO寻求指导。“因此,CISO在部署响应策略时必须在其领导方法中散发出信心。”
Parnell同意这一观点,并补充说耐心和冷静是CISO可以拥有的一些最重要的软技能。“对你的员工放松一点;推动到他们不会离开你的程度,但在事情平静时给他们休息时间,这样他们可以喘口气。”