首席信息安全官如何培养下一代网络安全领导者

随着网络风险成为董事会层面的重要议题，首席信息安全官（CISO）正在通过个性化辅导和企业级项目培训团队，不仅旨在提升防御能力，更要培养下一代领导者。

网络安全领导者容易陷入日常事务，专注于确保团队交付成果和管理风险，却忽略了培养这些专业人士成为下一代领导者的机会。但随着网络安全明确成为业务关键职能，更多CISO开始将注意力转向培养未来领导者。尽管许多CISO是通过在实践中学习成长起来的，但如今的领导者正采取更有意识且通常更个性化的方法来培训未来的领导梯队。

Silicon Valley Cyber创始人、前Splunk和Okta CISO Yassir Abousselham表示：“作为领导者，在职业生涯中某个阶段暂停并反思经验是健康的，但也要开始向同行请教他们的经验。”

Abousselham解释，他的领导经验大多来自在职学习、从错误中吸取教训以及观察什么有效、什么无效。他指出，虽然网络安全领域有许多技术培训项目，但很少专注于帮助网络安全专业人士转型为领导者。

但即使有经验，他强调培养他人领导技能是一门“艺术”。Abousselham表示，CISO需要有意识地培养团队中的领导力，并公平行事。“你需要确保培养和投资每个团队成员的成长，而不是偏袒某个特定成员。”

他解释说，这个过程从映射团队成员的优势和确定一系列技能的成长领域开始。他强调定期与团队成员进行一对一会议的重要性，这些会议应专注于职业规划和专业成长。

在一个案例中，他指导了一位在公开演讲方面有困难的领导者。Abousselham没有回避这个问题，而是将其作为个人挑战来帮助他成长，逐渐增加他的演讲机会，提供构建想法的框架，并指导他如何与听众沟通。

“部分方法是尝试突破极限，不接受‘不’作为答案，”他说。“如果你发现某项技能对领导者的成长极其重要，那么就将其作为优先事项。设定目标以确保他们在该技能上持续进步。”

构建领导力路径

虽然Abousselham倡导个性化的实践方法来培养人才，但其他CISO正在构建更正式的路径以规模化支持新兴领导者。对于PayPal CISO Shaun Khalfan等人来说，结构化发展一直是他职业生涯的一部分。他参加了国防部提供的正式领导力培训项目以及美国技术委员会运营的项目。他现在将这些见解应用于构建PayPal的网络人才管道，特别注重培养女性和中年职业领导者，并得到正式和非正式内部项目的支持。

Khalfan表示：“我们如何确保在整个组织中为女性领导者创造发展途径和机会……并指导她们如何发声。”

Khalfan认为，领导力发展必须反映现代网络安全的现实，即技术信誉已不再足够。他指出，安全领导者现在必须与业务的所有部分互动，包括董事会层面。

“我认为，特别是在网络安全领域，多年来一直被视为后台技术工程职能，直到最近CISO才成为业务风险领导者，”他说。“网络安全现在是大多数公司的前三风险之一，不再仅仅是工程或治理和风险。它是整个公司的风险，需要与业务合作伙伴密切合作……这必然需要适当的[领导力]培训。”

结构化发展实践

在保险经纪公司Brown & Brown等企业内部，也在进行结构化发展。CISO Barry Hensley支持一个内部队列项目，旨在早期识别和培养新兴领导者。“我们关注我们的——我称之为较新或较年轻的——员工，”他解释说。“如果你在第一、第二或第三年被认可具有[成为领导者的]潜力，你就会被纳入一个项目。”

据Hensley介绍，该项目汇集了20至30名队友组成的队列，他们每月与CEO会面，处理实际业务问题，并接受客座演讲者的指导。参与者还全年参加公司活动以进行专业发展。这补充了Brown & Brown的其他领导力发展项目，包括向员工开放报名的企业领导力发展项目和其他基于提名的项目。

领导与管理之别

作为前美国陆军军官，Hensley认为领导力发展不仅是为了建立连续性，也是组织健康的反映。“我期待有人接替我的那一天，”他说。“当你把自己从工作中解放出来时，你就知道自己是成功的。”

他认为，伟大的领导者是由他们周围的人以及在职业生涯早期拥有强大榜样塑造的。“我经常告诉人们，你应该被与你一起工作和为你工作的人邀请和启发，最终你应该基于拥有的榜样理解你想成为哪种类型的领导者以及你想与哪种类型的人共事。”

对Hensley来说，良好领导力和管理之间存在明显区别。他说，领导者“激励和鼓舞”，而经理专注于完成任务以提高效率和规模，通常不会花时间成为有效的领导者。

“经理通常不会被邀请参加队友生活中的特殊时刻，例如婚礼或毕业典礼，但如果他们是领导者，队友会因为他们真诚而荣幸地参与这些难忘的活动，”他说。

运行以人为本的项目

在Ouellette & Associates，领导力项目旨在构建技术的“人性面”，特别注重培养商业敏锐度、客户导向和协作等技能。

其中一个旗舰项目是网络安全领导力体验（CyberLX），这是一个为期九个月的项目，包括由组织外的CISO或高级网络领导者进行一对一指导。它还设有互动研讨会和一个顶石项目，以在实践中应用所学知识。

对Ouellette & Associates技术领导力实践执行董事Kath Marston来说，投资领导力发展的商业案例是明确的。她警告组织，如果未能培养员工，可能会失去他们，特别是在变化 constant 且技能集快速发展的行业。

“现在竞争很激烈。吸引人才是一回事。投资于你的人才并培养他们是另一回事，这是你在组织中保持 longevity 的方式，”她说。“许多组织吸引了人才，但因为不培养员工而失去了他们。技能集会变化，我们的世界不断变化，我们总是在创新，总是处理复杂的环境，所以我们必须为竞争优势做好准备。”

Marston认为，这种准备状态与领导力直接相关。“我们一直在寻找下一个网络安全或IT领导者成为下一个CISO或CIO，我们必须培养他们以达到目标。”

然而，即使善意的组织也可能难以足够快地培训网络专业人员。正如Ouellette & Associates领导力项目总监Jill Lundy解释的那样，挑战并不总是缺乏投资。“只是所需的时间未必被留出，他们无法像希望的那样快速让每个人都跟上速度。”

识别未来领导者

然而，根据Khalfan的说法，识别领导潜力不是关于线性清单，而是关于范围。“他们是否理解网络工程控制、代码扫描的比特和字节或构建安全产品如何转化为风险？”他问。“你能清晰表达吗？你能在技术语言和商业语言之间切换吗？”

Khalfan认为，优秀的CISO应该能够与工程师深入交流，同时也能领导董事会讨论。“我已经很久没有写代码了，”他说，“但我至少知道如何进行深入对话，也能与某人进行董事会讨论。”

Abousselham同意技术经验只是拼图的一部分。他更关注某人是否准备好并愿意承担领导角色。

“我们作为有机会在这些角色中服务的领导者的责任是分享，”Abousselham说。“是从我们繁忙的日子中抽出时间反思我们的经验，大规模公开分享，并帮助新一代。帮助下一代网络领导者是正确的做法。”