每个首席信息安全官都必须面对一个冷酷的事实:董事会或高管团队的会议上没有安排他的座位。有些组织中,这个新角色还没有得到高管层的关注,或者,组织结构会阻挠其获得一席之地。如果他向首席信息官或首席技术官汇报工作,并且受到等级制度的压制,那么就会出现其他复杂情况。比如,他的信息在传入指挥链时会变得模糊。
首席信息安全官无法站在组织的最高处,这可能令人沮丧,但他们仍对其组织及安全有着重大影响。他们参与执行或董事会时,扮演了译员的角色,要像商人一样说话,并保持传达的信息简短而吸引人。
要是作为一名高管,我会很乐意与团队成员会面,并且他希望通过我来表达想法。要是这些想法很有趣的话,我会先等上几周,再反馈给员工。我们进行公开对话,并建立融洽关系,在谈话的过程中,也许他又会提出一些有深度的想法,我会将这些提交董事会,或者邀请他们提出建议。
当然,人人都想在谈判桌上拥有一个固定的席位。但如果这不现实的话,那就努力让自己,或者,至少让自己的想法参与董事会会议,因为没有受到多次邀请并不意味着就没有影响力。
建立相关信息
首席信息安全官需要与时间宝贵的高管会面,并将信息传达给他们。安全官本身了解网络安全投资的重要性,接下来就要站在领导的立场上,解释这相对他们而言的重要意义。
这就需要安全官们做到:第一步,研究高管团队、董事会以及团队人员。这个非常重要,尤其是对于新上任的安全官而言,因为执行和董事会结构可能会因职责的不同而变化很大。
第二步,查看执行团队和董事会的优先事项,并从长远考虑其效应,如创造长期价值,增加弹性和促进利益相关者的参与。
第三步,挖掘了解更多团队信息。团队中是否有网络专家或盟友?有人在信息技术公司工作吗?安全官需要发挥创意,找到自身信息的共鸣。例如,了解一下高管或董事会成员,他们是否在上个工作点遭遇数据泄露或勒索软件的攻击?
这样一来,安全官就对执行团队和董事有了透彻了解,并且清楚他们做出选择的动因,然后修改信息,与他们的目标和优先事项相对应。不过要确保维护网络安全的方法符合这些优先事项,并将方法的优点与这些目标联系起来。比如,网络安全投资如何创造公司的长期价值、增加弹性和利益相关者参与度。
还有很重要的一点,安全官要将企业的安全漏洞与实际相联系。他们查找与业务或具体情况相关的新闻,并解释网络投资如何影响了公司成为下一个头条。安全官利用现实生活中的环境来阐述观点,使用可量化指标和美元数字详细说明潜在影响,并将其与基本网络安全项目和计划的成本进行比较。可惜的是,网络犯罪新闻并不在少数,不乏有一些与他们业务相关的新闻。
假设安全官为学校系统提供服务,想要将网络钓鱼攻击的风险降至最低。他需要为董事会策划文章,突出学区是最大的勒索目标,并计算潜在影响:学校平均支付50000美元的勒索费。员工是系统中最重要的一环,也可成为最大的漏洞,但可以通过一些措施来降低风险:培训员工检测可疑电子邮件、模拟网络钓鱼的电子邮件,让员工肩负起保证良好网络安全卫生的责任。
当然,在24小时的新闻周期中,相关性会发生变化。Facebook有5.33亿用户遭遇了数据泄露,可能第二天,美国科洛尼尔管道公司就需要支付440万美元的赎金。因此,安全官们需要时刻关注行业新闻,了解最新技术、网络安全威胁以及安全监管和法规遵从性问题。
扮演译员的角色
就算提高管理层领导和董事会成员的IT级别,他们也无法成为高级管理人员。换句话说,他们不具备安全官的IT专业水平,可能不理解专业术语和行业特定术语。安全信息官只要一谈论数据过滤、高级长期威胁(APT)和威胁指标(IOC)的相关话题,董事会成员就会开始拿出手机以搜索信息。
安全官必须扮演一名译员的角色:在执行或董事会上发言时,他们要像商人一样说话,并保持信息简短和吸引人。管理层领导和董事会成员不必急于成为网络安全专家,同样地,就算没有获得工商管理硕士学位,安全官也拥有与他们沟通的机会。
旅行就需要入乡随俗。游客要去中国旅行的话,就要尝试说汉语,不然就没法正常交流。他不需要说一口流利的普通话,只要会说“是”、“谢谢”和“我要买单”。而在国外旅行时,能学会更多的外语,也更容易亲近当地人,从而获得更好的体验。同样的逻辑也适用于董事会,要是信息安全官说一些专业术语,执行董事或董事会成员就没法听下去了。
首席信息安全官的工作性质很复杂,他不仅要跟上快速变化的技术、降低不断变化的风险和设计相应的计划,还要从网络安全专家过渡为说客和译员。这就需要安全官直接与董事会成员沟通相关信息,正确看待网络安全威胁,努力跟董事会靠拢。这确实很难,可一旦成功的话,他们不仅能在工作中表现出色,所在的企业也受益匪浅。
本文来自投稿,不代表前途科技立场,如若转载,请注明出处:https://accesspath.com/insight/5692477/