信息安全领导者的成功之道
关键要点
- 成功的安全领导者需要能够与业务团队有效沟通,同时激励团队成员。
- 理解企业的安全文化与风险承受能力至关重要。
- 内部与外部的合作关系能够增强安全策略的执行和效果。
- 安全领导者必须掌握非技术性的沟通技巧,以便赢得高层的支持。
Corey Kaemming 目前担任农业供应链公司 The Andersons的信息安全高级经理,并且是网络安全协作组织底特律分会的联合主席。他拥有托莱多大学的计算机科学学士学位和科罗拉多技术大学的网络安全管理硕士学位,同时也是企业网络安全领导力项目的近期毕业生。
成功的安全领导者具备的特点
作为信息安全领导者,您要具备与业务有效合作的能力,既能推销安全策略,又能激励团队成员。您可能早上与高管进行沟通,下午则需要与团队讨论战术策略。这意味着不仅要能处理技术和商务问题,还需为团队提供方向与优先级。有效的合作活动至关重要,同时要将合适的资源(人、流程和技术)放在正确的位置,从而促进成长与成熟。
每一位安全领导者都面临日常的紧急任务,同时还需提升程序的有效性。这需要了解真正的商业风险,并在安全优先级与运营影响之间找到平衡。每天的决定可能都会影响公司的整体风险,而这些决定在业务眼中未必总是能获得认可。判断公司的整体风险承受能力将帮助您做出更为明智的决策。
当今安全领导者应关注的内部和外部优先事项
安全领导者应了解业务文化,并使其安全战略与业务战略对齐。与业务单元领导进行风险承受能力和偏好方面的沟通是必不可少的,同时也要倡导开放的安全方法论。内部资源需要明白,安全部是为了支持和保护他们现代化和增长的努力,促进安全与业务之间的开放沟通。安全领导者还应与业务中的关键主题专家合作,成为安全的倡导者。将成熟度与安全框架对齐也是必须的,这将有助于领导者向董事会报告并推动战术资源的关注与优先级。
从外部来看,尽管我们在业务方面与行业内的其他公司存在竞争,但我们都面临着相同的网络威胁。与同行及其他行业的互动交流,共享信息是必不可少的。曾经有人经历过您现在面对的情况,并能提供真实的建议。与同行的交流不仅可以交换想法,也能够在压力较大的角色中相互支持。我参与了多个合作组织,如网络安全协作组织、Infragard、ISACA和当地网络活动。
我认为,与直接供应商和您依赖的安全领导者建立良好关系也是关键。从双方理解痛点和未来规划的合作关系,可以共同支持合作成功,这将反映在服务的增长上。
除了与同行合作外,与关键的服务供应商合作同样有益。这些供应商能够提供宝贵的情报,并在最近的观察中,积极主动地向客户提供威胁情报。这还包括其他机构,如
CISA、ICS-Cert 和 FBI 等。
如何与企业同事合作以赢得高管和董事会的支持?
建立与业务单元领导的信任是关键,能够用相关的商业术语有效沟通安全风险至关重要。领导者必须理解,大多数我们都来自技术角色,技术语言对我们来说是自然而然的。出色的网络安全领导者应能通过比喻、实际案例等多种方法进行转述,并能够解释原因。我在职业生涯中发现,解释原因的能力是成功的关键,同时在“销售”安全时,也需要具备谈判技巧。对于高管领导来说,保持一致的信息以明确关键优先级、框架下的成熟度、当前风险,以及项目进度报告尤为重要。
对于其他员工,需努力识别组织内的安全倡导者,同时确保必要的政策和标准得以实施。
安全领导者在大型或全球企业成功所需的非技术培训
您是一个销售员,对吗?在我的角色中,销售安全是至关重要的,您必须说明为何要实施新的技术或控制措施。
这实际上取决于您所处的背景和行业。有许