随着首席信息安全官发挥越来越重要的作用,担负的责任也越来越大,许多网络安全专业人士需要了解他们是否具备成功胜任这一角色的条件。
技术专长和知识经验显然是巨大的资产。优秀的首席信息安全官可以评估和选择安全技术,与技术人员沟通,并就安全基础设施和架构方面做出关键决策。大多数首席信息安全官具有领导和管理团队的经验,与企业内部的利益相关者建立了紧密关系,并应对过网络安全方面的危机。他们知道如何快速做出决定并推动企业变革。
然而,很多人并不具备成功的首席信息安全官的一些品质和能力。以下是表明他们是否胜任首席信息安全官的5种方法。
1、规避风险
根据定义,首席信息安全官的职责是管理网络风险。这包括评估和管理企业面临的风险,并根据这些评估做出选择。如果网络安全专业人士不能做出基于风险的决策,或者很难弄清楚如何优先处理威胁,尤其是在压力很大的情况下,那么他就不会成为一名成功的首席信息安全官。如果他们有避免为自己的决定和行动承担责任的倾向,也是如此。
Blackcloak公司创始人兼首席执行官Chris Pierson表示,首席信息安全官的角色不适合那些不愿为自己可能倡导或实施的行动承担责任的人。Pierson说:“如果网络安全专业人员从CYA、对抗或风险规避的角度来处理,那么可能会降低与他人合作实现联合任务或目标的能力。而成为一个不能容忍或不能承担风险的人,可能会影响其有效运作的能力,并使其他人不愿与他合作。”
首席信息安全官当然不适合那些害怕在危险时刻做出艰难决定的人。
2、难以适应变化
首席信息安全官主要负责领导和管理安全专业人员团队。他需要善于管理人员并与他人有效沟通,这意味着愿意倾听和考虑他人的反馈。Pierson表示,“如果网络安全专业人员是一位总是希望获胜的人,不能与不同的观点或优先事项进行谈判或达成一致,那么就不适合成为首席信息安全官。”
另一个危险信号是,人们普遍不愿意授权给其他安全负责人,因为他们认为首席信息安全官比周围的人更了解正在发生的事情。Delinea公司的首席信息官Stan Black表示,如果网络安全专业人员不愿意雇佣一些更聪明的人,那么最好放弃成为首席信息安全官的想法,因为当他所在的公司被黑客攻击时,可能遭到更多的指责和社会关注。
Bugcrowd公司的首席信息安全官Nicholas McKenzie表示,那些难以适应变化的人需要避免担任首席信息安全官。首席信息安全官需要灵活应变,并根据不断变化的业务需求和网络威胁环境调整策略。如果是那种固执地实施会破坏流程或影响用户或客户体验措施的人,那么他就会知道自己不适合担任首席信息安全官。
3、不理解业务需求和目标
如果网络安全专业人员缺乏对业务需求和目标的深刻理解,无法开发与企业目标一致的安全策略,那么就不适合担任首席信息安全官。如果开发和实现企业范围的安全流程以及管理预算的想法让他感到不安,那么最好远离首席信息安全官这一角色。网络安全领导者应该很好地理解其特定行业的法规和合规性要求,以及相关的数据保护和隐私法律。
McKenzie表示,如果网络安全专业人员不能理解企业的业务语言、业务流程以及安全控制能够或可能进一步发挥作用的地方,那么他就没有资格成为首席信息安全官。不能或不愿意定期与供应商交谈的网络安全专业人员难以担任首席信息安全官。Pierson说:“如果不想与供应商谈论领先的技术或新方法,就不要担任这一职位,因为这是首席信息安全官工作的关键部分。”
归根结底,如果网络安全专业人员是那种倾向于将安全团队的目标置于企业目标之上的人,那么并不适合担任首席信息安全官。Pierson说,“作为团队合作者,这意味着首席信息安全官明白自己在公司的角色是保护客户、员工和公司的数据。但这一切都需要符合其公司的目标。”
4、难以争取更多的资金
成为首席信息安全官意味着能够向企业管理层和首席财务官推销其安全理念。有时,首席信息安全官需要能够清楚地说明和辩护增加网络安全预算或在项目上增加支出的理由。如果他没有能力在需要的时候提出令人信服的理由来争取更多的资金,那么就很难成为首席信息安全官。Stan Black表示,如果不是那种能找到令人信服的理由把资金花费在不能带来直接收入的网络安全的人,那么说明他并不适合担任首席信息安全官。
金融服务行业的安全高管Larry Larsen曾担任过各种网络安全领导职位。他表示,通常情况下,成为成功的首席安全信息官的最大不利因素之一是过度关注获得预算。那些认为首席安全信息官能够得到了他们所需的所有资金的人,很可能对现实没有准备。Larsen说:“如果他不能自信地去董事会为其提议的支出进行辩护,以抵御日益复杂的网络威胁,而且不能得到他们的支持和理解,那么他可能不适合担任首席安全信息官。”
5、过于技术化
技术和技能对于良好的网络安全至关重要。但是过于技术化是一个缺点,因为它表明作为首席安全信息官,其采用的方法可能倾向于使用技术应对面临的每个安全挑战。现实情况是,作为一个安全领导者,首席安全信息官的角色实际上是管理网络风险,同时使其公司继续实现业务目标。
McKenzie说:“那些认为采用某种工具或实现审计或合规控制清单是解决所有安全问题的灵丹妙药的人,并不胜任首席安全信息官。如果他认为网络安全是非此即彼的事项,或者如果无法调整自己的思维和战略,以跟上不断变化的威胁格局和业务方向,那么他并不胜任首席安全信息官。”
Larsen表示,从其他方面来看,过于注重技术的首席安全信息官是不合格的。那些认为首席安全信息官的职责就是确保企业拥有最新的下一代防火墙、自适应端点检测和响应工具以及其他技术的人,往往无法理解网络攻击者的行为和动机。
他说,“作为首席安全信息官,需要了解网络攻击者到底想要什么?为什么要进行攻击?他们和谁合作?如果网络攻击者想在遭到网络威胁之前采取行动,就必须考虑这些因素以及其他许多变量,更不用说在威胁发生时做出的反应了。”
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/131720.html<
