從內部進行變革:CISO 應避免的 3 個網路安全轉型陷阱
Posted: Wed Dec 04, 2024 10:44 am
無論是否獲得這些職位,首席資訊安全長 (CISO) 都存在著一定的恥辱:他們孤立地工作,對各個部門如何為組織的更大利益做出貢獻只有模糊的認識。他們實施控制時不考慮業務影響。他們專注於淨正值不明確的高科技指標。他們不善於傾聽。或者同理心。
說實話。這是否描述了您和您的團隊—哪怕只是一點點?或者更是如此?如果你承認確實如此,那是一件好事。解決問題的第一步是承認問題的存在。改進需要改變,有時會讓人感到不舒服,因為改變是從你開始的。
問責,然後行動。對於 CISO 及其團隊來說,這意味著轉變為無處不在的網路安全倡導者,然後帶領企業中的每個人轉變為網路安全的倡導者。
透過專注於投入、同理心和協調,首席資訊安全長將在這項變革中蓬勃發展。這將使首席資訊安全官能夠充分識別和理解整個組織中資訊不對稱的現象,然後消除它們,為最佳溝通和意識掃清道路,從而使轉變取得持久成功。
然而,有一些障礙阻礙了這些努力。以下是三個陷阱以及如何克服它們的陷阱。
將任務分配給錯誤的主題專家 (SME)
CISO 負責的範圍極為廣泛,並 法國電報手機號碼列表 且經常應對高壓力,但始終偏向自己採取行動。他們很好地領導了組織,但有時會錯過利用中小企業軟技能來優化解決方案的機會。作為領導者,CISO 必須始終認識到中小企業技能組合、中小企業與目標組織之間的共同價值觀以及這種合作的真正目標之間的平衡。
此解決方案需要全面提高安全性和企業之間的參與度,建立關係以確保為正確的問題分配合適的專家以提供正確的支援。
CISO 必須依靠周圍的人才能真正了解正在發生的事情。他們必須創造途徑,使正確的資訊在任何地方自由流動,並使這些知識被保存在組織和機構的記憶中。透過與外部團隊互動,CISO 建立聯繫,從而有效獲取資訊、正確應用人員以及對資訊做出回應。
廣告
未能將行動與組織和業務目標連結起來
如果 CISO 不將他們的工作與更廣泛的目標聯繫起來,非 IT 經理和員工幾乎不可能欣賞他們的行為的價值。 CISO知道為什麼需要對威脅進行某些控制和回應。但他們永遠不能假設團隊之外的人會這麼做。
為了克服這些潛在的信譽差距,我主動與財務、行銷、銷售和其他關鍵部門的負責人進行溝通,以了解他們的角色。因為我投入了時間——了解他們每天做什麼,以及他們的策略目標和挑戰——我贏得了他們對我自己和我的團隊的信任。他們相信我們將帶著對業務目標的理解來應對威脅、風險和補救措施。
執行時沒有產生廣泛影響
我敦促我的團隊成員不斷問自己:“我實施的解決方案是否有利於團隊以外的人?或者我只是想讓自己的生活變得更輕鬆?”顯然,我們尋求實現前者並避免後者。簡而言之,我們需要胸懷大志。我們的投資回報 (ROI) 成長與我們播種一次並在未來多個季節收穫勞動成果的能力直接相關。
拳擊手邁克·泰森曾說過:“每個人都有一個計劃,直到他們的嘴被打了一拳。”如果我們在安全孤島內工作——我們的知識、教條和執行都是孤立的——每個安全問題都像第一次出現在擂台上,我們總是會受到我們不知道如何處理的打擊。
但如果我們積極追求同理心和一致性作為我們核心價值的一部分,我們就會獲得一定程度的信任,從而在整個企業中建立路徑。隨後,我們可以消除這些資訊不對稱,提升整個組織的對話水平,並進行策略性領導。我們將舉起雙臂走出拳擊場——更堅強,更團結。
說實話。這是否描述了您和您的團隊—哪怕只是一點點?或者更是如此?如果你承認確實如此,那是一件好事。解決問題的第一步是承認問題的存在。改進需要改變,有時會讓人感到不舒服,因為改變是從你開始的。
問責,然後行動。對於 CISO 及其團隊來說,這意味著轉變為無處不在的網路安全倡導者,然後帶領企業中的每個人轉變為網路安全的倡導者。
透過專注於投入、同理心和協調,首席資訊安全長將在這項變革中蓬勃發展。這將使首席資訊安全官能夠充分識別和理解整個組織中資訊不對稱的現象,然後消除它們,為最佳溝通和意識掃清道路,從而使轉變取得持久成功。
然而,有一些障礙阻礙了這些努力。以下是三個陷阱以及如何克服它們的陷阱。
將任務分配給錯誤的主題專家 (SME)
CISO 負責的範圍極為廣泛,並 法國電報手機號碼列表 且經常應對高壓力,但始終偏向自己採取行動。他們很好地領導了組織,但有時會錯過利用中小企業軟技能來優化解決方案的機會。作為領導者,CISO 必須始終認識到中小企業技能組合、中小企業與目標組織之間的共同價值觀以及這種合作的真正目標之間的平衡。
此解決方案需要全面提高安全性和企業之間的參與度,建立關係以確保為正確的問題分配合適的專家以提供正確的支援。
CISO 必須依靠周圍的人才能真正了解正在發生的事情。他們必須創造途徑,使正確的資訊在任何地方自由流動,並使這些知識被保存在組織和機構的記憶中。透過與外部團隊互動,CISO 建立聯繫,從而有效獲取資訊、正確應用人員以及對資訊做出回應。
廣告
未能將行動與組織和業務目標連結起來
如果 CISO 不將他們的工作與更廣泛的目標聯繫起來,非 IT 經理和員工幾乎不可能欣賞他們的行為的價值。 CISO知道為什麼需要對威脅進行某些控制和回應。但他們永遠不能假設團隊之外的人會這麼做。
為了克服這些潛在的信譽差距,我主動與財務、行銷、銷售和其他關鍵部門的負責人進行溝通,以了解他們的角色。因為我投入了時間——了解他們每天做什麼,以及他們的策略目標和挑戰——我贏得了他們對我自己和我的團隊的信任。他們相信我們將帶著對業務目標的理解來應對威脅、風險和補救措施。
執行時沒有產生廣泛影響
我敦促我的團隊成員不斷問自己:“我實施的解決方案是否有利於團隊以外的人?或者我只是想讓自己的生活變得更輕鬆?”顯然,我們尋求實現前者並避免後者。簡而言之,我們需要胸懷大志。我們的投資回報 (ROI) 成長與我們播種一次並在未來多個季節收穫勞動成果的能力直接相關。
拳擊手邁克·泰森曾說過:“每個人都有一個計劃,直到他們的嘴被打了一拳。”如果我們在安全孤島內工作——我們的知識、教條和執行都是孤立的——每個安全問題都像第一次出現在擂台上,我們總是會受到我們不知道如何處理的打擊。
但如果我們積極追求同理心和一致性作為我們核心價值的一部分,我們就會獲得一定程度的信任,從而在整個企業中建立路徑。隨後,我們可以消除這些資訊不對稱,提升整個組織的對話水平,並進行策略性領導。我們將舉起雙臂走出拳擊場——更堅強,更團結。