現今的資訊安全長 (CISO) 所需要的技能組合,和過去的網路安全主管截然不同;因為他們對企業成功經營愈來愈加重要。
文/Michael Hill‧譯/羅耀宗
相較於執行長 (CEO) 、營運長 (COO) 或財務長 (CFO) 等其他設立較久的長字級企業職位,資訊安全長 (CISO) 顯得較不成熟,但在短短幾年內卻有著顯著發展。今天的資訊安全長必須不同於過去的傳統資訊安全主管,這反映出兩件事:資料在企業的日常營運中扮演著要緊且日益吃重的角色,以及企業對資訊安全職能必須確保資料安全且可操作的期望愈來愈高。
Randstad North America 資訊安全長 Tami Hudson 表示:「以前資訊安全長的職務只著重在技術上,而技術層面就算將來仍會是基本要求。但是,在我們日益數位化和資料驅動的環境中,資訊安全長的職務在技術與業務的交匯處,提供了獨特的機會,能藉建立普遍的網路適應力,影響從董事會到收發室,企業的每一個部分。當一切都數位化,一切都處於危險之中。」
[ 2022年度CIO大調查報告下載 ]
今天,企業經營要成功,和資訊安全的成功直接息息相關。因此,現代CISO需要具備一套獨特的素質,使有效的資料安全策略、流程、實務,與各種業務需求及要求保持一致。
在全球資訊安全各個領域工作的專業人士表示,今天的資訊安長全的需要五個最重要的素質,並針對如何養成和維持這些技能提出建議。
現代的資訊安全長講的是商業用語
CyberGRX 資訊安全長 Dave Stapleton 解釋說,在網路安全的早期,企業期望最初一批資訊安全長執行高度技術性且通常未公開的行動,以企業組織。而時至今日,資訊安全長不能只是屬於企業組織的技術專家。他們同樣需要了解公司的使命、說明他們的工作如何支持那個使命、向領導階層提供切實可行的洞見,並在整個組織營造以安全為重的文化。
Stapleton補充說:「如果資訊安全長沒有完全了解企業的使命,或者不能有效地傳達安全對那個使命的衝擊,那麼至少他們的效能會打上折扣。某些情境中,無法溝通甚至會使資訊安全長或領導階層做出不良的決策,對組織的安全直接造成負面的影響。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
對資訊安全長來說,要發展以業務為重的溝通技巧,Stapleton認為持續進行的實務是關鍵。遺憾的是,如果資訊安全長是在不求他們投入或不重視他們意見的組織服務,這可能很困難。話雖如此,每位資訊安全長都應該能夠找機會向領導階層傳達自己的訊息。這些機會的每一個都有意義,而且可能開啟以後的接觸大門。Stapleton建議資訊安全長將閱讀範圍擴大到技術性部落格文章和安全新聞之外,另外增加《華爾街日報》 (Wall Street Journal) ,《富比世》 (Forbes) 或《 彭博社》 (Bloomberg) 等商業新聞來源 。
現代的資訊安全長是協同工作推動者
現今的資訊安全長也必須是熟練的部門間協作者,能夠建立和維護整個企業組織的關係。這一點與能說商業用語是相關連的。國際資訊安全檢定與認證機構CREST總裁 Ian Glover 表示:「網路安全不是獨立運作的課題。想讓網路安全發揮功能,需要企業其他部門的支持與更多專業知識,包括I與和通訊、內部稽查、人力資源、行銷,甚至企業文化轉型計畫。」
Glover補充說,資訊安全長需要確認可以獲得支持的企業領域,以及基於信任、同理心和目的明確,才能努力建立協作關係。
Chime Group 資訊安全長 Mark Nicholls 同意此一說法,強調企業組織人員在任何安全策略中的重要性。整家企業如果缺乏強有力的關係,安全職能便很難發揮效能。包括資訊安全長在內,對資訊安全團隊所有成員來說,有件很重要的事,就是花時間和各個業務單位一起了解它們的目標,以及資訊安全職能能夠如何幫助他們達成目標。
Nicholls說,不諉過塞責的企業文化也會促進成功並獎勵良好的行為,將有助於建立這種關係。和業務單位建立彼此信任的關係之後,業務單位會向CISO尋求協助,並在專案執行之初,就請他們儘早參與,根據設計的原則促進安全,而不是亡羊補牢,試著東修西補。
現代的資訊安全長在感性中帶有理性
ClubCISO全球社群主席 Stephen Khan 表示,現今的資訊安全長,需要在感性中帶有理性,並解釋這種素質應該擴展到對他人的同理心和對本身的自我意識。Khan說:「在經常處於高壓的環境中領導一支團隊,表示首要關切的事情之一是團隊成員的福祉,而且務必支持他們。對成員們所擔心的事情,要表現出同理心和理解,在這方面才會有幫助,並且確保我們真正在意和融入。這會帶來更為正面的結果。」
Kahn補充說,同樣的,現代的資訊安全主管認知和理解本身的偏見與知識缺口,也至關重要。了解了這些之後,可以確保企業能夠建立一支多元化、富包容性的團隊,而且確保招聘的新人,能夠互補現有的知識和支持原來的弱點領域。此外,由於現代資訊安全長職務承受相當大的壓力,因此能夠自我照護,和找到生活∕家庭∕自我∕工作之間的平衡,對避免身心交瘁問題極其重要。這件事困擾著全球各地的資訊安全領域主管,而媒體報導已相當廣泛。
現代的資訊安全長具有策略重心
總部位於美國華盛頓州的網路風險諮詢公司 Good Harbor 總裁 Emilian Papadopoulos 說,策略重心是現代資訊安全長最被人低估的重要素質之一。資訊安全長會受到來自四面八方的雜訊與分心干擾:最新的TTP(戰術、技術、程序)、不斷更新的技術解決方案、商業環境的變化,以及高階主管、監管機構和顧客排山倒海而來的問題。盡管其他的高階主管可能從某一方面撤退,重新回到策略重心,但大多數資訊安全長因為職務的關係,將近一周七天,一天24小時,都處於與策略不可分的狀態。
Papadopoulos補充說,企業關注的是策略上的優先要務,而不是回應進來的資訊,因此成為當今資訊安全長普遍且值得注意的挑戰。傑出的資訊安全長會在以下各方面表現優異:透過簡明且文件收錄完整的策略或優先要務清單運作;促使最重要的利害關係人同意並分攤優先要務該盡的責任,使它們能由外部驅動,而不只是資訊安全長本身的優先要務;以及花時間和其他的資訊安全長展開同行間的對話,專注於本身最重要的問題,而不是回應其他人的最重要問題。
現代的資訊安全長堅持不懈
最後,現今的資訊安全長需要具備堅持不懈的特性,才能在複雜、多面向的資訊安全領域,繼續奮力更上一層樓。Stapleton說:「網路安全通常沒有快速見效的解決方案。因此,資訊安全長擁有長遠的眼光十分必要。這些變化無論有多明智和可支持,都需要投入時間和資源。這些資源會使人的注意力,轉移到通常比較容易理解和更直接支持正常業務營運的其他他活動上。」
Stapleton補充說,資訊安全長必須就如何改進網路安全,提出前後一致的訊息。他們不可能第一次詢問就得到「沒問題」的答案。因此,資訊安全長必須能在聽到「沒辦法」之後,繼續提出爭取支持和資金的理由。
Kahn同意這個說法。有些時候,會有來自利害關係人的壓力。要對職能大步邁進的方向保持信心,並且留意改變方向所需的理性和努力。保持專注將有助於團隊取得成功,而不是太常因利害關係人一時的情緒而改變方向,導致團隊精疲力盡。
(本文授權非營利轉載,請註明出處:CIO Taiwan)