首席信息安全官CISOs已经明确听到一个信息,那就是他们不再只是“拒绝”的首席官员。然而,同时监事会和首席执行官CEO并不需要只会说“是”的人。
他们需要能够展示企业面临的网络风险的风险管理主管,这不仅需要用叙述方式表达,还要提供有意义的风险指标,并给出如何在不妨碍商业目标的情况下降低风险的建议。随著证券交易委员会SEC的网络安全规则的实施,企业在更为严格的监管环境中面临著更大的责任与风险披露要求,这一点现今比任何时候都更加明显。
狂飙梯子npvSC Media Perspectives栏目由一群可信赖的SC Media网络安全专家撰写。在这里阅读更多观点。
这一切皆在改变企业对首席安全高管的需求。企业再也无法仅依靠专注于技术的CISO,他们必须掌握整个组织的商业目标。企业需要能够衡量或追踪网络风险如何影响资产负债表的CISO。他们必须能够在快速披露网络事件时与同事合作,并用商业语言而非技术术语来框架网络安全的讨论。
作为一名多年来与CISO和商业领导者交流的网络安全投资者,我观察到对大型组织CISO的期望正在发生变化。以下是现代CISO必须拥有的三个最重要的特质:
特质描述商业领导能力与技术专业相结合CISO应该作为商业领导者,而非仅仅是技术专家。专注于预算和金融计算CISO需重视金融风险计算,以便做出正确的风险评估。出色的沟通和协作能力CISO应该具备高效沟通危机的能力,尤其在面对SEC报告要求时。不久前,Gartner对一批企业董事进行调查,结果惊人,88的人认为网络安全是商业风险,而不是技术问题。这显示出企业高层对网络安全的看法已经发生了重大变化,因此监事会和CEO需要能够以相同层次理解网络安全的CISO。
企业需要优先将CISO视为商业领导者。尽管CISO需要具备技术知识,但太多这类领导者以技术角度来管理网络安全,而不理解整体业务风险。那些无法在正确上下文中管理风险的CISO,将面临边缘化的风险。
想要从技术经理转型为商业风险领导者的CISO,必须将
