总部位于英国的猎头机构Intaso公司负责招聘首席信息安全官的主管Joe Head表示,在发布招聘首席信息安全官的广告中,要求应聘者会使用Python编程可能是对首席信息安全官职责的要求脱节的最离谱的一个例子。这个例子发生在几年前,人们可能猜测,这一要求可能是不关心或不了解业务的技术专家要求创建的,或者是对技术了解不够的商业人士要求创建的。
无论哪种情况,这种脱节都是真实存在的。然而,Head和其他专家表示,首席信息安全官在向首席执行官和董事会汇报时,具有业务技能是最重要的。然而,这并不意味着大多数首席信息安全官对技术一无所知,因为大多数都有技术背景。
在由高管咨询机构Heidrick&Struggles公司进行的2022年首席信息安全官调查中,大多数首席信息安全官都具有反映时代问题的功能性IT背景(例如,2022年,10%的首席信息安全官具有软件工程背景,并遵循美国政府关于保护软件供应链的指令)。该报告指出,大多数首席信息安全官都有金融服务行业的经验,而该行业的风险承受能力较低,在安全方面花费的费用更多。
调查还表明,只有一小部分首席信息安全官(主要在财富500强企业工作)由于兼具业务和技术职责而晋升为董事会成员。在调查中,三分之二以上的首席信息安全官为市值超过50亿美元的企业工作。因此,与其指责首席信息安全官缺乏IT技能,还不如为即将上任的技术人员培养业务技能。
期望的首席信息安全官人员、流程、技术技能组合可以有所不同
曾担任一家财富50强公司首席信息安全官的Renee Guttmann建议说,“对于首席信息安全官的技术要求没有一个标准的答案。我的建议是,首席信息安全官必须在新兴技术、供应商战略方面保持最新状态,并能够确保技术项目及其实施不会给企业带来更多风险。”
由于绝大多数的首席信息安全官都具有技术背景,他们需要学习适当的业务领导能力和与利益相关者、首席执行官、风险投资公司、外部投资者、监管机构打交道所需的高级沟通技巧。Head说,“技术技能很重要,但在职业生涯的早期,需要磨练自己的业务技能,这样你可以与各种各样的人沟通,并了解业务的运作方式。”
他表示,在网络安全方面不如美国成熟的英国,很难找到将技术和业务技能相结合的首席信息安全官,大多数首席信息安全官更类似于资深工程师。他建议求职者提高他们的业务技能,并补充说,“我看到的最成功的人是那些通过重返学校接受更多培训来提高业务技能的IT专业人士。”
其中的一个例子是Palo Alto Networks公司旗下Prisma Cloud公司首席安全官Bob West。他在20世纪80年代末就在花旗集团担任高级系统主管,在向同龄人学习了业务技能的价值之后,他在20世纪90年代获得了信息系统管理硕士学位,之后开始在摩根大通公司担任安全架构师。随后,他晋升为其Bank One零售集团的首席信息安全官,之后,他又成为了Fifth Third银行的首席信息安全官。
West表示,“技术技能对首席信息官来说很重要,但更重要的是要做一个可靠的领导者,并在领导团队中发挥作用。重要的是要了解业务发展方向,以便其安全战略应与业务发展保持适当的一致,建立和管理与领导团队其他成员的关系。如果不是各领域的技术专家,那么也需要知道该问谁。”
想成为首席信息安全官:找到冠军,成为冠军
West建议希望成为首席信息安全官的专业人士可以与业务部门以及IT团队的同行和领导者进行沟通。他以被他视为导师的企业领导者为例,这位老板是资深的技术领导者,但并不是安全专家。然而,他能够修复别人无法修复的安全程序。West把他的导师的成功归功于他擅长向企业领导层和董事会讲述故事。她说,“当他决定雇用我时,他对我说,‘你要知道如何讲一个好故事,还要了解你的听众。’与董事会成员交谈和与首席信息官或内部审计师交谈是不同的。”
Syntax2Semantics 公司顾问Barbara Filkins补充道,沟通始于积极倾听。她也有技术背景,并逐步可以与医疗服务提供商和企业高管进行沟通或咨询,与此同时获得了SANS技术学院的信息安全管理硕士学位。她说,倾听有助于更好地沟通,最重要的是,有助于了解需要在受保护的领域中解决什么问题,无论是医疗、航空还是水管理。Filkins在所有这些领域都工作过。
她解释说,“作为成功的首席信息安全官确实是一种平衡的行为,因为首席信息安全官必须了解技术方面的内容,这样他们才能与技术人员进行沟通,并获得他们的信任。他们还需要处理他们公司所面临的规划和业务问题,例如成本合理性、风险管理等事情。并不是每个技术熟练的人都能传达他们的专业知识,以及这些知识在哪些方面适合业务需求。”
首席信息安全官获得成功有多种路径
高管招聘机构Alta Associates公司的全球网络安全业务负责人Joyce Brocaglia表示,直到最近几年,首席信息安全官的角色才从后台职能提升为真正的管理层和业务推动者。即使这个职位和工作要求最终成熟,她也不相信现在或将来会有一个“一刀切”的首席信息安全官职位。她解释说,尽管头衔可能相同,但角色、职责、报告结构、员工数量、部门成熟度、支持文化和对成功的总体衡量都可能不同。
她解释说:“这绝不仅仅是因为他们没有正确的技术或管理技能这么简单。有时候,拥有强大技术背景的首席信息安全官会倾向于雇佣比该职位所需技术水平更高的人。其他时候,招聘经理和他们的同行或参与面试过程的关键利益相关者在职位描述和他们真正希望在该职位上实现的目标上并不一致,所以Alta Associates公司帮助他们找到所需的平衡。”
据《财富》杂志报道,真正的首席信息安全官很少能拿到100万美元甚至更多的薪酬。为了获得成功,Guttmann建议未来的首席信息安全官参加业务培训,积极参加行业会议和活动。
Guttmann补充说:“首席信息安全官如果能重视了解企业文化、对其业务的威胁、如何为产品试点制定适当的标准、实现的时间、系统依赖关系和长期运营需求,那就非常有价值。首席信息安全官能够将这些数据打包提供给利益相关者和高管,并获得支持和资金,这是值得称道的。”
