Deneen DeFiore 是一位名人堂的技术主管,目前担任美国联合航空公司的副总裁兼 CISO。她领导网络安全和数字风险组织,确保公司准备好预防、检测和应对不断变化的网络威胁。她还领导关于商业航空网络安全风险和提高整个全球航空生态系统的网络复原力的倡议。
当我们为最近一集的 Tech Whisperers 播客采访时,DeFiore 涵盖了很多内容,深入探讨了 CISO 角色的复杂性,管理日常工作所需的棘手的平衡行为,以及在这个行业取得成功所需的领导技能。之后,我们又花了一些时间专门讨论了她的沟通手册,以及她如何围绕网络及其对企业的价值进行叙述。
Dan Roberts:为什么 CISO 要有意识地 “讲述故事”?如果两个网络组织为他们的公司提供相同的价值,但其中一个善于讲故事,另一个不善于,这会有什么区别?
Deneen DeFiore:有能力讲述与你试图管理风险的业务成果有关的故事,这无疑是有价值的。如果你有两个组织正在保护公司并做他们需要做的事情,那个不能讲故事的组织几乎是在技术层面运作。他们正在做好事,并推动良好的结果,但如果他们不能将这些点与业务结果联系起来,他们就会停留在这个层面上的权利。他们将更难说“我们需要做 XYZ”,因为这将与“网络安全需要做什么”联系在一起。
另一方面,如果你正在创造一个价值故事,例如,“我们需要为我们的客户访问我们的系统提供更多的无缝体验”,那么你可以谈论一个新的客户身份平台并转移到一个密码列表,以及这将如何创造伟大的客户体验。你将开始在不同的层面上增加价值,扩大你的范围,以及在该组织的价值链上移动。
你可以成为最好的技术专家,对你设定的标准有最好的执行力,但如果没有人理解它们,或者理解它的重要性和为什么重要,你将停留在那里。那个讲故事的组织,它将继续以更大的速度和水平成长和发展。
Dan Roberts:在播客中,我们谈到了你在公司内部和外部服务的大量利益相关者。有些人可能有共同的利益,但对如何实现这一目标有不同的想法。其他人可能有相互竞争的利益。当涉及到沟通和信息传递时,你是如何解决这个问题的?
Deneen DeFiore:一个组织和另一个组织之间总是会有相互竞争的优先事项,或者对如何达到目标有不同的意见。我再次尝试做的是关注结果,因为如果你在结果上保持一致,,那么你们就可以真正开始解开围绕着脱节的问题。所以: 如果我们这样做,我们就会到达这里。如果我们那样做,我们可能会错过。而我们都想在这里,对吗?这也是我的一种方式。它专注于我们要解决的问题,创造这些共同的需求和目标,并让每个人都明白最终的状态是什么,而不是你要如何到达那里的细节。
我还确保我是促进者和协调者。这是关于让那些不在同一起跑线上的人,或在优先事项上可能有脱节的人,提出解决方案。我认为这也是成功的关键。
Dan Roberts:从行业法规和 TSA 指令到 SEC 和网络法规,你如何在这片复杂的海洋中提供清晰的信息?
Deneen DeFiore:你必须确保用人们能理解的语言和术语说话,即使你试图谈论复杂的法规。在正常的日常生活中,我不能像政策文件那样说话。我认为有时当我们试图解释 TSA 有这个新的 LSP 或什么的时候,我们只是在吐出这些缩写词和技术术语。确保注意你的语气和用词,这一点非常重要。使用普通的语言,这样你就可以解释正在发生什么,为什么会发生,以及我们要做什么。
因为如果你考虑到围绕一个事件或袭击发生的方式的复杂性,或一个真正复杂的运输安全管理局的规定,没有人希望你转述低级别的细节或政策文件。他们想了解的是,概括地说,它是什么?我们正在做什么?是否有任何我们需要关注的风险或问题?
Dan Roberts:我们为 CyberLX 领导力项目调查的 CISO 告诉我们,他们的一个重要优先事项是培养领导技能,重点是情商、影响力和沟通技巧。你如何向你的领导灌输这种营销思维,并在你的员工中发展这些沟通能力?
Deneen DeFiore:我不喜欢在会议前开会之类的,但对于那些重要的演讲或重要的会议或讨论,你真的想让人们加入,或者你需要某人作出任何形式的承诺,我与我的团队有一个预览。我们通过幻灯片或关键信息,我有点像魔鬼代言人,问:“好吧,我为什么在乎这个?”我们这样练习,在我们这样做一段时间后,他们就会明白,他们可以做到,我们再也不必在会前开会了。
总有一个问题是你想回答的。沟通的某些要素是相同的组成部分,你必须牢记这一点,知道如何去做。所以实践真的很重要。
Dan Roberts:你如何定义网络安全为企业创造的价值?
Deneen DeFiore:我认为价值可以从几个方面来定义。它是确保你满足你作为网络安全领导者的那些关键责任——没有重大的数据损失,没有与网络事件相关的停机或运营中断。
有这些类型的事情,但也有一些事情,你如何让企业做一些他们不能做的事情,因为你正在消除风险或减轻风险,或者你正在打破一个感知的障碍,所以你可以去经营一个市场,你以前不能,因为你有一个安全架构。或者你可以以一种被信任的方式进行合作或分享数据,而你以前是做不到的。从商业结果的角度看,这创造了价值。
你必须考虑定义价值,不仅从网络的角度,而且从客户或股东的角度,你使你的组织做什么。
Dan Roberts:你关注的衡量标准是什么?
Deneen DeFiore:这是不断发展的,我仍在与我的团队一起工作,但指标的操作方面是围绕着我们正在制定的政策和标准,我们在技术服务方面的覆盖率如何,然后他们的表现如何。因此,这是一种覆盖范围和有效性类型的度量观。
当然,我们希望所有外部端点都在我们的网络应用程序防火墙后面,即覆盖率指标,但我们实际阻止了多少威胁?它们是什么?那么它们是否在应用程序安全标准中?为什么人们仍在使用损坏的身份验证或不正确的会话管理或其他什么东西——我们正在努力结束这一循环,确保我们不仅仅是因为我们有一个政策而说我们很好,而且它有效吗?然后在没有的地方,了解我们的差距在哪里。这是一个连续的循环。我们试图在我们的网络计划中围绕核心能力制定指标和 KPI 的基线。
Dan Roberts:这可能不是一个你跟踪的指标,但我必须想象,一旦你在叙事方面做得很好,你就会被视为一个战略伙伴,并开始被邀请从头参与项目。
Deneen DeFiore:肯定是这样。我喜欢别人把这些点联系起来,当他们来找我说,“我认为我们应该考虑这个问题”。这是我衡量成功的标准。我已经完成了我的工作。
来源:www.cio.com
