联合航空CISO Deneen DeFiore：提升网络对业务的价值

身为名人堂技术主管，Deneen DeFiore目前担任联合航空公司副总裁兼首席信息安全官（CISO），领导公司网络安全和数字风险组织，确保企业为不断变化的网络威胁做好预防、检测和应对准备。她还同时领导商业航空网络的安全风险管理、提高全球航空生态系统网络弹性等工作。

在本次对话中，DeFiore涵盖到诸多领域，深入探讨了CISO角色的复杂性、管理日常事务中的种种棘手权衡，以及在行业中取得成功所需要的领导技能。之后，我们又进一步交流了她的沟通思路，如何讲好网络安全故事和对业务的价值。为保证篇幅和表达顺畅，以下内容经过编辑。

主持人：CISO为什么一定要善于讲故事？如果两个网络部门都能给公司创造相同的价值，一个擅长讲故事但另一个不太擅长，会有什么区别？

Deneen DeFiore: 能讲好跟业务成果相关的故事，传递自己围绕风险管理做出的努力，绝对是非常有价值的能力。如果有两个部门都在保护企业、做好本职工作，那么讲不好故事的部门在技术层面几乎无法运作。他们虽然做得很好、效果也不错，但却无法将自己的努力跟点点滴滴的业务成果联系起来。也就是说，他们的话语权始终非常有限，很难把自己的方案建议跟网络安全需求真正关联起来。

另一方面，如果能讲出创造价值的故事，比如“我们需要为客户提供更加无缝顺畅的系统访问体验”，那就应该设计一套新的客户身份平台加密码列表，并说清楚这些成果将如何创造出色的客户体验。这就能在不同的层面上增加价值并扩大影响力范围，最终提高组织的整体价值链。

你可以成为最好的技术专家，可以设定出最适合执行的标准，但如果其他人理解不了它们的优势和重要性，那也就很难再继续进步了。而如果能够讲好故事，技术部门将以前所未有的速度和水平继续增长和发展。

主持人：您提到技术部门需要服务于公司内外的众多利益相关方。这些人可能有共同的利益，但对某些特定目标可能又有不同看法，甚至存在相互冲突的利益。那在沟通交流方面，您会怎样处理这个问题？

各个部门之间总会在优先事项方面存在冲突，或者在具体实现上存在意见分歧。我永远关注结果，因为只有在结果上保持一致，那才能真正开始弥合这些分歧。那我就要摆出各种可能性，比如这样做对应这样的结果，那样做对应那样的结果。毕竟我们的最终目标是一致的，我也是这样做的。我们要专注于试图解决的问题，创造共同的需求和目标，让每个人都了解完成后的状态是什么，更多就实现过程中的细节做出妥协。

我还要确保自己扮演促进者和协调者的角色，但不能强制贯彻自己的观点。必须要让不在同一立场上、或者在优先级排序上存在分歧的各方提出解决方案，我认为这也是成功的关键。

主持人：面对行业法规、运输安全局（TSA）规定、证券交易委员会（SEC）和网络法规，您要如何在复杂的背景下厘清明确的协调思路？

首先，技术领导者要用人们能够理解的表达和术语来说话，这在复杂的法规上也一样。在日常生活当中，没人会像政策文件那样咬文嚼字。很多人在解释运输安全局的新规定或者其他章程时，总会粗暴使用大量缩略词和技术术语。但这样效果肯定不好，所以请务必注意我们的证据和用词。多使用通用表达，解释目前正在发生什么、为什么会这样、我们打算怎样处理。

在讨论法规中关于网络事件或攻击的复杂性问题时，大家想听的肯定不是太过具体的细节或者政策要求。他们需要的是总结性的结论——情况是什么，我们在做什么，有哪些风险或问题值得我们关注？

主持人：我们在CyberLX领导力计划调查中发现，CISO们的首要任务之一就是培养领导技能，而且主要关注情商、影响力技能和沟通技巧。那您要怎样向其他企业高管传递这种营销思维，并培养员工的这类沟通能力？

我不喜欢没完没了的会议，但对于那些真正需要参与的重要演讲或者会议，或者是需要获得高管团队的支持，我会跟自己的团队先做预演。在浏览幻灯片或者关键信息时，我有时候会唱唱反调，比如“我为什么有必要关心这个问题？”我们会做类似的演习，这样在一段时间之后，大家就明白哪些内容有讨论价值，哪些根本就没必要拿到会上来。

沟通其实也是有肌肉记忆的，总有我们关注的问题值得讨论。其实沟通中有一些共通的要素，只要把握住这些要素就能大大提高交流质量。所以多练习真的很重要。

主持人：那您如何定义网络安全为企业创造的价值？

我认为价值可以通过几种方式做定义。价值可以体现为履行网络安全领导者的关键职责——没有重大数据丢失，不发生因网络事件引发的停机或运营中断。

有这类价值，也有其他类型的价值，比如如何通过消除或减轻风险帮助企业完成之前做不成的事情，打破固有的认知局限，或者通过新的安全架构进入以往接触不到的市场空间。包括用以往无法做到的方式实现数据的可信协作和共享。从业务成果来看，这些都属于创造了价值。

总之，我们不仅要考虑从网络角度定义价值，还要考虑我们能在客户或股东价值层面给组织带来哪些收益。

主持人：那您具体关注哪些指标？

值得关注的指标是不断发展的，我还在跟团队一起努力。但指标的选择主要由当前政策和标准来决定，我们的技术服务能在多大程度上涵盖这些要求、具体表现如何等等。这就是一种体现覆盖率和效果水平的指标性视角。

当然，我们希望Web应用防火墙能保护所有外部端点，这就是覆盖率指标。但我们实际上阻止了多少威胁？到底是哪些威胁？应用程序安全标准是否覆盖了这些威胁？还有，人们为什么还在用不安全的身份验证或会话管理机制。我们会努力解决这些现实问题，确保不只是政策条文规定明确，更要切实有效地发挥作用。至于暂时无法解决的空白部分，我们要了解自己的差距在哪里，这样把恶性循环转化成良性循环。我们会努力在网络计划之内，围绕核心能力设定基线指标和KPI。

主持人：不知道您有没有关注这类指标，但我猜测如果能把价值故事讲好，那您就会逐渐成为战略合作伙伴。企业会在第一场决策会议就邀请您参加，而不是在后续具体实施时再做交流。

确实，我很喜欢帮别人把一个个点串连起来。所以如果其他高管会主动找来，向我提出他们的需求和愿景，那就证明我做得很成功。我做好了自己该做的工作。