联合航空CISO Deneen DeFiore:提升网络对业务的价值

DeFiore认为,讲好故事、充分赋能和培养营销思维是将IT和网络安全引入组织价值链中的前提,进而造福于企业的整体业务。

身为名人堂技术主管,Deneen DeFiore目前担任联合航空公司副总裁兼首席信息安全官(CISO),领导公司网络安全和数字风险组织,确保企业为不断变化的网络威胁做好预防、检测和应对准备。她还同时领导商业航空网络的安全风险管理、提高全球航空生态系统网络弹性等工作。

在本次对话中,DeFiore涵盖到诸多领域,深入探讨了CISO角色的复杂性、管理日常事务中的种种棘手权衡,以及在行业中取得成功所需要的领导技能。之后,我们又进一步交流了她的沟通思路,如何讲好网络安全故事和对业务的价值。为保证篇幅和表达顺畅,以下内容经过编辑。

主持人:CISO为什么一定要善于讲故事?如果两个网络部门都能给公司创造相同的价值,一个擅长讲故事但另一个不太擅长,会有什么区别?

Deneen DeFiore: 能讲好跟业务成果相关的故事,传递自己围绕风险管理做出的努力,绝对是非常有价值的能力。如果有两个部门都在保护企业、做好本职工作,那么讲不好故事的部门在技术层面几乎无法运作。他们虽然做得很好、效果也不错,但却无法将自己的努力跟点点滴滴的业务成果联系起来。也就是说,他们的话语权始终非常有限,很难把自己的方案建议跟网络安全需求真正关联起来。

另一方面,如果能讲出创造价值的故事,比如“我们需要为客户提供更加无缝顺畅的系统访问体验”,那就应该设计一套新的客户身份平台加密码列表,并说清楚这些成果将如何创造出色的客户体验。这就能在不同的层面上增加价值并扩大影响力范围,最终提高组织的整体价值链。

你可以成为最好的技术专家,可以设定出最适合执行的标准,但如果其他人理解不了它们的优势和重要性,那也就很难再继续进步了。而如果能够讲好故事,技术部门将以前所未有的速度和水平继续增长和发展。

主持人:您提到技术部门需要服务于公司内外的众多利益相关方。这些人可能有共同的利益,但对某些特定目标可能又有不同看法,甚至存在相互冲突的利益。那在沟通交流方面,您会怎样处理这个问题?

各个部门之间总会在优先事项方面存在冲突,或者在具体实现上存在意见分歧。我永远关注结果,因为只有在结果上保持一致,那才能真正开始弥合这些分歧。那我就要摆出各种可能性,比如这样做对应这样的结果,那样做对应那样的结果。毕竟我们的最终目标是一致的,我也是这样做的。我们要专注于试图解决的问题,创造共同的需求和目标,让每个人都了解完成后的状态是什么,更多就实现过程中的细节做出妥协。

我还要确保自己扮演促进者和协调者的角色,但不能强制贯彻自己的观点。必须要让不在同一立场上、或者在优先级排序上存在分歧的各方提出解决方案,我认为这也是成功的关键。

主持人:面对行业法规、运输安全局(TSA)规定、证券交易委员会(SEC)和网络法规,您要如何在复杂的背景下厘清明确的协调思路?

首先,技术领导者要用人们能够理解的表达和术语来说话,这在复杂的法规上也一样。在日常生活当中,没人会像政策文件那样咬文嚼字。很多人在解释运输安全局的新规定或者其他章程时,总会粗暴使用大量缩略词和技术术语。但这样效果肯定不好,所以请务必注意我们的证据和用词。多使用通用表达,解释目前正在发生什么、为什么会这样、我们打算怎样处理。

在讨论法规中关于网络事件或攻击的复杂性问题时,大家想听的肯定不是太过具体的细节或者政策要求。他们需要的是总结性的结论——情况是什么,我们在做什么,有哪些风险或问题值得我们关注?

主持人:我们在CyberLX领导力计划调查中发现,CISO们的首要任务之一就是培养领导技能,而且主要关注情商、影响力技能和沟通技巧。那您要怎样向其他企业高管传递这种营销思维,并培养员工的这类沟通能力?

我不喜欢没完没了的会议,但对于那些真正需要参与的重要演讲或者会议,或者是需要获得高管团队的支持,我会跟自己的团队先做预演。在浏览幻灯片或者关键信息时,我有时候会唱唱反调,比如“我为什么有必要关心这个问题?”我们会做类似的演习,这样在一段时间之后,大家就明白哪些内容有讨论价值,哪些根本就没必要拿到会上来。

沟通其实也是有肌肉记忆的,总有我们关注的问题值得讨论。其实沟通中有一些共通的要素,只要把握住这些要素就能大大提高交流质量。所以多练习真的很重要。

主持人:那您如何定义网络安全为企业创造的价值?

我认为价值可以通过几种方式做定义。价值可以体现为履行网络安全领导者的关键职责——没有重大数据丢失,不发生因网络事件引发的停机或运营中断。

有这类价值,也有其他类型的价值,比如如何通过消除或减轻风险帮助企业完成之前做不成的事情,打破固有的认知局限,或者通过新的安全架构进入以往接触不到的市场空间。包括用以往无法做到的方式实现数据的可信协作和共享。从业务成果来看,这些都属于创造了价值。

总之,我们不仅要考虑从网络角度定义价值,还要考虑我们能在客户或股东价值层面给组织带来哪些收益。

主持人:那您具体关注哪些指标?

值得关注的指标是不断发展的,我还在跟团队一起努力。但指标的选择主要由当前政策和标准来决定,我们的技术服务能在多大程度上涵盖这些要求、具体表现如何等等。这就是一种体现覆盖率和效果水平的指标性视角。

当然,我们希望Web应用防火墙能保护所有外部端点,这就是覆盖率指标。但我们实际上阻止了多少威胁?到底是哪些威胁?应用程序安全标准是否覆盖了这些威胁?还有,人们为什么还在用不安全的身份验证或会话管理机制。我们会努力解决这些现实问题,确保不只是政策条文规定明确,更要切实有效地发挥作用。至于暂时无法解决的空白部分,我们要了解自己的差距在哪里,这样把恶性循环转化成良性循环。我们会努力在网络计划之内,围绕核心能力设定基线指标和KPI。

主持人:不知道您有没有关注这类指标,但我猜测如果能把价值故事讲好,那您就会逐渐成为战略合作伙伴。企业会在第一场决策会议就邀请您参加,而不是在后续具体实施时再做交流。

确实,我很喜欢帮别人把一个个点串连起来。所以如果其他高管会主动找来,向我提出他们的需求和愿景,那就证明我做得很成功。我做好了自己该做的工作。

来源:至顶网CIO与CTO频道

0赞

好文章,需要你的鼓励

2023

05/30

09:38

分享

点赞

邮件订阅