CISO如何建立业务关键型网络安全文化？

三位杰出的CISO探讨了当今网络安全领导力的定义——以及如何将网络安全功能转变为业务驱动的组织资产。

大多数IT和信息安全领导者都非常熟悉VUCA一词。它代表着波动性、不确定性、复杂性和模糊性，概括了我们今天所处的世界，这个世界只会随着时间的推移变得越来越复杂和不确定。最好的网络安全领导者不仅强烈意识到这一现实，他们还专注于制定和实施战略以便在VUCA世界中蓬勃发展，打造面向未来的网络领导者渠道，以领先于持续的颠覆趋势。

上个月在纽约举行的SecureIT上，三位强大的CISO：Northwestern Mutual的CISO Laura Deaner、雅诗兰黛公司的CISO Nada Noaman、以及RAND的CISO Liz Rodgers，讨论了如何增强网络弹性的文化。

在网络威胁日益增长的形势下，这些CISO强调网络安全团队需要理解和使用业务语言，以战略眼光来推动客户和利益相关者价值的增长。

正如Noaman所说，“这不是弱者的工作。”这也是为什么这是一个如此激动人心的职业，成功驾驭这个领域需要的不仅仅是技术技能。这次讨论涉及到当今伟大的信息安全领导者的定义，以及这些领导力属性如何为企业带来成果。

指导原则：将网络安全与使命联系起来

网络安全组织拥有端到端的企业视角，因此具有独特的优势，可以预测问题和需求、影响业务战略并积极推动业务变革和影响。然而，许多网络专业人员仍然埋头苦干，缺乏对自己推进业务的过程中所扮演角色的洞察力。最好的CISO往往特别注重让员工了解他们的目的和与业务的联系，从而将职能从战术订单执行者或值得信赖的顾问，提升为具有前瞻性思维的创新合作伙伴。

雅诗兰黛公司的Noaman把在整个组织中发展这种以业务为先的导向作为她的优先事项。“我告诉他们，无论你扮演什么角色，你都是整个拼图中的一块，没有这块，拼图就是不完整的。你必须知道自己在拼图中所处的位置，才能说‘如果我不做出贡献，我们就永远无法实现这个目标。’知道自己的位置，知道自己所做的工作对最终目标的贡献，这才是最重要的。”

她说，在她的团队成员与业务同事“见面”的方式中，这种心态变得显而易见。他们正在考虑他们所提供的价值，既包括他们正在解决的问题，也包括他们的首要使命——以客户为中心的安全。

她说，归根结底，这都是为了建立共识，而建立共识的首要利益相关者是你的团队。

“当你让他们明白你想要实现的目标，明白为什么——他们知道安全的原因，但他们是否理解商业的原因——这让他们集中精力并有动力朝着同一个方向前进、以完全相同的速度前进。你必须告诉他们最终目标是什么。”

使用业务的语言

展现出以任务为中心的业务推动者形象，是建立信誉和获得关键安全计划支持的关键。但是，如果你不会说他们的语言，你就无法与业务伙伴建立可靠的联系。事实上，网络安全行业各个层面最大的技能差距之一不是技术，而是人：人和人之间的沟通。

“我有一个了不起的、充满活力的、技术含量很高的团队，”Northwestern Mutual公司的Deaner说。“但当你与业务以及其他战略利益相关者交谈的时候，他们不一定知道什么是单点登录或多因素，他们只想知道如何解决问题。”

表达方式越简单越好。网络安全专业人士往往会陷入技术术语的泥潭，最终失去听众。“要清晰、明确、直接，”Noaman建议道。“如果你直截了当地说出你需要做什么，并说明原因，你就不必解释技术方面的问题，因为现在每个人都知道为什么了。”

在商业现实的背景下进行沟通也是必不可少的——这需要熟悉业务同事每天所经历的事情。Deaner鼓励她的团队了解业务、访问呼叫中心并监听电话，“这样他们就会开始感受到对方可能感受到的情绪。”

RAND公司的Rodgers说，最重要的是要记住这个基本但根本的口头禅：“在每次对话中都要把业务放在首位。”

顶级网络领导者展现出的不同之处

在领导层，高级沟通技能更为重要，技能差距往往更大。网络安全和其他技术专业人员通常根据作为技术人员的成就被提拔为领导。虽然他们的技术资历可能是一流的，但很多人在核心领导能力（如沟通、影响、客户导向和商业敏锐度）方面没有得到太多发展或指导，如果有的话。

正如Rodgers所说：“让你走到今天的东西不会让你走到未来。你知道如何配置防火墙，但现在你必须与高管沟通。你必须了解业务，能够通过业务语言谈论你的技术、你的安全性、解决方案。能够进行这些对话是伟大领导者展现出来的与众不同之处。”

由于沟通技巧是这一角色的基础，因此良好的沟通技巧会对领导效率产生连锁反应。例如，透明度往往会带来更多的信任，从而有更好的协作和合作。Noaman说：“对动机的质疑更少，我们正在互相交谈，你明白我们为什么需要这样做。我认为，只有通过透明和简单的信息才能实现合作。因为我可能认为我们意见一致，但除非你和我在同一条船上，否则我们不是。”

这些直观的、以人为本的技能至关重要，尤其是在CISO经常处理的那种高压力、高风险的情况下。正如Deaner所说：“我可以谈论CVSS分数。但归根结底，没有人想要经历糟糕的一天。我认为这相比过于技术化，或者利用恐惧、不确定性和怀疑，或者不对其进行简化、不和人们在他们所在的地方进行面对面交流来说，是一种更好的定位方式。”

激发个人和团队的韧性

在信息安全领域，风险普遍存在，攻击变得越来越复杂，风险越来越高，成功的CISO具有一个决定性特征，那就是他们的勇气。好消息是，勇气是一种可以培养起来的能力，也是一种心态。几位CISO提到了各种内部激励因素，这些因素让他们即使在面临艰巨挑战时也能保持坚韧和适应能力。他们明确表示，当你热爱自己的工作并对自己产生的影响保持清晰的认识时，就会更容易勇敢起来。

其中一个共同点就是，他们关注“关键时刻”，即网络安全与各种利益相关者之间的接触点。有意这样做的领导者发现，他们能够更好地洞察问题，并以更具战略性的方式成为业务推动者。

Rodgers说，这是她职业生涯早期在服务台工作时学到的一课。她整天处理各种投诉，是需要勇气的。“但美妙之处在于，你可以了解人们以及他们的工作方式。后来我都可以预测到他们想要什么，所以我开始主动提供这些东西。现在，我将同样的经验运用到领导岗位上，去预测业务部门的需求。”

Deaner补充说：“了解我们的客户，这有助于我的团队快速跟上进度，帮助你了解自己所做的所有工作。我们充满激情，但很多时候我们都会觉得，天哪，这太疯狂了。能有这种感觉，我正在发挥影响力并保护我的客户，真是太好了。”

在这个行业，“总有一些东西让你保持高度警惕，”Noaman说。“这不仅体现在职位描述中，也体现在我们这些在网络领域长大的人身上。我们通过伤疤来积累经验。”

需要优秀的领导者来建立一种文化，让人们能够在高压环境中茁壮成长，而不是被其所拖累。对那些表现最佳的CISO来说，随着倦怠感的增加，培养、吸引、吸引和留住最优秀的人才成为他们的首要任务——因为他们知道，如果没有一支技术娴熟、充满灵感和团结一致的团队，他们就无法保护利益相关者并完成任务。

“我用自驾穿越整个国家来打比方，”Noaman说。“我们要从A点到B点，这是我们的目标。我不会告诉你如何到达那里，我不会告诉你需要做什么，那是你的工作。我的工作是让你为公路旅行做好准备，因为这是一段旅程。作为领导者，我必须设定这个愿景，然后带领他们与我同行。”

领导者的平衡之术

正如这三位CISO所展示的那样，最好的领导者往往谦逊的态度、同理心、适应性、韧性和透明度(HEART)，同时也要让员工承担责任并专注于实现成果。这是一个棘手的平衡过程，过于关注结果，你会失去你的员工；但过于关注HEART，你就会丢掉工作。

当我们着眼于培养健康的、面向未来的网络安全领导者时，这一点需要牢记。我们需要确保他们具备这份工作所需的技术、业务和领导能力，这意味着在他们所在的地方与他们会面，为他们做好踏上旅程的准备。

Rogers表示：“大家的上升曲线各不相同，这取决于确定领导技能的差距，取决于个人和他们想去的地方，也在很大程度上取决于你所处的环境。有时人们没有得到曝光或发光的机会。要让年轻的领导者有上升曲线，你必须有这个意识。”

如果说从这些领导者的成功中可以学到什么最重要的教训，那就是：要有目的性。想想现在你的世界正在发生多少变化，有目的性和专注性——对文化、人才和业务影响——变得前所未有的重要。