有些组织似乎不成比例地造就了一大批领导者,他们后来成为许多其他组织的 CISO 或其他安全管理人员。这些 "CISO 工厂 "包括 Salesforce、谷歌、高盛、洛克希德-马丁、@stake、雅虎和其他一些公司。
我们来看看这类组织的一些特点。
你可能不需要所有这些特征,但肯定需要很多,以启动你自己人才发展机器的飞轮。
1.现代防御技术。
他们坚持不懈地对技术堆栈进行现代化改造,以实现可防御性。他们优先考虑对整体基础设施进行投资,以便在其中建立安全机制,而不仅仅是让安全团队事后再进行安装。CIO/CTO和CISO建立了密切的合作关系,其他领导层也认识到投资整体技术的价值,而不仅仅是网络安全。在强大的工程文化中,可靠性工程、系统工程、无责尸检/故障分析和强大的软件设计技术等实践受到重视。行政领导层认识到,这种投资水平是一种战略优势,因为它能为他们的业务/任务带来更广泛的能力。
2.长期任职。
他们在业务和 IT 部门拥有长期任职的领导层,这些领导层都有长远打算。他们知道自己在安全和恢复能力方面的决策会带来积极或消极的结果,因此他们会适当地安排优先次序。CISO 的长期任职对于维持转型通常需要的多年努力至关重要。事实上,这与CISO如何创造环境,让其他领导者能够成长并接触到其他高管和董事会领导密切相关。还有一个矛盾的副作用是,如果CISO的任期很长,那么安全团队中的后起之秀可能不得不离开,到其他地方成为自己的CISO,而无法在当前的组织中晋升到这一职位。这份清单上的其他因素也会强化长期任职的情况,因为如果你没有正确的投资、高层的基调、使命感和一些团队内核来启动人才飞轮,那么人们就不太可能坚持下去。
3.BISO 结构。
业务单位 CISO(即所谓的 BISO)或其他嵌入式/联合结构中,新兴领导者可以在成为正式的企业 CISO 之前获得类似 CISO 的经验。将安全领导者完全嵌入业务单位或整个子公司,还能在这些业务中营造主人翁意识,这反过来又能推进安全任务,并为这些 BISO 提供必要的执行培训。
4.领导力发展计划和轮岗。
他们在技术和管理层面(如 AppSec、SecOps 等)进行正式轮岗,使领导者得到更全面的发展,为担任多方面的 CISO 职务做好准备。他们制定了针对企业和 CISO 职能的整体领导力发展计划,重点关注业务和其他战略技能。这包括与其他企业高管和后起之秀建立实质性网络。内部计划与外部计划相辅相成,如安全 50(下一任 CISO)、沃曼斯高管论坛、Cyversity 或其他注重技能的计划,同时确保所有人才来源都得到发展。从初级员工到来自其他技术团队的高级横向扩充人员,都有长期而充足的人才发展计划。
5.技术领导、指导和卓越。
他们拥有强大的技术指导计划和全面卓越的技术文化,在这种文化中,研究员、杰出工程师或其他技术领导者也非常关心安全问题,并在 CISO 组织之外承担重要的个人责任。除了技术实践(如预算、质量、计划管理需求)之外,他们还制定了强有力的计划来培训初级工程师掌握领导大型计划所需的技能。包括CISO在内的各级领导都具有很强的技术/工程能力,同时也是有效的业务领导者。在很大程度上,他们还需要具备广泛而深入的("全栈")知识,才能高效工作,这反过来又为培养强大的安全领导者创造了动力。
6.高层基调。
董事会和行政领导层高层对安全投资的重要性有着强烈而持续的认识。有一种文化认为,如果安全问题无法在其他管理层面得到缓解,就应将其上报,以便进行认真讨论。董事会有能力(甚至有别于直接的专业知识)进行有效监督。管理相当完善,至少有有效的内部审计职能,或许还有有效的独立企业风险管理职能。
7.投资。
高层的基调与基层的资源相辅相成,充分投资于安全(以及更广泛的 IT)成果。这样,企业就有了足够的规模,从而有能力培养和发展人才,并定期制定扩展目标,在多个层面和学科培养能力。对许多组织而言,这还与其总体研发支出有关。在不同的行业,这可能会有不同的分类,但原则仍然是,组织愿意并能够在提高安全性方面下大赌注。
8.明确的使命感。
组织是一个大目标,它通过不断收集威胁情报、改进安全计划和提高检测/响应警惕性来强化使命感和培养技能。同样重要的是,组织对人民、社会和国家安全有更广泛的使命感,而不仅仅是为自己的组织。领导层,不仅仅是CISO,要向所有员工灌输这种使命感和责任感。具有复杂威胁环境的行业和组织会孕育出这样的领导者。应对机会性攻击与集中而持久的民族国家对手,几乎形成了一种达尔文式的局面,强大的领导者必须脱颖而出,并在此过程中得到支持。这些组织还必须解决物理、欺诈、内部风险、复原力等多方面的风险,这就需要成熟、协作的领导力。
9.关注细节。
领导者关注细节,往往从第一性原则出发,了解事情发生的原因、变革所面临的阻力,并挑战解决问题不可行的先入为主的观念。他们给团队留出空间(而不是微观管理),但仍能深入杂草丛生的地方,推动战术上的改进,并制定战略举措,激发防御水平的巨大飞跃。这就在整个组织内树立了一个强有力的行为标准,避免仅凭假设开展工作。例行使用 5 Y 标准。
10.标志性时刻。
有一个决定性的时刻,也许是标志性的时刻--一次漏洞、一次重大险情或其他事件,将安全的重要性永久地留在了企业的记忆中。更重要的是,CISO 组织在此基础上,让这一标志性时刻教育更广泛组织中的新领导者。这些 "永不重演 "的时刻将成为企业的试金石。
11.行业领导。
在重要的行业活动中担任领导职务。在整个行业范围内解决问题的意愿和能力。例如,ISAC 和其他联盟,不仅负责安全,还负责将安全纳入这些部门更广泛的业务计划。这就为该组织的领导者提供了一个进一步发展技能和实现宏伟目标的平台,从而进一步发展他们的能力。
12.不要依赖监管。
人们很容易认为,受到严格监管的组织造就了这样的安全领袖。我认为,在这种情况下,相关性大于因果关系。比如说,一家受到严格监管的银行可能也会本能地将保护客户和自身安全作为其工作的重要组成部分。而另一家受到类似监管的银行,如果没有将安全需求内化,可能只是简单地检查合规性。后一种类型的组织往往不会培养出数量相对较多的安全领导者。事实上,有许多组织历来受到的监管较少,但却具有强大的动力,它们本身就是 "CISO 工厂",这也会强化这一事实。对自己的风险、安全或其他与安全相关的文化和流程引以为豪的组织,整体上也倾向于优先考虑安全问题。
值得思考的是,"CISO 工厂 "的组织是为自己的部门/行业类型服务的,还是他们培养出来的领导者真正具有可移植性。当然,更多来自技术领域的此类领导者在技术领域取得了成功,而银行则在银行等领域取得了成功。但也有跨界的情况。当这种跨界取得成功时,通常要么是因为个人之前有过一些跨行业的经验,要么是因为他们之前在某一行业的组织不同寻常,例如银行更像一家科技公司,或者国防组织的风险管理水平特别高,研发应用特别有效。
一句话:有一些组织凭借运气或计划,已经采取了足够多的人才培养措施,不仅改善了自身的安全状况,还为许多行业的 CISO 职位培养了一批安全领导人才。我们未来人才发展的一个重要部分不仅仅是培养个人,还要在组织中创造条件,让这些人才脱颖而出。这份清单至少是这样做的一个开端。请对照这份清单评估自己的组织,看看需要在哪些方面多下功夫。
感谢我所提到的一些组织的人员为本篇文章提供的意见。特别是希瑟-阿德金斯、吉姆-阿尔科夫、罗伊-汉森、罗汉-阿明和帕特-奥佩特。他们对其中一些观点的意见并不意味着对所有观点的认可,当然,错误/疏漏/慌乱都是我的责任。但是,最重要的是,感谢他们和其他许多人所表现出的领导力,他们不仅推动了各自组织的安全发展,还为业界树立了榜样,并帮助培养了许多在更多组织中继续开展这项工作的领导者。
原文链接:
https://www.philvenables.com/post/the-ciso-factories-12-features-of-organizations-that-create-security-leaders
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
