信息化觀察網

William Hill 的首席信息安全官 (CISO) 表示，安全領導者需要掌握市場營銷、人力資源、商業(yè)術語等，才能真正對領導其組織機構有所幫助。

擁有 CISO 的公司與 IT 安全經理是最高級別的安全專家的公司有什么不同？有人可能會說 CISO 的職責范圍更廣，但真正的答案是領導力。

ESG 最近的一項研究發(fā)現(xiàn)，溝通和領導能力是一個成功的 CISO 需要具備的兩個最重要的品質。在受訪者眼中，技術上的敏銳遠不如傳達正確信息的能力重要。

如果 CISO 和 CIO 同級將成為常態(tài)（在英國，只有 12% 的 CIO 表示 CISO 在他們組織機構中是與自己同級的)，那么安全專業(yè)人員需要學習安全技能以外的知識，以及如何成為業(yè)務領導者。

CISO也需要考慮業(yè)務目標

英國博彩公司 William Hill 集團的 CISO 的 Killian Faughnan 表示，雖然你經常聽說安全工作促進了什么，而不是成為成本中心或者障礙，但在行業(yè)里很少會期待 CISO 成為商業(yè)領袖或者是推動者。他說道：我們花時間談論如何成為商業(yè)領袖。這可能是你聽到過最重復的一句話：安全人員需要成為商業(yè)領袖。

然而，與更成熟的角色（包括 CIO）相比，CISO 常常處于邊緣，因為他通常不是推動業(yè)務向前發(fā)展的角色。

如果你看看高層，那里的每個人大部分都是為了推動業(yè)務向前發(fā)展，出于某種商業(yè)原因才來到這里的，而 CISO 往往站在一邊。如果你不是董事會和委員會成員，你就不是真正的商業(yè)領袖。你并沒有站在前線。

原因在于，CISO 們往往沒有考慮他們所做的決策將如何推動業(yè)務。

商業(yè)的全部意義在于賺錢。商業(yè)的存在是為了做生意，而不是為了安全。你需要考慮到你的決策（關于你要在哪方面進行投資）是業(yè)務決策，而且這些決策會影響到每個人。如果你從這個罐子里拿出 100 萬英鎊，那不僅是別人拿不到的錢，而且可能是本可能被別的部門變成 500 萬英鎊的錢。

Faughnan 補充道：你需要確保你所推動的行為和結果是為了業(yè)務目標，而不是安全行業(yè)的目標，顯然，CISO 在那里是為了安全，但如果你以犧牲業(yè)務為代價來實現(xiàn)目標，那么這就是失敗。

向董事會營銷你和你的目標

CISO 們需要學習的一項業(yè)務技能是市場營銷。雖然他們可能不會向外人推銷，但每當 CISO 與董事會進行對話時，他們都在推銷自己及其職能。在倫敦舉行的信息安全歐洲會議上，F(xiàn)aughnan 告訴與會者，當向董事會報告時——無論是更新還是請求資源——這實際上是一種營銷活動。他說：我們正在向客戶推銷一種產品，安全是我們的產品。

你不需要理解安全性就能理解營銷，事實上，理解安全反而阻礙了你。你只會專注于你已經知道的東西，而忽略了你需要學習的東西。營銷本身就是一門學科是有充分理由的。

Faughnan 在發(fā)現(xiàn)自己演講失敗后學到了這一課。與董事會的談話更像是一場營銷活動，這讓他更專注于信息傳遞。他說道：我有太多的表格和圖表，我在里面放了太多的信息，當我告訴他們我正在做的所有重要的事情時，我能看到他們都心不在焉，他們很高興坐在那里接受培訓，但離開時卻并沒有對此感到興奮。

要像營銷人員一樣思考，F(xiàn)aughnan 建議你去學習基本的營銷原則，比如 4P、Ansoff 矩陣、產品生命周期，甚至是自我表現(xiàn)。如果你在推廣一個東西，你在推銷一個愿景，而這個愿景將來自你的產品。每一件你想賣給董事會的東西都有一個產品生命周期。

他繼續(xù)說道，你是產品的一部分，就像其他東西一樣，這包括你的著裝。在銀行里，你的穿著可能會很正式。如果你所在的公司比較隨意，沒有人打領帶，如果你穿西裝打領帶出現(xiàn)在那里，就會顯得很奇怪。

保證你的信息簡短，集中在最重要的事情上

Faughnan 在講話中表示，CISO 的最終目標應該是將董事會報告縮減為一張 PPT，展示公司是否表現(xiàn)良好，中等還是做得不好。他承認這是一個不切實際的目標，但你仍然應該以保持信息簡潔為目標。數(shù)據(jù)有它的位置，但主要在你的指示板上。你的工作就是把這些數(shù)據(jù)壓縮成有意義的東西，并能夠以一種讓董事會覺得你知道自己在做什么的方式呈現(xiàn)出來。你給出的信息可能和上一個人一模一樣，但你可以用一種完全不同的方式來表達。

現(xiàn)實中，CISO 們應該盡量將他們的 PPT 控制在三張和三條信息之內。如果超過這個數(shù)字，很可能會失去董事會的關注。當你向董事會展示 30 頁的東西時，你是在告訴他們，“我不想費心去弄清楚最重要的部分是什么，我只是想在你空閑的時候看看它們”。他們很忙，需要經營整個公司。你只有 15 分鐘的時間，而在 15 分鐘內，你可以把三個好主意講清楚。

對我來說，最難的事情是習慣自己在那里是為了滿足董事會的需要，而不是為了我希望他們需要的東西。這完全是兩件事。

他說他們想要的是一個數(shù)字；可以代表公司安全狀態(tài)的單一指標或量表。

我有 5 個、10 個、15 個指標來衡量我們最擔心的事情，他們說，‘你能給我們一個數(shù)字嗎？’，他們希望你能以某種方式處理所有數(shù)據(jù)、所有圖表、所有信息，然后回到他們面前，拿出一份量表，上面寫著我們做得好或不好。就是這樣。

就像一張 PPT 一樣，這可能是一個無法實現(xiàn)的目標，但通過始終以這個目標為目標，CISO 們能夠保證他們想要傳遞的信息簡短而切題。

學習商業(yè)，尋求其他商業(yè)學科的幫助

雖然采用市場營銷的方式向董事會陳述對 Faughnan 有幫助，但這只是將 CISO 從一個邊緣安全角色轉變?yōu)樗f的商業(yè)領袖需要做到的一個方面。安全專業(yè)人士一路走來，對事情都有同樣的看法。安全人士傾向于非常直截了當，在很多方面都注重治理，非常注重技術和技術交付，因為他們沒有商業(yè)背景。

為了開闊自己的思路，F(xiàn)aughnan 修了一門 MBA 課程。他說，學習商業(yè)讓他的詞匯量擴大到技術和安全之外，并開始理解商業(yè)概念。他表示：自己永遠也搞不明白，為什么 CISO 從來沒有滿足過企業(yè)的需求。因為 CISO 們說的是同一種語言稍微不同的版本，其含義也有所不同。”

人們沒有考慮到他們可以從其它地方（學到）有價值的東西。如果你在向董事會做營銷，那就去學習營銷。如果你要向董事會談論財務，那就去學習財務。如果你打算做預算，作為一名安全專業(yè)人員并不意味著你可以做預算，去向做預算的人學習并去上一門預算相關的課程。

雖然 Faughnan 承認作為一名安全領導者，今天的 CISO 需要扮演很多不同的角色，但他反駁道，你不必對這些主題了如指掌，只需要了解它們及其價值。

我們不需要事事精通，也不要害怕尋求幫助。如果你在做一個內部宣傳活動，可以和內部部門溝通。如果你想做一些營銷，和你的市場部門談談。人力資源管理也一樣。你想要（做）一些文化上的改變，和他們一起在更廣泛的文化改變項目上進行合作。