评估和吸引你的下一个CISO:更复杂的角色更复杂的方法
首席信息安全官(CISO)的角色在过去十年发生了巨大变化。首席信息官不再仅仅是一个被要求保护企业数据价值的数字警长,他将成为其他高管的全面战略合作伙伴。这一角色的升级是对同一时期广泛的技术、社会、经济和地缘政治发展的自然反应。对于许多组织来说,信息——无论是客户记录、知识产权还是战略规划——现在都是他们最有价值的资产。随着这些资产变得越来越有价值,它们也变得不那么安全,因为攻击者的数量和复杂性都在增加,以及日益网络化的社会固有的脆弱性。
底线是,尽管首席信息官很少直接向首席执行官报告,但他或她必须具备首席执行官-1级别所期望的素质。努力填补CISO角色的组织必须确保其招聘战略和候选人评估过程与这些更高的期望保持同步,以免这些组织增加其未实现安全目标的风险,缩短CISO任期,并增加相关成本。除此之外,在频繁变化的信息安全领导者的阴影下,保持一致的安全文化也很困难。
对CISO候选人有全面的看法
我们在亿康先达的观察是,在寻找下一任首席信息官时,组织可以通过更广泛地看待所需的素质和能力而受益。有效的候选人评估可以通过将候选人的职业生涯分为过去、现在和未来三个部分,并从适当的角度评估每个元素来实现。这三个要素的整合提供了一个CISO候选人的整体视图,与当今该角色的多面性相对应。
过去:候选人做过什么?
候选人的证书、工作经历和业绩记录一直是评估过程的核心部分,这是有充分理由的。这部分内容包括检查候选人工作过的组织类型、规模和复杂性,以及他们服务的市场,然后查看候选人在每个角色中完成了什么,候选人领导了哪些变革,以及候选人监督下组织的安全记录。这些发现为衡量候选人与职位之间的契合度提供了原材料、基本事实和背景。尽管CISO的角色已经大大超出了它的技术根源,但工作经历所表明的技术专长对于候选人来说是必要的“表筹码”,值得进一步考虑。
现在时:候选人能做什么?
直到大约10年前,考察候选人的工作经历通常是评估过程的主要内容。然后我意识到,一个候选人到目前为止所做的只是他能做的事情的一个子集,因为一个人的工作经验永远不可能如此广泛,以至于能涵盖一个人能做的所有事情。考察能力是一种盘点高管所有领导能力的方法。关键是要根据职位的要求来评估合适的能力。根据我们的经验,在评估CISO候选人时,有五个能力尤其重要。下面按最常见到最难以捉摸的顺序列出:
1.结果导向:成功的候选人必须能够迅速采取行动,完成正确的事情。审计得到及时回应,董事会清楚信息安全投资的影响,核心数据资产得到很好的保护。
2.战略定位:如前所述,CISO必须是一个具有批判性思维技能的战略导向合作伙伴。他或她必须处理不同的信息,并就外部问题(如威胁和对策的变化)和内部问题(如信息安全策略和协议的业务影响)产生有价值的见解。
3.变革型领导:无论新首席信息官执掌公司的背景是什么——在重大违规之后,在董事会加强审查的注视下,还是在必须整合的收购中——他或她都需要改造系统来应对当前的挑战,创造一个其他人认可的愿景,在保持日常运营顺利进行的同时推动组织向前发展。
4.关系管理:首席信息安全官必须能够在矩阵式的环境中领导,与对信息安全持有不同观点的一系列支持者进行外交工作,包括董事会、首席执行官、首席财务官、首席运营官和总法律顾问。除了管理内部关系,CISO还必须利用外部网络,包括其他组织、互联网服务提供商、第三方安全解决方案供应商以及执法和情报机构的同行。CISO必须具有必要的重要性和影响力,以便在各种情况下(从场外战略会议到应急响应)与这些内部和外部小组进行有效沟通。
5.团队领导:大多数组织都把注意力集中在填补CISO职位上,而没有留给建立内部人才管道的精力。这可以理解,但目光短浅。识别和培养内部信息安全领导人才对于该职能的长期成功至关重要,应被视为首席信息安全官角色的一部分。
未来:候选人将如何适应变化和不可预见的发展?
与只考察职业经历相比,考察能力能更全面地了解候选人的能力。但基于能力的评估有其自身的局限性,因为它假设未来或多或少会与过去或现在相似。它并不衡量一个人应对当前数字转型浪潮所带来的根本性变化的能力。有些人在书面上看起来很合格,表现也很好,但随着条件变得高度复杂和模糊,他们可能达不到预期。此外,只看经验和能力意味着组织可能会忽视那些今天看起来准备不足,但有足够支持的候选人,他们是未来最适合的人选。
亿康先达(Egon Zehnder)对数千名高管的评估进行了研究,我们发现,那些在波动性、复杂性、不确定性和模糊性面前表现出色的人有四个共同的特征,我们统称这些特征为潜力。潜力的四个要素如下:
1.好奇心:喜欢寻求新的经验、知识和坦诚的反馈,以及对学习和改变的开放态度
2.洞见:收集和理解信息的能力,以提出以前未见的机会和威胁
3.事务:善于运用情感和逻辑来传达有说服力的愿景,并与人建立联系
4.决心:在挑战中为困难的目标而奋斗的韧性,以及从逆境中恢复过来的韧性。
潜能的要素为基于能力的评估提供了一个额外的维度,就像检查能力比仅仅查看工作历史提供了更多的深度一样。这些因素本身都不足以确定某个候选人将如何应对首席信息官这一角色所面临的挑战,但结合起来,它们就能形成一个生动的、根据我们的经验,高度准确的描述和预测。这些新增的维度尤其重要,因为CISO的角色在过去几年中发生了很大变化。很少有ciso建立了作为战略领导者(而不是技术经理)的记录,而这一角色现在需要。潜力的属性增加了另一个元素,以帮助确定谁可能成功地实现这一飞跃。
但上述框架只是这样——其输出的质量取决于输入的质量。如果没有一致的努力,在CISO评估中很难获得可靠的输入,因为数据安全职能倾向于从一个危机迅速转移到另一个危机,几乎没有留下关于谁在何时做了什么的具体证据。获得所需细节水平的关键是与多名知情推荐人进行深度访谈。要做到这一点,就需要具备利用广泛的专业网络的能力。
由于要衡量的因素很多,所以重要的是,不仅要收集对每一项被检查的质量的观察结果,还要根据行业的平均表现将候选人放在一个尺度上。一些组织还用心理测试来补充候选人面试和推荐信面试,为评估过程提供另一层客观输入。
角色定位
目前,顶级ciso的市场竞争非常激烈。信息安全已成为企业高度关注的问题,合格候选人的门槛也提高了。据估计,2015年6月美国有2700个CISO职位空缺。因此,即使组织能够根据当前和未来的要求有效地评估候选人,他们也必须从一开始就准备好积极地向自然持怀疑态度的听众推销机会。根据我们的经验,每个CISO候选人在评估机会时都会问四个主要问题:
1.“谁是我的担保人,他或她有多大的影响力?”这可能是CISO候选人脑子里的第一个问题,他或她至少从两个具体的方面考虑这个问题。首先,尽管首席信息安全官可能会与董事会和高管层进行一些互动,但仍会有许多影响信息安全功能的对话,而首席信息安全官并不知情。因此,首席信息安全官将不得不依靠他或她的主管作为一个有效的中介,在倡导资源和政策倡议方面,并在信息安全问题展开时对董事会和首席执行官进行教育。其次,当CISO需要采取不受欢迎的立场来加强组织的信息安全状况时,他或她必须知道高层会支持他或她。
2.“组织对信息安全的承诺有多深?”这不仅仅是工作人员和预算分配的问题,尽管这些因素当然很重要。首席信息安全官想要知道,高管层和董事会了解信息安全功能核心的复杂性和不确定性,以及让组织中从上到下的每个人都对安全负责的必要性。CISO要想取得成功,他或她必须被授权采取行动,并拥有必要的资源,以便在正常和危机时期进行部署。尽管CISO希望组织具有高标准,但他或她会避免那些条件反射性地在安全团队中循环的企业。
3.“衡量我的关键绩效指标是什么?”考虑到每个大型组织都必须假设它不断受到网络攻击,因此安全漏洞不是“如果”而是“何时”的问题。因此,对于一家公司来说,让首席信息官遵守“一次罢工你就出局”的绩效基准是不现实的。关于期望的对话与关于资源、报告线和薪酬的对话一样重要。
4.“五年后我会在哪里?”那些领导信息安全职能的人在他们的职业抱负范围内与其他职能领导一样。对于一些人来说,在质量组织领导职能的机会是他们的目标;然而,另一些人则期待担任首席信息官的角色,甚至在组织领导中担任更广泛的角色。了解每个候选人的愿望和公司能提供的是很重要的。请记住,首席信息官的报告关系将是他或她在脑海中构建这个问题的一个因素。
必须就信息安全的战略重要性进行争论的日子已经一去不复返了。在大多数组织中,CISO角色现在具有其职责所需的重要性和复杂性。组织可以通过问自己以下四个问题来评估其CISO招聘和评估战略的状态:
1.我们是否确定了CISO的全面战略职责和成功所需的能力?
2.我们是否有一个一致的方法来评估候选人的这些责任?
3.我们是否根据组织的信息安全背景审查了CISO报告关系,以确保CISO有足够的权力来实现组织的信息安全目标?
4.我们是否有适当的职业发展计划来支持首席信息官及其团队,以帮助他们达到该职能高度重要性所要求的标准?
从这些问题的答案中,组织可以开始进行必要的调整,以确保他们有方法和工具来识别和吸引能够在当前职位要求的水平上发挥作用的信息安全人才。
这篇文章是根据该书第46章编写的导航数字时代-董事和官员的权威网络安全指南由纽约证券交易所集团和帕洛阿尔托网络发布。恕我冒昧发帖www.nanguobuy.com.
