在许多情况下,网络安全领导者应该像领导者一样思考和行动,但在组织内可能不会被赋予同样的可见性、责任、资源或机会来这样做。此外,网络安全领导者经常发现自己担任安全领导角色时没有进行足够的领导培训或准备,他们被指定担任该职位的依据是部门中技术含量最高的人员或在防火墙和网络方面拥有最多经验的个人(两个通常与网络安全相关的技术领域)。无论网络安全领导者如何发现自己处于该职位,这都是一个真正在组织中发挥作用的机会。拥有正确心态、对职位充满热情、无所畏惧和愿意努力工作的网络安全领导者有很大的成功机会。
我的书, 风险业务:网络安全领导的正确方式,分享从一位网络安全领导者到另一位网络安全领导者的相关、实用和可操作的见解。这不是一本技术书籍,因为安全领导工作中最重要的部分不是技术性的。这本书利用了作为安全领导者的职业经验和简洁、有影响力的沟通方式,为您提供了作为信息安全专家取得成功的指南。你们中的一些人可能认为你的角色并不要求你成为领导者。但在任何情况下,每个人都可以以自己的方式成为领导者。
要成为一名有效的网络安全领导者,您必须在组织内具有可信度。虽然可信度部分来自于展示专业知识,但安全领导者可信度的真正衡量标准是在关键对话中占有一席之地。为了赢得公司领导团队的信任,您的网络安全工作应该与您组织的更大业务目标相关联。如果您能简洁有效地阐明安全措施和程序组件如何支持业务目标,您将赢得组织执行团队的尊重。根据您业务的更大目标和目标来看待网络安全,将帮助您和您的安全团队在讨论想法和计划时更加有效。
本书第一部分讨论的想法将帮助您在领导团队中建立可信度。对赢得和保持信誉至关重要的两个关键领导特质是品格和责任。
为了有效,安全领导者必须在组织内有盟友。为了对您组织的安全状况产生有意义的影响,您必须找到愿意支持您的安全计划和相关成本的其他公司领导。不断说“不”的安全领导者最终将不再被要求权衡,他们影响新计划的能力和机会将被削弱。那些学会快速分析和处理新计划并参与到规划和实施过程中,同时在此过程中正确管理风险的人将被视为合作伙伴和业务努力的宝贵贡献者。
不幸的是,一些网络安全专业人员以“我们与世界为敌”的心态对待他们的工作。他们经常感到沮丧,因为他们组织内的其他人似乎不明白为什么网络安全很重要。他们觉得他们总是不得不为预算、关注和相关性而战,这使他们对自己的网络安全计划和自己解决安全问题的努力持防御态度。他们不仅发现自己与一些商业领袖处于敌对地位,而且他们认为供应商在很大程度上是一种必要的邪恶,而不是他们努力的潜在合作伙伴。
作为在组织内担任网络安全领导者和供应商的人,我可以直接告诉您,防御心态是处理安全工作最危险的方式之一。如果您希望您的安全团队构建您的业务所需的那种全面的网络安全计划,您必须在组织内外找到可以帮助支持您的工作的盟友。
建立盟友不仅仅是让人们同意你的观点。您也希望他们为您的成功加油。本节中分享的主题只有与两种领导特质相结合才能发挥作用:谦逊和感恩。
您如何知道您的网络安全计划是否真正有效?这是百万美元(或对大多数企业而言,数万美元)的问题。而且,如果您有幸能够为组织的网络安全计划投入资源,那么这是一个需要回答的重要问题。
作为优秀的企业公民,我们有责任确保公司选择投资于网络安全的时间、精力和资源产生积极影响,并在网络安全态势和降低风险方面实现预期的改进。
本节侧重于磨练您的网络安全信息并学习如何传达您的计划的价值。在专注于这些重要任务的同时,一定要为自己努力。领导者必须继续学习和发展他们的知识和技能。保持身体健康并始终力求在所做的一切中尽最大努力也至关重要。
