這篇是由Rosalyn Page所寫、2024年9月9日刊出的"What’s next after the CISO role?"。是訪問了有資安長經驗、職涯路徑不同者的分享。
現在很少有像資安長這樣的職位—因為變動相當大。從1990年代中葉Steve Katz被花旗任命為資安長後,才開始比較明確有此職位。此職位從過去管理技術控制,演變成業務風險,為資安長的進化打了下基礎。
以下是四位職涯路徑不同的資安長,分享了他們的經驗、以及對資安長新角色的建議。
1.RadiantLogic的營運長Chad McDonald:從資安長到營運長。
McDonald以前當過幾個資安長,也有長達20年的客戶經驗及專業服務背景。他認為,資安長需要橫跨整個公司、能影響不同部門的策略性思考,以及在思考下一步時有用的技能。
這些策略技能可高度轉移到更廣的職位,像營運長。比如,在現在的職位裡,資安長必須瞭解客戶需求,並且能夠以共通的語言與他們交談。「資安長需要討論財務、人資、行銷,並帶動變革,以改變組織對安全局勢之看法、或降低風險概況。這些技能是高度可轉移的,讓你可以順利地在經營任何類型營運團隊。」
更廣接觸各種不同業務線,可以獲得巨大效益,對於像營運長之類的職位十分重要,因為可瞭解不同的監理和遵循需求。他說,「它可協助以不同方式思考,不僅是內部的要求,還有他們如何轉換成客戶需求、並以不同的語言交談,而且從內與外的角度來看組織。」
現在在安全主管和其他長字輩主管之間(比如資訊長或技術長),有越來越大的重疊之處,這就會帶來更大的機會。McDonald建議,資安長需要瞭解更廣泛的經營技能,包括財務、專案管理,以及瞭解法律合約。「這對資安長轉型到其他職位十分重要。」
溝通能力也很重要。他說,「當你晉升,需要從更高層次進行溝通,而非只有戰術面,這要能夠明確說明你要走的方向、以及原因,而且聽眾可能完全不具備科技或安全方面的經驗。」
Tampa大學的資訊科技與安全副總裁Tammy Loper:從資安長到副總裁
她說,「一開始展開安全計畫時,我與校園內的每個部門會面,分析正在使用的系統,還有他們處理的資料類型、其技術、經營上的挑戰。」
Loper制定了一個共通的任務,協助建立在組織內進行教育和影響之權威。這往往會協助提高能見度—此為晉升的關鍵要素。她說,「若你的職位在組織內沒人看到,想從下而上地推動,而非由上而下,那麼受託人可能不真正地瞭解你是誰、你能做什麼。」
以她為例,Loper成功建立了安全計畫,並拓展到整個資訊科技的策略而成為了資訊長。最終成為了副總裁,顯示了這樣的事實—資訊科技與安全需要在整個大學的各單位間獲得一定的權威。其挑戰是,保持營運需求和安全需求之間的平衡,而且資安長或許不能只看安全面而已。她說,「資安長有時候會難以在些困難中妥協,但你需要能夠平衡以達成組織目標,並且對這些決定有信心。」
董事會顧問Paul Connelly:資安長成為導師及董事會成員
擔任過資安長、安全長與資訊安全職位(在NSA與白宮)的Paul Connelly,後來還當過董事。在當時,他看到焦點的轉變以及資安長角色的定位。她說,「當我開始做資安長時,只需要技術型知識,但現在可要瞭解業務、以及如何影響企業。」
關於擔任董事的目的,Connelly認為成功資安長今日所需的技能是:轉換成為這方面的領導角色。「資安長職位之演進,有一部分是與企業領導人有關,並涉及策略決定,如果在制定策略、與其他人合作以及推動成功專案上能證明自己,那就具備進入董事會的條件。」
在董事會角色方面,他能夠帶來的貢獻是其他人無法給的,或者在資訊長或資安長更新資訊後提出追蹤問題。「當我思考安全對公司之重要性時,令人訝異地大多數人沒有我這樣的背景。」
然而,若資安長沒有打進人脈圈裡(包括財務長、執行長或現有董事的),就不會在董事會候選人的架構內。「在做好準備後讓董事知道你、發展人脈,董事就可以當你的支援並建議你近來。」
Connelly建議資安長要與其他業務主管合作,擴大他們的技能,包括參加公司的委員會,比如風險或DEI。「重要的是參加其他領域,因為董事會無法任命一個只懂某個領域的人。董事會的工作知識也很重要,因為這不會自然發生。研究董事會在做什麼、取得像NACD之類團體的認證,同時也透過服務非營利組織取得經驗,是想要當董事者的好機會。」
另外還有尋找能支持你進入董事會的盟友。一個願意支持的執行長,可提供機會和董事會互動,並協助在向董事會報告及更新時給予方向與回饋意見,作為你準備的一環。「與你的高階主管交談,並讓他們知道,你有志於進入董事會,看他們是否能協助。」
YL Ventures合夥人Justin Somaini:資安長到投資顧問
在全球最大科技公司裡擔任過資安長、安全長、信任長後,Somaini轉向擔任顧問。他視資安長是一個多面向的角色,類似於推銷員。「我們是在公司內部推銷安全。」
這意味要透過行銷以推銷訊息、人類行為,來瞭解聽眾及其採行安全措施的理由,並學習造橋以落實安全。他說,「安全人員會尋找問題。再來找解決方案,我們會告訴公司的其他人實際上如何達成任務。」這需要瞭解其他部門的工作性質,並瞭解這些人的挑戰和阻礙。
其實這沒有絕對的路徑,每個人都有自己的路。「很多資安長都想要知道下一步,現在也是業界最大規模的首度嘗試。作為一個行業,我們需要搞清楚職涯途徑為何。」
擔任現在的職位是「透過累積多年的小事」而來的,包括瞭解創辦人和創投(VCs),之後是對創投及新創公司提出建議。他的建議是,拓展人脈以創造進入新職位的機會。
他建議資安長考慮有雙頭銜,以獲得額外的專長,並善用組織內其他職位的職權範圍,學習企業的所有面向,並與其他部門建立關係。「因為他們是水平的,資安長可看到所有事務,並建立這些關係。」
他指出,人脈的價值可以帶來新事務。「發展與促進安全領域以外的關係,會開創新機會。」
資料來源:https://www.csoonline.com/article/3498551/whats-next-after-the-ciso-role.html
沒有留言:
張貼留言