商业导向的CISO:未来的商业需求
关键要点
高管层对CISO角色的期待正在转向商业战略与风险管理,而非单纯的技术领导。多数CISO的职业路径仍以技术背景为主,但这是一个即将改变的趋势。新的CISO候选人可能会来自更多样的背景,如法律、产品管理、供应商管理、会计和商务运营等。拓宽CISO招聘范围可助于缓解多样性问题,提高领导力素质。高管们如今希望首席信息安全官CISO能够更多地专注于商业战略和风险管理。这一变化将对未来CISO职位的候选人产生重大影响。从长远来看,企业对CISO的期待将进一步演变,招聘标准也将随之发生变化。
如果董事会期望CISO具备更多的商业领导才能,那么公司在选人时自然会优先考虑那些拥有商业职业经历的候选人,而不是单纯的技术专家。根据近期对信息安全专业人士的调查,47的人认为CISO这个职位的技术成分已经降低。
研究数据也支持这一空间的变化。据IANS的最新研究,76的CISO是通过技术职业路径成长起来,但也有近25的CISO是通过非技术路径走到现今的位置。如今,许多备选的背景路线会是与安全相关的职业,如治理、风险与合规GRC及审计与风险等。约22的受访者表示他们的经历包含在这些风险与合规领域中。而只有2的CISO来自完全不具备技术或风险背景的领域。
在接下来的几年里,随着更多董事会要求CISO具备更深厚的商业意识和经验,“其他”背景的候选人将会越来越多。随着这种趋势的加剧,能够为CISO职位提供支持的背景经历可能会出现,包括以下几种:
背景类型描述法律随着网络安全和事件诉讼的法规环境日益复杂,现代CISO需要与法律部门密切合作。某些公司甚至可能会考虑拥有法律背景及相关安全行业经验的CISO。产品管理CISA及更广泛的网络安全社区推动“安全可设计”要求,将迫使企业在产品规划和路线图中嵌入安全,重视具有产品管理经验的CISO。供应商管理随着第三方风险和软件供应链安全在网络安全中的重要性日益增加,许多拥有复杂供应商关系的企业可能会更倾向于从供应商管理领域选拔CISO。会计国际注册会计师协会推出的新规则将促使未来的注册会计师选择网络安全作为其专业之一,这将培养出一批新的网络安全会计师,为CISO职位孕育候选人。商务运营具有商务运营背景的人能够跨功能合作,并掌握如何以业务导向的方式进行沟通和人员管理。这些技能是现代CISO所必需的,培训起来比安全基础知识更加困难。最终,从数据和行业气候来看,企业正在向构建团队的CISO转型。这些CISO可能本身不具备技术背景,但必须懂得如何管理技术团队并与其他业务部门进行清晰沟通。对于许多组织而言,提升CISO的候选人素质可能正是其所需的一个重要变革,而背景的改变也可能会在多样性方面带来重要的改善。
根据最新的数据,90的CISO是男性,其中65是白人。通过拓宽不同商业领域的人才招聘范围,可以吸引更广泛的合格业务领导者,进而改变CISO队伍的组成。这不仅能在统计数字上产生变化,同时也可能改变这一角色的文化和哲学心态。引入更为多样化的人才,有助于提升CISO选拔中既具备技术基础又能满足协作需求的灵活思维者的机会。
作者 Bob Ackerman AllegisCyber Capital创始人兼管理董事
编者注:本文是关于CISO角色变化的三篇周一专栏中的第二篇。
快喵加速器ios手机版SC Media的观点专栏由可信赖的网络安全领域专家撰写,旨在为网络安全话
