CISO有时必须努力工作才能获得与其他高管相同的地位,但有一些方法可以让他们赢得更多尊重。根据ThreatTrackSecurity2014年7月的一份调查报告,在接受采访的203位美国C级高管中,有74%的人认为CISO“不应该在董事会中占有一席之地,也不应该成为企业领导团队的一员”。这凸显了一个事实,即当数据泄露发生时,CISO主要被视为替罪羊。并非所有C级管理人员都享有同等地位。根据CEO、执行董事会的构成和企业开展业务的方式,C级高管的存在是为了支持企业、协作并做出最佳决策,以帮助确保生存能力、盈利能力和成功。CISO是否“应得一席之地”的问题并不是真正的问题。真正的问题是CISO能否为CEO和业务主管提供适当水平的支持、指导和信息,以根据风险和安全做出明智的业务决策。与CIO、公司委员会、首席隐私官和首席审计师等职位一样,CISO的存在部分是为了向管理层提供专家级的意见和建议。一些C级行政职位作为无投票权成员加入执行团队的情况并不少见。例如,首席审计师永远不应该是执行团队的投票成员,但显然他们应该有一个“席位”。CIO和CISO也应该有一席之地,前提是他们不卑躬屈膝并为业务决策增加价值。如何成为更好的CISO从C级的角度来看,CISO如何获得突出地位并获得更多责任?调查显示,74%的CISO不受其他C级高管的尊重,但另有26%的人将CISO视为领导团队的积极成员。那么,这一小群CISO是如何赢得这种尊重的呢?他们是否为企业增加了价值?确实,CISO可以使用某些策略来赢得执行团队更高级别的信任,并使CISO的职位得到更多的关注和尊重。?使用以下三个标准来加强企业内信息安全的重要性协作消除孤岛;沟通很重要,但必须深入、相关和果断;动态平衡以确保其贡献与业务目标保持一致?确定可以保护CISO的贡献和参与,赢得他们的信任并为他们提供有见地的信息,以提高他们的知名度和可信度。?发布有关企业信息安全状况的每月执行管理报告。使用图表、红-黄-绿图标突触焦点并在成本、投资回报率、风险、增长和合规性相关业务方面传达您的信息。?让业务经理有理由赞扬您的努力和价值。与主要业务主管会面,以更好地了解他们的信息安全、风险和合规痛点,并成为值得信赖的业务顾问。?及时了解最新事件和新技术,尤其是与您所在行业相关的事件和新技术。?将信息安全纳入项目管理周期、变更管理生命周期和信息管理流程。?雇用或培养对信息安全充满热情的模范员工。?成为您所在领域的杰出人物,让您的努力引起管理层的注意,不仅是内部的,还有外部的。撰写有关信息安全的文章和演讲。与专业机构打交道,了解哪些有效,哪些无效。结论当然,还有其他方法可能更适合贵公司的企业文化、管理实践和业务目标。但最重要的是,不要闲着。不要等到其他C级高管要求你做出贡献,不要力求完美,力求卓越。如果你能做到这一点,你就不会被忽视。
