CISO人员流动率高
无声的安全威胁
随着企业和其他机构的安全漏洞层出不穷,首席信息安全官被认为是组织结构图上最艰难的职位之一也就不足为奇了。
这种情况不太可能很快改变。但波内蒙研究所(Ponemon Institute)去年的一项研究发现,许多ciso在其职位上只存活了两年,这应该成为一个严肃的警钟,提醒人们如何选择这些领导人。想想CISO办公室旋转门的费用:
- 当一系列的ciso掌舵时,无法围绕一致的战略获得动力
- CISO团队中出现了“改革疲劳症”
- 由于不稳定的内部环境,培养未来领导者的内部渠道难度更大
- 识别和招聘关键高管的交易成本
换句话说,CISO的高流动率本身就构成了一种安全威胁,组织需要以应对更传统漏洞的同样决心来应对它。就像那些传统威胁的情况一样,要想找到解决办法,首先要重新思考形势。太多的情况下,公司最终把CISO的作用主要看在具体的方面——保护组织免受黑客入侵,保持公司符合监管要求和最佳实践等等。但只关注结果,却掩盖了首席信息官的真正工作:在高度波动、不确定性、复杂性和模糊性的环境中领导。这就需要一种完全不同的方法来评估CISO职位的候选人。
首席信息官的复杂现实
首席信息官工作核心的不确定性超出了明显的挑战,如网络威胁的变化,由于连接的增加,以及在全球范围内运作的网络地下世界的出现。此外,还有许多鲜为人知的内部不确定性因素。虽然网络安全可能在董事会的议程上有一个永久的位置,但并不是所有的ceo和董事会成员都有与CISO真正合作所必需的经验和词汇,这就造成了与关键决策者沟通不畅的可能性。众所周知,网络安全预算是一场在积极规划和危机应对需求之间的不稳定拉锯战。
在评估首席信息官候选人时,公司必须超越过去的表现。
信息安全与物理安全的交织使得首席信息官依赖于他或她权限之外的领域。随着社交媒体的不断发展,员工可以自由发布与工作相关的信息,这为黑客挖掘提供了更大的“攻击空间”。(请记住,一个组织之所以脆弱,不仅仅是因为它的员工分享了什么,还因为该组织的供应商和商业伙伴的员工。)
大多数公司通过筛选某些领导能力来评估CISO候选人,比如沟通能力和影响力。这些都是特别重要的属性,因为CISO的关键任务之一是创建一个在整个组织中集成良好安全实践的环境。事实上,我们的观察发现,CISOs通常会在第一年的自由支配时间中花费20%的时间来理解、引导和管理利益相关者的关系(尽管在建立可信度和信任之后,这一比例会显著下降)。
但是,尽管能力筛选提供了候选人领导力工具箱的重要清单,但在CISO必须运作的高度动态环境中,能力还远远不够。毕竟,他们假设现在的表现是未来成功的预测指标——在未来不断变化的情况下,这是一个脆弱的假设。事实上,这种时代所需要的特质——适应变化的能力——显然与简历上的技术专长和按能力列出的领导能力完全不同。虽然有很多因素导致首席信息官的任期很短,但寻找首席信息官的公司可以通过扩大评估策略,而不仅仅是着眼于过去,来增加长期成功的几率
而现在的表现,更在于未来面对未知挑战的能力。
衡量在不确定性中茁壮成长的能力
为了更清楚地了解在动荡的环境中所需要的特质,亿康先达分析了数千名高管的数据,并确定了四个关键品质,这些品质表明在面对未知的情况下成功领导的能力:
1.好奇心:喜欢寻求新的经验,知识和坦诚的反馈,对学习和改变持开放态度。
2.洞见:收集和理解信息的能力,以暗示之前看不到的机会和威胁。
3.事务:运用情感和逻辑来传达有说服力的愿景并与人沟通的技巧。
4.决心:不顾挑战,为困难的目标而奋斗的必要资金,以及从逆境中恢复过来的必要资金。
我们把这四个特征的总和称为候选人的潜力。拥有这些品质的高管“在不舒服的情况下也能安于现状”,因此在不确定性很高的情况下,他们很有能力领导企业。当然,潜能的四种品质并不能取代对相关经验和核心领导能力的需求。但在CISO候选人评估过程中增加潜力,更有可能使公司的选择存活足够长的时间,并在关键职能方面产生持久的影响。