剧情概要
成为一名优秀的 CISO 需要的不仅仅是完成标准的工作描述。据 CISO Steve Gentry 称,该职位要求具备商业头脑并专注于战略运营。
“我感到沮丧的一点以及我所努力的方向是支持 CISO 成为真正的商业领袖……这与技术无关。与我们必须修复这些漏洞无关。而是我们如何建立与我们和商业领袖共同推动的业务目标相匹配的业务和实践?”
在他的职业生涯中,史蒂夫依赖各种数据源和工具,认识到它们在公司成功中发挥的关键作用。史蒂夫强调高管需要接受数据驱动的决策,他说“要推动协调,你不能只依靠你的感觉。”
Steve 的使命是支持 CISO 成为真正的商业领袖,将他们的商城思维模式从“胆小怕事”转变为专注于业务成果和目标。通过将安全实践与业务目标相结合,CISO 和 CIO 可以被视为组织成功的宝贵贡献者。
嘉宾聚焦
姓名:Steve Gentry
职务:Clari 前首席信息安全官
在线联系 Steve: LinkedIn
剧集亮点
对于首席信息安全官来说,商业头脑是不可或缺的
“我感到沮丧的一件事以及我所坚持的立场就是,要将 CISO 视为真正的商业领袖。我们仍然有这种心态。甚至最近的职位描述中,他们也说,我们需要实干家。我们需要你写代码。那么,我是 CISO 还是个人贡献者?你在寻找什么样的职位?你想要什么?你是否问过像你这样规模的公司的 CFO 是否真的在做订单管理?我们转变的界限在哪里?那么我该如何树立这种声誉?其中之一,我需要停止在许多安全角色中看到的那种胆小怕事的态度。我们带着这种 FUD 领导,天塌下来了,一切都是风险。我们必须完成这件事……这种心态是我在担任顾问时学到的,很棒,我明白你想说什么。让我们回过头来看看你的业务目标是什么……我把这种心态带入了安全领域。这与技术无关。问题不在于我们必须修复这些漏洞。问题在于我们如何建立业务和实践,以符合我们与业务领导者共同推动的业务目标?因此,问题在于我如何才能不抱有同样的心态,让世界各地的 CISO 和 CIO 被视为业务领导者?因为我们谈论的是与业务相关的事情,而不仅仅是我们自己的实践,人们实际上也不太了解很多背景。”
数据说话,推动高管协调
“有些人听到后,就会觉得我知道自己在说什么。我掌握的数据比你的意见更重要。但我也喜欢内省地看待它,因为当我们审视我们的流程时,当我试图管理组织中的所有 SaaS 应用程序时,当我审视安全性时,就像,好吧,如果我想管理风险,因为最终所有风险,无论是安全、人员还是行业,都是企业风险管理。那么我如何利用这些数据并摆脱自己的无知?我们都有无知。这取决于我们是否正在采取措施消除这种无知。”
“我们所有人都有这样的想法,这就是为什么我认为我们收到太多申请,或者我认为我们在这里过度扩张的原因。但要推动协调,你不能只凭感觉。如果你的 CIO、CISO 来找你,说‘嗯,我认为这是个问题。’那就像是,太好了,我很高兴你这么想。向我证明这一点。这是信任但要核实。我认为你是个聪明人,但请告诉我为什么你认为这真的是一个问题。不要只告诉我这是个问题。” 没有学位我可以从事数据科学工作吗?
清晰的数据架构可提高安全态势、效率和业务目标的实现
“我查看了三个不同的应用程序来源,但没有一个是一致的。没有人确切知道真相的来源是什么。因此,在我们经历这个过程时,对我来说,甚至不知道我们可能在哪里拥有关键数据,以及我试图保护的应用程序和资产,以及我有责任保护这些应用程序和资产,这种安全风险让我非常焦虑。因此,如果我想做好我的工作,我需要了解我们的架构。我需要了解我们的足迹是什么。那么我该如何推动这一点呢?通过这样做,再次回到我们最初谈论马来西亚号码的话题,我们的企业目标是什么?我们作为一家公司想要实现什么?跳过我自己的目标。高管团队列出的三到五件事是什么?这就是公司的发展方向,这就是我们想要实现的目标。如果其他一切都消失了,这些就是我们需要处理的事情。基于此,我正在做的工作与这项工作有什么关联?那么我如何保护或如何帮助提高流程效率,让人们随时随地访问他们需要的数据。特别是因为我们有很多超越端口模型或混合模型。我们如何使企业真正实现其目标,同时又保护我们现有的数据?因此,对于我来说,作为一名安全专业人员和 IT 专业人员,我确实将 IT 和安全作为两种不同的技能组合分开,这是我工作的一部分。但这样做必须以与企业试图实现的目标一致的方式进行。”