评估和吸引你的下一个首席信息官:更复杂的方法,更复杂的角色
首席信息安全官(CISO)的角色在过去十年发生了巨大变化。首席信息官不再仅仅是一个被召唤来保护公司珍贵数据的数字警长,而是被期望作为其他高管的全面战略合作伙伴。这一角色的升级是对同一时期广泛的技术、社会、经济和地缘政治发展的自然反应。对于许多组织来说,信息——无论是客户记录、知识产权还是战略规划——现在都是他们最有价值的资产。随着这些资产变得越来越有价值,它们也变得越来越不安全,因为攻击者的数量和技术水平都在增加,以及日益网络化的社会固有的脆弱性。
底线是,尽管首席信息官很少直接向首席执行官汇报,但他(她)必须具备首席执行官一级职位所需的素质。致力于填补CISO角色的组织必须确保他们的招聘策略和候选人评估过程与这些更高的期望保持同步,以免这些组织增加其未实现安全目标的风险,缩短CISO的任期和相关的成本。此外,在频繁变化的信息安全领导者的阴影下,保持一致的安全文化也很困难。
对CISO候选人有全面的认识
我们在亿康先达的观察发现,在寻找下一任首席信息官时,企业可以从更广泛的角度看待所要求的品质和能力,从而从中受益。有效的候选人评估可以通过将候选人的职业生涯分为过去、现在和未来三个部分,并以适当的视角对每个部分进行评估来实现。这三个要素的整合提供了CISO候选人的整体视角,符合今天该角色的多面性。
过去:候选人做了什么?
候选人的证书、工作经历和业绩记录一直是评估过程的核心部分,这是有充分理由的。该部分包括检查候选人工作过的组织类型、它们的规模和复杂性,以及它们服务的市场,然后查看候选人在每个角色中完成了什么,候选人领导了什么变革,以及候选人监督下的组织的安全记录。这些发现为衡量候选人与职位之间的契合度提供了原始材料、基本事实和背景。虽然CISO这个职位已经大大超出了它的技术基础,但工作经历所表明的技术专长是候选人值得进一步考虑的必要“筹码”。
现在:候选人能做什么?
直到大约十年前,考察应聘者的工作经历通常是评估过程的主要内容。然后,我意识到,一个候选人到目前为止所做的只是他能做的一部分,因为一个人的工作经验永远不可能如此广泛,以致于他能做到的一切。考察高管的能力是一种清点高管所有领导力工具箱的方式。关键是要根据职位的要求来评估合适的能力。根据我们的经验,在评估CISO候选人时,有五项能力尤其重要。以下是从最常见到最难以捉摸的顺序:
1.结果导向:成功的候选人必须能够迅速行动,完成正确的事情。审计及时得到回应,董事会清楚信息安全投资的影响,核心数据资产得到很好的保护。
2.战略定位:正如前面提到的,CISO必须是一个具有批判性思维能力的战略导向的合作伙伴。他或她必须处理不同的信息,并就外部问题(如威胁和对策的变化)和内部问题(如信息安全策略和协议的业务影响)产生有价值的见解。
3.变革型领导:不管新首席信息官是在什么环境下掌舵——在重大违约后,在董事会的严密审查下,还是在必须整合的收购中——他或她都需要改变系统以应对当前的挑战,创造一个其他人接受的愿景,推动组织向前发展,同时保持日常运营的平稳运行。
4.关系管理:CISO必须能够在一个矩阵化的环境中领导,与对信息安全持有不同观点的一系列群体进行外交工作,包括董事会、首席执行官、首席财务官、首席运营官和总法律顾问。除了管理内部关系,CISO还必须利用外部网络,包括其他组织的同行、互联网服务提供商、第三方安全解决方案供应商以及执法和情报机构。CISO必须具有必要的威严和影响力,以便在各种情况下(从场外战略会议到应急反应)与这些内部和外部小组进行有效沟通。
5.团队领导:大多数组织都把注意力集中在填补CISO职位上,而留给建立内部人才管道的精力相对较少。这可以理解,但目光短浅。识别和发展内部信息安全领导人才对该职能的长期成功至关重要,应该被视为CISO角色的一部分。
未来:候选人将如何适应变化和不可预见的发展?
与只考察职业经历相比,考察能力能更全面地了解候选人的能力。但基于能力的评估有其自身的局限性,因为它假设未来或多或少会像过去或现在。它并不衡量一个人应对诸如当前数字变革浪潮所带来的根本性变化的能力。当条件变得非常复杂和模糊时,那些在纸上看起来非常合格、表现良好的人可能达不到预期。此外,只看经验和能力意味着组织有可能忽略那些今天看起来准备不足,但有足够支持的候选人是最适合未来的。
在亿康先达(Egon Zehnder)对数千名高管的评估进行的研究中,我们发现,那些在面对波动性、复杂性、不确定性和模糊性时表现出色的人拥有四个共同的特征,我们把它们统称为潜力。潜能的四个要素如下:
1.好奇心:喜欢寻求新的经验、知识和坦诚的反馈,也乐于学习和改变
2.洞见:收集和理解信息的能力,以暗示之前看不到的机会和威胁
3.事务:运用情感和逻辑来传达有说服力的愿景并与人沟通的技巧
4.决心:不顾挑战,为困难的目标而奋斗的韧性,以及从逆境中恢复过来的韧性。
潜力的要素为基于能力的评估增加了一个额外的维度,同样,考查能力比仅仅考察工作经历提供了更多的深度。这些因素都不足以单独确定候选人将如何应对CISO这一角色所面临的挑战,但将它们结合在一起,就形成了一幅生动的、以我们的经验来看是高度准确的画像和预测。由于CISO的角色在过去几年里发生了很大的变化,这些新增的维度尤其重要。很少有CISOs有作为战略领导者(而不是技术经理)的记录,而这正是今天这个角色所需要的。潜力的属性添加了另一个元素,以帮助确定谁可能成功地跨越这一跨越。
但上面的框架只是——它的输出质量取决于输入的质量。如果没有协调一致的努力,在CISO评估中很难获得可靠的输入,因为数据安全功能倾向于从一个危机迅速转移到另一个危机,几乎没有留下具体的证据表明谁在什么时候做了什么。获得所需细节的关键是与多位知情的推荐人进行深度访谈。这样做需要有能力利用广泛的专业网络。
由于要权衡的因素数量众多,重要的是,不仅要收集对每项被考察品质的观察,还要根据行业平均表现将候选人置于一个衡量标准上。一些组织还通过心理测试来补充候选人和推荐人面试,为评估过程提供另一层客观的输入。
定位的作用
目前,顶级CISOs的市场竞争非常激烈。信息安全已经成为一个备受关注的企业问题,对合格候选人的门槛也提高了。据估计,2015年6月,美国有2700个CISO职位空缺。因此,即使组织能够根据当前和未来的要求有效地评估候选人,他们也必须从一开始就做好准备,积极地向自然持怀疑态度的听众推销机会。根据我们的经验,每一位CISO候选人在评估一个机会时都会问四个主要问题:
1.“谁是我的赞助人,他/她有多大的影响力?”这可能是CISO候选人脑子里的第一个问题,他或她至少会从两种具体的角度考虑这个问题。首先,尽管首席信息官可能会与董事会和高管进行一些互动,但仍会有许多影响信息安全功能的对话,而首席信息官不会参与其中。因此,CISO将不得不依靠他或她的主管作为一个有效的中间人,来倡导资源和政策倡议,并在信息安全问题展开时向董事会和首席执行官进行教育。其次,当CISO需要采取不受欢迎的立场来加强组织的信息安全配置时,他或她必须知道高层会支持他或她。
2.“该组织对信息安全的承诺有多深?”这不仅仅是一个工作人员和预算分配的问题,尽管这些因素当然很重要。首席信息官想要知道,公司高层和董事会了解信息安全职能核心的复杂性和不确定性,以及让组织中从上到下的每个人都对安全负责的必要性。CISO要取得成功,他或她必须被授权采取行动,并拥有必要的资源,以在正常情况下和危机时期部署。尽管CISO希望组织具有高标准,但他或她会避免那些条件反射式地在安全团队中循环的企业。
3.“我的主要绩效指标是什么?”鉴于每个大型组织都必须假设自己不断受到网络攻击,因此安全漏洞不是“是否”而是“何时”的问题。因此,对一家公司来说,把首席信息官的业绩基准设定为“一击就出局”是不现实的。关于期望的谈话和关于资源、报告线和报酬的谈话一样重要。
4.“五年后我会在哪里?”那些领导信息安全职能的人就像其他职能领导一样,在他们的职业抱负范围内。对一些人来说,有机会领导一个质量组织的职能是他们的目标;然而,还有一些人则期待担任首席信息官,甚至在组织领导中扮演更广泛的角色。重要的是要了解每个求职者的愿望与公司所能提供的条件之间的差距。记住,CISO的报告关系将是他或她脑海中框架这个问题的一个因素。
人们必须就信息安全的战略重要性进行辩论的日子早已一去不复返了。在大多数组织中,CISO这个角色现在已经具备了其职责所要求的重要性和复杂性。组织可以通过问自己以下四个问题来评估其CISO招聘和评估战略的状态:
1.我们是否已确定首席信息总监的全面战略责任和成功所需的能力?
2.我们是否有一个统一的方法来评估候选人的责任?
3.我们是否根据组织的信息安全背景审查了CISO的报告关系,以确保CISO有足够的权力来完成组织的信息安全目标?
4.我们是否有足够的专业发展计划来支持CISO和他或她的团队,以帮助他们达到该职能的高度重要性所要求的标准?
从这些问题的答案中,组织可以开始进行必要的调整,以确保他们有方法和工具来识别和吸引信息安全人才,这些人才可以胜任当前职位所需的水平。
本文基于该书第46章导航数字时代-董事和官员的权威网络安全指南由纽约证券交易所集团和帕洛阿尔托网络公司发布。请允许我在上面发帖www.jx21c.com.