CISO流失率高
无声的安全威胁
随着企业和其他机构的安全漏洞不断出现,首席信息安全官被认为是组织结构图上最艰难的职位之一也就不足为奇了。
这种情况短期内不太可能改变。但波纳蒙研究所(Ponemon Institute)去年的一项研究发现,许多ciso在其职位上只活了两年,这应该为如何选择这些领导者敲响警钟。想想CISO办公室旋转门的成本:
- 当一个接一个的ciso掌舵时,无法围绕一致的战略获得动力
- “改革疲劳症”出现在首席信息官团队中
- 由于内部环境不稳定,培养未来领导者的内部渠道难度较大
- 识别和招聘关键高管的交易成本
换句话说,CISO的高流失率本身就构成了一种安全威胁,组织需要以应对更传统漏洞的同样决心来应对它。就像那些常规威胁的情况一样,要找到解决方案,首先要重新思考情况。很多时候,公司最终会把CISO的作用主要放在具体的条款上——保护组织免受黑客入侵,使公司符合监管要求和最佳实践等等。但专注于结果掩盖了首席信息官的真正工作:领导高度波动、不确定性、复杂性和模糊性的环境。这就需要一种完全不同的方法来评估CISO角色的候选人。
首席信息官的复杂现实
首席信息官工作核心的不确定性超出了显而易见的挑战,比如由于连接性的增加而导致的网络威胁的变化,以及在全球范围内运作的网络地下世界的出现。还有许多不太为人所知的内部不确定性。虽然网络安全可能会在董事会议程上占有永久的位置,但并非所有的首席执行官和董事会成员都具备与首席信息安全官真正合作所必需的经验和词汇,这就造成了与关键决策者沟通不畅的可能性。众所周知,网络安全预算是一场在积极规划和危机响应需求之间的不稳定拉锯战。
在评估CISO候选人时,公司必须超越过去的表现。
信息安全与物理安全的交织使得CISO依赖于他或她的权限之外的领域。随着社交媒体的不断发展,员工可以自由发布与工作相关的信息,这为黑客提供了更大的“攻击空间”。(请记住,一个组织可能变得脆弱,不仅是因为其员工共享的信息,还因为该组织供应商和业务合作伙伴的员工。)
大多数公司通过筛选某些领导能力(如沟通能力和影响力)来评估CISO候选人。考虑到CISO的关键任务之一是创建一个在整个组织中集成良好安全实践的环境,这些属性尤为重要。事实上,我们观察到ciso通常会在第一年的可自由支配时间中花费高达20%的时间来理解、导航和管理利益相关者关系(尽管随着他们建立信誉和信任,这一比例会显著下降)。
但是,尽管能力筛选提供了候选人领导力工具箱的重要清单,但在CISO必须工作的高度动态环境中,能力还不够。毕竟,他们认为现在的表现预示着未来的成功——在未来不断变化的情况下,这种假设是站不住脚的。事实上,当今时代所需要的特质——适应变化的能力——显然与简历上显示的技术专长和能力所列的领导能力完全不同。虽然有很多因素导致CISO的任期很短,但寻找CISO的公司可以通过扩大他们的评估策略来增加长期成功的几率,而不仅仅是看过去
而现在的表现,更在于面对未来未知挑战的能力。
衡量在不确定性中茁壮成长的能力
为了更清楚地了解在动荡的环境中所需要的特质,亿康先达(Egon Zehnder)分析了数千名高管的数据,并确定了四个关键品质,这些品质表明了在未知环境中成功领导的能力:
1.好奇心:喜欢寻求新的经验、知识和坦诚的反馈,对学习和改变持开放态度。
2.洞见:收集和理解信息的能力,以提出以前未见的机会和威胁。
3.事务:善于运用情感和逻辑来传达有说服力的愿景,并与人建立联系。
4.决心:不顾挑战,为困难的目标而奋斗,并从逆境中恢复过来的必要资本。
我们把这四个特质的总和称为候选人的潜力。拥有这些品质的高管“不舒服也能适应”,因此很有能力在不确定性很高的情况下领导企业。当然,潜力的四种品质并不能取代对相关经验和核心领导能力的需求。但是,在CISO候选人评估过程中增加潜力,使得公司的选择更有可能存活足够长的时间,从而对关键职能产生持久的影响。