您现在的位置是:首页 > 头条新闻 >
九大“败举”令CISO疏远CEO
摘要信息安全是商业组织里一个比较重视的话题,而“首席信息安全官(CISO)”这个角色只是在过去几年间才出现的。 研究表明,在2009年,美国有44%的公司设立了首席信息安全官这一职位,这与2008年的29%相比已有大幅跃升。...
信息安全是商业组织里一个比较重视的话题,而“首席信息安全官(CISO)”这个角色只是在过去几年间才出现的。 研究表明,在2009年,美国有44%的公司设立了首席信息安全官这一职位,这与2008年的29%相比已有大幅跃升。
下面的列表提供9种肯定能让你的CEO或企业的其他高管对你敬而远之的方法。如果你做这些事情,不仅有可能破坏你在组织中担任战略顾问角色的机会,甚至还可能使你立即走人。
浪费他们的时间
当你向CEO(可能还有其他企业高层管理人员或董事会成员)汇报时,不要浪费他们的时间,详细谈论与他们无关的细节,例如高谈阔论监测到的病毒数量或防火墙命中的数量。这是攸关你职业声誉的15分钟演出,千万不要把它耗费在细微末节上。 如果你常常用小问题麻烦CEO , 你就只会被视为噪音。
浪费钱
作无谓的投资是一个激怒你的CEO的好办法。一些CIO对技术抱有“势在必得”的态度,只是简单地开出清单,购买安全部门应该配备的一切设施,而不是确保每笔投资都与商业风险紧密关联。其他浪费钱的方法还有冗员运作或实施过分的安全计划,导致效率低下和降低生产率。
使用FUD
频繁使用表达恐惧、不确定和怀疑的信号(FUD)是惹恼CEO和其他高级主管的另一个好方法。 让他们了解威胁程度、数据破坏和规章制度是很重要的,但如果你的目的是吓唬他们在安全上投钱,那就不会取得多大进展。请不要在CEO的演示文稿中滥用网络的威胁和破坏数据的标题,特别是如果你不能用真实数据来说明相关问题与本公司具体情况之间的联系。
谈技术
如果你想让你的CEO目光呆滞,那就尽量谈论安全团队如何提取出恶意软件样本或选定加密算法和密钥大小。许多CIO具有技术背景和专业知识,但这种素质可能是一把双刃剑。你可能知道网络攻击和防御技术的复杂性,但要用商业界可以理解的方式说明风险,却捉襟见肘。 安全是一个商业问题,请用谈论商业问题的方式谈论它。一个更好的态度是,“我们曾作过接受风险的决定,现在不幸的事件发生,让我们来解决这个问题吧”。
提出一个问题 ,但没有解决方案
如果你没有想到问题可能的解决办法,就不要向CEO提出这个问题。带着备选方案和解决方案来参加会议,而不是问题。在提出一个解决方案之前,请确保它是正确的。不要提出一些不匹配组织文化、当前的业务目标或经济环境的建议,你的解决方案必须是合理和可行的。
希望得到特殊对待
想要惹怒你的CEO?那就鼓吹IT部门比其他部门都要重要,因此需要特别关注。或者,你还可以认为,在整个公司实施削减预算的大背景下,IT部门应自动免除。有些信息安全专家认为,如果风险增加,他们的预算也应增加。但更多的风险和更多的支出之间是不一定能画等号的。
在真空中运作
让自己完全边缘化的一个好办法,就是制定与领导层和组织其他部门毫不相干的目标。例如,在所有的业务单位正忙于将数据处理交由服务供应商处理,以便节省开支的时候,继续把重点放在强化网络边界保护上。
创立令人沮丧的政策
一个烦扰CEO和其他人的真正简单的方法是发布令人沮丧的政策。像除员工以外的人员不得访问企业网络这样的法令;而与此同时,企业需要与合作伙伴交流,来保持竞争力。或者制定具有普遍适用性的政策,不允许任何人从家里访问网络;但员工需要灵活的工作时间。或者声明所有人不得使用有照相功能的手机,而能买到没有拍照功能的手机几乎是不可能的。用心良苦的政策有时完全是不切实际的,你必须现实一点。
说不
这是在商业创新安全系列报告中反复出现的一个强大的主题。过去,信息安全人员经常被视为可以说“不,你不能这样做”的人。但如果你想发挥自己的战略作用,就不能说不。你应该考虑如何帮助企业安全地实现其目标。
(本文不涉密)
责任编辑:
上一篇:CIO是否该参与业务流程重组?