四位安全領(lǐng)導(dǎo)者分享了他們從CISO到COO、副總裁、董事會(huì)成員和投資顧問的職業(yè)歷程，展示了CISO未來可能的職業(yè)發(fā)展路徑。

自1990年代中期Steve Katz在Citicorp首次擔(dān)任CISO以來，近30年內(nèi)，CISO的角色變化顯著，從管理技術(shù)控制到應(yīng)對(duì)業(yè)務(wù)風(fēng)險(xiǎn)，這一角色的演變?yōu)镃ISO們進(jìn)入其他崗位鋪平了道路。

四位采取不同職業(yè)路徑的CISO分享了他們從CISO轉(zhuǎn)向新職位的經(jīng)驗(yàn)和建議。

從CISO到COO：Chad McDonald，RadiantLogic的COO

Chad McDonald從CISO轉(zhuǎn)任RadiantLogic的COO，擁有近20年的CISO角色經(jīng)驗(yàn)，還曾負(fù)責(zé)客戶體驗(yàn)和專業(yè)服務(wù)，他發(fā)現(xiàn)，CISO這一角色需要從戰(zhàn)略角度思考整個(gè)業(yè)務(wù)，并影響各個(gè)部門，這些技能在他邁向下一個(gè)職業(yè)階段時(shí)非常有用。

McDonald認(rèn)為，這些戰(zhàn)略技能非常適合應(yīng)用到更廣泛的崗位，如COO。在他目前的職位上，他必須理解客戶需求，并與他們用共同的語言交流?！癈ISO需要與財(cái)務(wù)、人力資源、市場(chǎng)營(yíng)銷以及產(chǎn)品部門溝通，以推動(dòng)變革，改變企業(yè)的安全視角或降低風(fēng)險(xiǎn)，這些技能非常適用于運(yùn)營(yíng)團(tuán)隊(duì)的管理?！彼硎?。

“作為CISO，你的日常工作就是從業(yè)務(wù)的戰(zhàn)略角度思考，而不僅限于你的職責(zé)范圍。一個(gè)小小的改變就可能影響整個(gè)業(yè)務(wù)，因此你必須善于在職責(zé)之外發(fā)揮影響力?！盡cDonald告訴記者。

廣泛接觸不同的行業(yè)領(lǐng)域有助于轉(zhuǎn)型為COO等角色，因?yàn)檫@涉及理解不同的監(jiān)管和合規(guī)需求?！斑@幫助你用不同的方式思考，不僅是內(nèi)部需求，還要考慮這些需求如何轉(zhuǎn)化為客戶的需求，并從內(nèi)外部視角來看待你的組織?！彼a(bǔ)充道。

雖然這大多是一條線性的職業(yè)路徑，但安全與其他C級(jí)職位(如CIO和CTO)之間的重疊越來越大，這為CISO們提供了新的機(jī)會(huì)。McDonald建議，CISO們需要掌握廣泛的商業(yè)技能，包括財(cái)務(wù)、項(xiàng)目管理以及理解法律合同?！斑@些對(duì)想要轉(zhuǎn)型為CIO、CTO或COO的CISO至關(guān)重要?！?/p>

良好的溝通能力仍然是關(guān)鍵。“隨著職位的提升，你需要在執(zhí)行層面進(jìn)行溝通，不僅僅是傳達(dá)戰(zhàn)術(shù)信息，還要向那些可能不熟悉技術(shù)或安全的人清晰解釋你的方向和原因。”他說。

從CISO到CIO再到副總裁：Tammy Loper，坦帕大學(xué)信息技術(shù)與安全副總裁

Tammy Loper是坦帕大學(xué)的信息技術(shù)與安全副總裁，她的職業(yè)生涯專注于創(chuàng)建和轉(zhuǎn)型安全與技術(shù)運(yùn)營(yíng)，從CISO晉升為CIO，如今是副總裁。

在她的職業(yè)生涯中，Loper發(fā)現(xiàn)，戰(zhàn)略思維、在各個(gè)層面建立強(qiáng)有力的關(guān)系并獲得支持，對(duì)于工作場(chǎng)所的成功至關(guān)重要，這也為她帶來了晉升機(jī)會(huì)。

“在啟動(dòng)一個(gè)新的安全項(xiàng)目時(shí)，我與校園內(nèi)的每個(gè)部門進(jìn)行了會(huì)面，分析了他們使用的系統(tǒng)、處理的信息類型、技術(shù)手段、業(yè)務(wù)挑戰(zhàn)和差距?！盠oper告訴記者。

Loper創(chuàng)建了一個(gè)共同的使命，幫助在組織內(nèi)部建立權(quán)威性，從而進(jìn)行教育和影響力擴(kuò)展，這也有助于提升她的可見度——這是為晉升做好準(zhǔn)備的關(guān)鍵因素之一?！叭绻愕慕巧诮M織中被埋沒，并且你是自下而上推動(dòng)工作而不是自上而下，那么董事會(huì)成員可能根本不會(huì)知道你是誰，也不會(huì)了解你的能力。”她說。

CISO在理解組織流程和將安全定位為核心使命的一部分方面具有獨(dú)特的視角，這為晉升至更高職位打開了潛在的機(jī)會(huì)。

在Loper的案例中，她成功地建立了一個(gè)安全項(xiàng)目，并將這一戰(zhàn)略擴(kuò)展到了IT領(lǐng)域，最終成為CIO。她晉升為副總裁反映了IT和安全在大學(xué)的各個(gè)部門中需要一定的權(quán)威性。挑戰(zhàn)在于如何在業(yè)務(wù)需求和安全需求之間找到平衡，而CISO有時(shí)可能需要打破對(duì)安全的單一關(guān)注?！癈ISO有時(shí)在做出這些艱難妥協(xié)時(shí)會(huì)感到掙扎，但你必須能夠找到那個(gè)平衡點(diǎn)，以滿足組織目標(biāo)，并對(duì)這些決策充滿信心。”她說。

從CISO到導(dǎo)師和董事會(huì)成員：Paul Connelly，董事會(huì)顧問

Paul Connelly曾擔(dān)任多個(gè)CISO、CSO和信息安全職位，包括在NSA和白宮的工作經(jīng)歷，之后轉(zhuǎn)向擔(dān)任技術(shù)顧問和董事會(huì)成員。在此期間，他看到了CISO角色的重點(diǎn)和地位的變化?！皠傞_始時(shí)，這個(gè)角色主要是技術(shù)知識(shí)，而現(xiàn)在更多是了解業(yè)務(wù)及其影響。”Connelly告訴記者。

如今，他認(rèn)為對(duì)工作的熱情、溝通能力和組織技巧幾乎比特定的背景更為重要。

對(duì)于希望進(jìn)入董事會(huì)的CISO，Connelly發(fā)現(xiàn)今天成為成功CISO所需的技能同樣適用于領(lǐng)導(dǎo)職位?！癈ISO角色的演變部分體現(xiàn)在與業(yè)務(wù)領(lǐng)導(dǎo)者的互動(dòng)，參與戰(zhàn)略決策。如果你能證明自己可以制定戰(zhàn)略，與他人合作并推動(dòng)成功的項(xiàng)目，這確實(shí)為進(jìn)入董事會(huì)打開了大門。”他說。

在擔(dān)任董事會(huì)成員時(shí)，他能夠提出其他人沒有意識(shí)到的問題，或者在CIO或CISO提供更新時(shí)提出后續(xù)問題。“當(dāng)我想到安全對(duì)企業(yè)的重要性時(shí)，令人驚訝的是，更多公司沒有我們這種背景的人?！盋onnelly告訴記者。

然而，如果CISO不屬于包括CFO、CEO和現(xiàn)有董事會(huì)成員在內(nèi)的社交圈，他們通常不會(huì)被推薦進(jìn)入董事會(huì)?！澳阈枰J(rèn)識(shí)董事會(huì)成員，并建立起與他們的關(guān)系網(wǎng)絡(luò)，這樣當(dāng)你準(zhǔn)備好時(shí)，董事會(huì)成員會(huì)站在你身后并推薦你?！?/p>

Connelly建議CISO與其他業(yè)務(wù)領(lǐng)導(dǎo)者互動(dòng)，拓寬技能，包括參與工作場(chǎng)所的風(fēng)險(xiǎn)或多元化與包容性(DEI)委員會(huì)?！皡⑴c其他領(lǐng)域至關(guān)重要，因?yàn)槎聲?huì)無法將席位留給只專注于一個(gè)領(lǐng)域的人。”對(duì)董事會(huì)運(yùn)作的了解也很重要，但這并不是自然而然發(fā)生的?！把芯慷聲?huì)的工作，考慮通過像全國(guó)公司董事協(xié)會(huì)(National Association of Corporate Directors)這樣的組織獲得認(rèn)證，并通過為非營(yíng)利組織服務(wù)積累一些董事會(huì)經(jīng)驗(yàn)，這些組織總是在尋找董事會(huì)成員?！?/p>

尋找能夠支持你進(jìn)入董事會(huì)職位的盟友。一個(gè)支持你的CEO可以為你提供與董事會(huì)成員平等互動(dòng)的機(jī)會(huì)，并在你準(zhǔn)備時(shí)為你的陳述和向董事會(huì)匯報(bào)的更新提供指導(dǎo)和反饋。“與高級(jí)領(lǐng)導(dǎo)層溝通，讓他們知道你的興趣，看看他們是否能提供幫助?！?/p>

從CISO到CSO再到投資顧問：Justin Somaini，YL Ventures合伙人

Justin Somaini是YL Ventures的合伙人，曾在一些全球最大的科技公司擔(dān)任CISO、CSO和首席信任官的職位，之后轉(zhuǎn)為顧問。他認(rèn)為CISO的角色是一個(gè)多面性的角色，類似于銷售人員?！拔覀兪窃趦?nèi)部銷售安全性?！盨omaini告訴記者。

這意味著需要運(yùn)用營(yíng)銷技巧來推廣信息，理解人類行為以了解受眾及其采納安全措施的理由，并學(xué)會(huì)搭建橋梁以完成安全任務(wù)?！鞍踩藛T不僅僅是做工作，我們發(fā)現(xiàn)問題，然后找到解決方案，并告訴公司里的其他人實(shí)際完成工作?！彼f。這需要理解他人的工作和職責(zé)，并意識(shí)到這些人面臨的挑戰(zhàn)和障礙。

這為CISO們提供了一個(gè)自然的機(jī)會(huì)去學(xué)習(xí)企業(yè)的構(gòu)建方式，以及為未來的新機(jī)會(huì)鋪設(shè)基石。“如果你真的推動(dòng)自己去學(xué)習(xí)這些其他職能，你不僅會(huì)在當(dāng)前的角色中成功，還會(huì)為下一個(gè)角色打下基礎(chǔ)?！盨omaini說。

沒有一條唯一正確的職業(yè)道路，因此每個(gè)人都需要繪制自己的路線圖?！霸S多CISO正在思考接下來該做什么，我們正第一次在行業(yè)內(nèi)大規(guī)模地進(jìn)行這種嘗試，但作為一個(gè)行業(yè)，我們確實(shí)需要弄清楚職業(yè)發(fā)展的軌跡是什么?！?/p>

Somaini走到他現(xiàn)在的職位，是通過“多年來的一些小事情”積累的，包括與創(chuàng)始人和風(fēng)投公司(VC)建立聯(lián)系，并為風(fēng)投公司和初創(chuàng)公司擔(dān)任顧問。他的建議是，擴(kuò)展你的網(wǎng)絡(luò)，以創(chuàng)造進(jìn)入新職位的機(jī)會(huì)?！爱?dāng)我在VeriSign工作時(shí)，我被介紹給Palo Alto Networks的Nir Zuk。當(dāng)時(shí)公司剛剛走出隱秘階段，我成了他的顧問，我從沒想過這是一件你可以做的事，但我非常喜歡它。”他說。

作為一個(gè)投資團(tuán)隊(duì)的成員，他利用自己的安全領(lǐng)域知識(shí)以及支持公司走向成熟的經(jīng)驗(yàn)。這意味著要成為一個(gè)“增值型VC”，理解銷售和市場(chǎng)營(yíng)銷的生命周期，并為那些尚未設(shè)立銷售或市場(chǎng)營(yíng)銷負(fù)責(zé)人的初創(chuàng)公司提供支持。

他建議CISO考慮持有雙頭銜角色，以獲得額外的專業(yè)知識(shí)，并利用這一角色在整個(gè)組織中學(xué)習(xí)業(yè)務(wù)的各個(gè)方面，建立與其他部門的關(guān)系?！坝捎贑ISO的職能是橫向的，他們可以看到一切，并建立這些關(guān)系?！?/p>

與其他人的觀點(diǎn)一致，他指出了建立網(wǎng)絡(luò)關(guān)系的重要性，這能夠?yàn)槲磥淼臋C(jī)會(huì)打開新大門?！霸诎踩I(lǐng)域之外發(fā)展并培養(yǎng)關(guān)系，以打開新的機(jī)會(huì)?！?/p>