找到建立成功网络安全团队的方法
以人为本的思维模式为何有助于解决重大技术挑战并实现业务成果
作为 NCR Voyix 公司副总裁和代理 CISO,我的职责是领导大部分网络安全工作,负责保护这个零售商、餐饮和金融机构使用量排名第一的数字商务平台,1.5 万名员工的工作成果,以及有着 140 年历史、值得信赖的品牌。我想分享自己在 30 年职业生涯中吸取的最重要的经验教训:工作内容很重要,但工作方式更重要。
网络安全专业人员需要必要的培训和认证;然而,服务型领导者的思维方式能够帮助您提供更多的价值,并在网络安全团队之外扩大您的影响力。例如,Gartner 最近的一项调查发现,超过三分之二 (65%) 的优秀 CISO 主要在项目之外与高级决策者建立关系。相比于与 IT 利益相关者会面,高效能 CISO 还会定期与非 IT 利益相关方(例如,销售/营销、业务部门领导者)会面,后者数量是前者数量的三倍。
对我来说,采用以人为本的方法,是成功地将网络安全与业务成果相结合的第一步。以下是安全领导者可以改善服务思维的五种实用方法:
1. 放下自我。我们的数字银行产品管理执行总监最近分享了银行和信用社如何越来越重视“找到方法来将更多同理心和个性化融入数字体验”,帮助提高消费者忠诚度。正如打造数字体验需要关注人性化体验的每一个步骤一样,确保提供良好的体验需要企业对服务对象抱有同理心。
我从事网络安全工作已经有 25 年,在系统工程、架构和咨询领域任职的时间则更长。但在此之前,我曾在一家酒店从行李员一路晋升到经理,在那里我学会了如何倾听、冷静地解决问题,以及关注细节。这些全面的、以服务为导向的经验,帮助我成为了一名更高效的安全领导者。
如果您还没有这样做,请拓展了解安全领域之外的知识。了解业务详情:向在客户服务一线或后台工作的人员学习。参加“陪同”亲自体验或进行工作轮换,以便理解并体会他们面临的挑战和工作压力。最终,拓展视角将帮助您更有效地阐述并传达网络安全对众多利益相关方如此重要的原因。
攻击者跳出思维定势,您也应该这样做。不久前负责管理轮胎店的人员能否成为一名优秀的安全分析师?根据我的经验,答案是“能”!借助适当的培训和指导,他们能够冷静地解决高压力客户情况,这也使他们能够镇定地抵御复杂攻击。
欢迎多元化教育背景的求职者,也可以提高员工留存率和网络安全团队的绩效。突破传统的招聘途径,考虑那些结束四年制大学、选择其他职业道路、想要转行,或休整一段时间后重返职场的人。您会发现,这些人拥有强烈的学习动机、成熟的问题解决能力,以及追求成功的毅力。
2. 始终以人为本,对事不对人。总是有很多事情要处理。但如果您高度专注于任务,你们之间的关系就会变得交易性十足,缺乏人情味。在任何关系中,保持真实和真诚是建立信任的关键。积极倾听团队成员、同事和利益相关方的意见。花时间理解对方的观点。对他们保持好奇心。
创建和指导�一个具有包容性的团队,这本身就是一种回报,因为通常情况下,我能学到与团队成员一样多的东西,这有助于我成为一名更有效的领导者。
正如《打造成功组织》一书的合著者 Steven Spear 所说,如果没有正确的组织思维方式,员工就没有机会解决问题。高效率的组织拥有解放员工思维的管理系统,“无论是个人层面,还是通过集体的创造性协作,处理相当棘手的问题。”
人在感到自己被倾听后,才会听与之交谈者所说的话。相互了解和彼此信任的团队会更主动、更积极,并最终提高效率。
3. 保持透明并充分沟通。2023 年,美国国家标准与技术研究院 (NIST) 曾指出:
“我们关于联网产品的许多讨论都集中在技术层面的连接性(协议、算法等)。而增进生态系统参与者之间的信任,以及降低使用这些产品相关的网络安全风险,依赖于另一种沟通方式:坦诚对话和信息共享。”
在我的团队中,共享信息意味着说实话,即使这会让人感到不舒服。无论是新员工还是老员工,如果认为某种特定的安全方法行不通,那就应该说出来。保持透明有益于建立信任,而且也能让团队更快地发现并解决潜在的威胁、事件和问题。
向他人寻求反馈(并采纳)。真诚的反馈是一份礼物。根据我的经验,每个人不可避免会犯错,但真正重要的是如何应对并从错误中吸取教训。保持谦逊,做正确的事。
4. 积极行动。虽然 NCR Voyix 的网络安全工作庞杂且不断变化,但我的团队不会裹足不前。重要的是,我们专注于企业内部可以控制的事情,然后采取行动。
请勿被动等待,直到拥有完美的方案才解决问题。也许只能完成六七成,但必须做出决定并立即行动。您可以整合缺失的信息,并不断迭代改进。无论是个人还是团队,始终坚持启动并按时完成工作是关键。这有助于在个人和团队层面建立信任。
“缺乏信任会减缓一切:每一个决定、每一次沟通,以及每一段关系。”- 史蒂芬·M·R·柯维,《信任的速度:一个可以改变一切的力量》
您永远不知道什么时候需要依靠这种信任。例如,如果出现突发安全事件,必须迅速行动并将任务委派给各个成员。当团队中的每个人都会始终如一地履行自己的承诺,团队成员知道他们可以互相依靠时,团队的效率会更高,压力会更小,并取得更好的成果。
5. 牢记(并提醒团队成员)网络安全如何有助于提升业务成果。随着 CISO 更加注重业务安全而非内部安全,他们面临的压力更大,需要�证明其技术投资的投资回报率,而这可能非常难以证明。
不过,您可以围绕成为企业优秀管理员的价值重新展开讨论。埃森哲报告指出,那些将网络安全与业务目标相结合的企业“推动收入增长、扩大市场份额、提高客户满意度和员工生产力的可能性”高 18%。
向业务利益相关方介绍重视网络安全的“原因”,让他们理解并继续推动网络安全。业务中断是否因未受保护的攻击面而加剧?恶意 /lp/pg-security/ 是否威胁到了合法的客户交易?
提醒所有人注意,网络安全可以解决哪些业务问题。无论担任什么职位或在哪里工作,人们都希望自己创造的价值得到认可。
无论是初入职场还是经验丰富的 CISO,服务型思维都能让您更高效。当您拥有透明、包容的团队,并且对团队创造的商业价值充满信心时,您与团队将创造无限可能。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
查看 Cloudflare 的 ROI 计算器,评估增强运营范围内的业务安全可以带来哪些潜在的好处。
作者
Paul Farley — @allaboutrisk
NCR Voyix 公司副总裁
兼代理 CISO
关键要点
阅读本文后,您将能够了解:
服务导向型思维如何帮助保障业务安全
给高绩效网络安全团队领导者的 5 项建议
传达战略性业务成果的重要性