CISO如何克服如今日益复杂的安全挑战

作为一名CISO，你如何在保持技术能力与需要用简单的术语向利益相关者沟通复杂问题之间取得平衡?

我一直在想，“如果你不了解它的工作原理，你永远不会知道如何确保它的安全。”这种思维过程驱使我学习关于新技术趋势的知识，与其他安全技术专家相处，并试图通过与我的团队深入接触来保持与技术的联系。

作为一名CISO成员，我学到了解释复杂问题的最好方法就是用简单的语言。强大的技术背景使我能够以人们更容易理解的方式解释概念和相关主题。

(资料图片)

尽管网络危机的风险无处不在，但许多企业正在大胆向前迈进，因此面临着更大的风险。在这样的背景下，你如何管理和整合整个企业的网络弹性工作?

有可以控制的风险，也有难以把握的风险……。就像你的胆固醇一样，你需要保持它的平衡。一个风险中具有新机会的例子是，一家企业进入新市场，或致力于新的创新技术。难以把握的风险的一个例子是没有确保你的企业有计划地进入这个新市场，或者没有彻底测试和确保新的创新技术的基本安全。

保持这些领域的平衡是一项非常困难的工作，因为企业希望快速行动，但没有确定方向的快速行动不会给企业带来它想要的速度，并破坏信任。保持这种信任平衡需要整个企业之间良好的关系和持续的沟通。

数字倡议和数字转型的快速采用对你作为CISO的角色有何影响?在确保公司和客户数据安全方面，你如何应对增加的难度?

我发现，许多内部数字转型倡议都专注于效率，以便使事情更自动化、更有文档记录或更好地被理解。这有助于降低企业风险，提高企业效率。然而，当这些数字化转型包括云或SaaS服务时，事情变得困难起来，在这些服务中，没有人理解它在当前的能力背景下是如何工作的。

与技术供应商和网络安全公司密切合作，该行业可以共同开始缩小难度。然而，现实是确保科技产品的安全处于优先地位。我们需要达到一个不仅CISO能确保这一点，而且技术领导团队也能做到这一点的水平。

面对不断发生的考验企业韧性的外部事件，你采取了哪些策略来应对挑战?

作为当今世界的领导者，我们必须拥有专注于四项关键原则的领导力、规划和运营风格。这些原则是：

对于需要向董事会解释复杂的网络法规的新任命的CISO，你会给出什么建议?你采用了哪些策略来简洁而有效地传达这些细节?

我会让他们调查一下你的董事会成员。看看他们的背景，以及他们工作过的行业。他们是科技公司的首席财务官吗?是金融公司的首席执行官吗?利用这些信息，通过比较不同行业的类似法规，或针对重大新闻事件，来调整你的解释。这让董事会知道你做了功课，并真正理解了手头的问题。