数字时代的一个显著特征就是充满了波动性、不确定性、复杂性和模糊性(VUCA)。因此,对企业的首席信息安全官(CISO)而言,需要采取适应性和前瞻性的方法来应对数字化环境发展挑战,其所采用的网络安全管理风格也需要更加灵活、主动和协作,并与组织的数字化发展目标和文化保持一致。
研究人员发现,目前的CISO可以采用多种风格来开展其日常性网络安全管理工作,这主要取决于不同CISO的个性、偏好和领导方法,以及所在企业的文化、背景和安全防护需求等。其中,应用最广泛、最典型的网络安全管理风格包括以下6种:
• 权威式管理
• 合作式管理
• 服务式管理
• 战略式管理
• 自由式管理
• 目标式管理
需要说明的是,这些网络安全管理风格并不相互排斥,其有效性也是因人而异的,CISO在日常工作中,可以根据实际情况动态采用多种风格的组合。
1、权威式管理
权威式管理风格也叫指令式管理,需要CISO独立、果断地做出安全决策,并要求相关的团队成员都严格遵守指令。在很多强监管的金融机构中,CISO会经常采用权威式管理风格,从而确保组织能够遵守安全法规。
采用权威式管理的CISO,需要制定并实施严格的安全制度和流程。在此过程中几乎不需要其他部门的参与,而是会根据CISO的专业知识制定关键的安全决策,并密切监控法规的遵从性。
这种管理风格涉及自上而下的方法,重点关注层级结构和控制。不足之处在于,采用这种管理风格可能会限制员工的投入和创造力,在某些情况下降低团队士气和参与度,增加员工的抵抗和不服从行为,同时可能会妨碍对不断变化的威胁的适应能力。此外,还存在过度依赖CISO专业知识的风险,妨碍有效的网络安全决策和企业韧性。
2、合作式管理
合作式管理风格强调安全团队的合作、开放式沟通和员工参与感。在很多非常重视创新的科技型公司中,CISO都会采用协作式的管理方式,这样有利于培养创造力和团队合作的文化。
在合作式管理风格下,CISO需要不断鼓励安全团队为制定安全策略和政策做出贡献,定期召开团队会议收集想法和建议,并在团队所有成员中建立主人翁意识。CISO还需要促进IT、安全和其他部门之间的跨职能协作,鼓励反馈、集思广益和协作解决问题,共同应对网络安全挑战。
合作式管理风格倡导让更多人参与决策过程,重视员工的意见和反馈,但可能会在一些关键安全问题决策时难以快速达成共识, 因此,可能会导致潜在的决策延迟,并增加在紧急事件情况下延误风险处置的风险。
3、服务式管理
服务式管理风格专注于满足团队成员的发展需求,提升专业能力和个人发展。在一些社会化的政府部门和促进学习文化的教育机构中,CISO往往会优先考虑安全团队的福祉和发展,积极倾听团队成员提出的诉求和建议,并广泛提供工作支持和培训学习机会,其管理的首要目标是增强员工的能力,并帮助团队取得成功。
服务式风格优先考虑安全团队的福祉和专业发展,但会存在将个人需求置于企业目标之上的潜在风险,可能导致难以强制执行严格的安全措施并确保法规遵从性。特别是在需要果断决策的情况下,过分强调共识和团队福祉可能会阻碍快速应对安全威胁并采取果断行动。
4、战略式管理
战略式管理风格是指CISO重点关注长期规划、设定目标,并保持安全计划与企业目标的一致性。在一些组织机构复杂的大型跨国企业中,CISO可能会采用战略式管理风格,以确保不同的业务部门都采用一致的安全管理措施和方法。当CISO采取战略式管理方式时,有利于将企业的安全投资与业务优先事项保持一致,并制定全面的安全发展路线图。这种管理风格会优先考虑风险管理、治理以及安全性与战略目标的一致性。不过,当CISO重点强调与战略目标保持一致时,可能会导致企业在调整安全措施以适应快速变化的网络安全环境方面面临挑战,从而可能影响企业快速应对新威胁的能力。此外,还存在的潜在风险是,过于关注长期安全规划而忽视眼前的安全威胁,可能会使企业容易受到新兴风险的影响。
5、自由式管理
自由式管理风格是指将重要的安全管理决策权下放给团队成员,并充分给予团队成员行动的自主权。在一些头部的科技公司中,CISO们会充分信任安全团队的专业能力,并允许部门骨干成员做出有关安全控制、事件响应和风险管理的决策。CISO会在它们需要帮助时提供指导和支持,但会避免过多的参与到事务性工作中,允许安全团队独立运作,并根据成员的专业知识做出决策。
采用自由式管理风格,有利于增强团队成员的专业能力。在团队内部,CISO会培养自我指导和创新的安全管理文化,信任团队成员的能力,并鼓励他们对自己的项目负责。CISO会设定广泛的目标并提供最低限度的监督,允许团队确定实现这些目标的最佳策略。
不过,采用自由式管理风格时,需要关注可能存在的协调不充分和缺乏集中控制的风险,这可能导致组织内不一致的安全实践和不一致的管理要求。此外,在缺乏足够的监督和指导的情况下,忽视关键安全问题的可能性也会增加,安全团队可能难以在没有明确方向的情况下有效应对较复杂的安全威胁挑战。
6、目标式管理
目标式管理风格侧重于鼓舞和激励安全团队成员实现组织长期的安全建设目标。CISO为企业的数字化转型设定令人信服的安全发展愿景,并通过创新推动变革,鼓励相关的员工共同承担风险,积极采用创新技术并不断优化、改进。采用目标式管理的CISO需要注重根据预先设定的工作目标或具体指标参数,来衡量员工的工作绩效,并以此进行奖惩。
对于一些正在进行数字化转型的零售企业和医疗保健企业,其CISO往往会采用转型式管理风格,以推动创新、增强客户体验并适应不断变化的市场趋势。采用目标式管理风格时,CISO应该在安全团队中培养持续改进和专业成长的文化,提供指导并促进协作,鼓励团队成员承担具有挑战性的安全项目。这种风格侧重于激发和鼓励安全团队实现卓越的成果。通过专注于明确定义的目标、绩效指标和奖励,可确保安全团队在遵守安全制度和流程的同时,充分激发团队的发展潜力。
不过值得注意的是,采用目标式管理风格时,CISO需要警惕过度依赖奖励和惩罚制度来实现预期目标,因为这可能会形成一种优先考虑满足绩效考核目标而非全面安全实践的文化,从而可能会损害企业的整体网络安全态势。
结语
尽管以上描述的每一种CISO管理风格都有着各自独特的优点,但也有其潜在的不足和缺点。因此,CISO在实际工作中,所采用的管理风格可以是多种类型的组合,并根据其有效性不断调整自身的管理风格,从而适应具体管理的要求和团队成员特点。
在充满波动性、不确定性、复杂性和模糊性(VUCA)的世界中,成功的CISO需要具有敏捷性、适应性、协作性和有效沟通等能力特点,根据工作需要充分融合权威式、战略式、合作式、服务式、自由式和目标式管理的不同要素,从而更有效地管理安全团队并推动企业的数字化发展安全。
编者注:本文转载自ISACA Journal 2023年第6期,安全牛对原文部分文字进行了修改编辑。