四位安全領(lǐng)導(dǎo)者分享了他們從CISO到COO、副總裁、董事會成員和投資顧問的職業(yè)歷程，展示了CISO未來可能的職業(yè)發(fā)展路徑。

自1990年代中期Steve Katz在Citicorp首次擔(dān)任CISO以來，近30年內(nèi)，CISO的角色變化顯著，從管理技術(shù)控制到應(yīng)對業(yè)務(wù)風(fēng)險，這一角色的演變?yōu)镃ISO們進入其他崗位鋪平了道路。

四位采取不同職業(yè)路徑的CISO分享了他們從CISO轉(zhuǎn)向新職位的經(jīng)驗和建議。

從CISO到COO：Chad McDonald，RadiantLogic的COO

Chad McDonald從CISO轉(zhuǎn)任RadiantLogic的COO，擁有近20年的CISO角色經(jīng)驗，還曾負責(zé)客戶體驗和專業(yè)服務(wù)，他發(fā)現(xiàn)，CISO這一角色需要從戰(zhàn)略角度思考整個業(yè)務(wù)，并影響各個部門，這些技能在他邁向下一個職業(yè)階段時非常有用。

McDonald認為，這些戰(zhàn)略技能非常適合應(yīng)用到更廣泛的崗位，如COO。在他目前的職位上，他必須理解客戶需求，并與他們用共同的語言交流。“CISO需要與財務(wù)、人力資源、市場營銷以及產(chǎn)品部門溝通，以推動變革，改變企業(yè)的安全視角或降低風(fēng)險，這些技能非常適用于運營團隊的管理。”他表示。

“作為CISO，你的日常工作就是從業(yè)務(wù)的戰(zhàn)略角度思考，而不僅限于你的職責(zé)范圍。一個小小的改變就可能影響整個業(yè)務(wù)，因此你必須善于在職責(zé)之外發(fā)揮影響力。”McDonald告訴記者。

廣泛接觸不同的行業(yè)領(lǐng)域有助于轉(zhuǎn)型為COO等角色，因為這涉及理解不同的監(jiān)管和合規(guī)需求。“這幫助你用不同的方式思考，不僅是內(nèi)部需求，還要考慮這些需求如何轉(zhuǎn)化為客戶的需求，并從內(nèi)外部視角來看待你的組織。”他補充道。

雖然這大多是一條線性的職業(yè)路徑，但安全與其他C級職位(如CIO和CTO)之間的重疊越來越大，這為CISO們提供了新的機會。McDonald建議，CISO們需要掌握廣泛的商業(yè)技能，包括財務(wù)、項目管理以及理解法律合同。“這些對想要轉(zhuǎn)型為CIO、CTO或COO的CISO至關(guān)重要。”

良好的溝通能力仍然是關(guān)鍵。“隨著職位的提升，你需要在執(zhí)行層面進行溝通，不僅僅是傳達戰(zhàn)術(shù)信息，還要向那些可能不熟悉技術(shù)或安全的人清晰解釋你的方向和原因。”他說。

從CISO到CIO再到副總裁：Tammy Loper，坦帕大學(xué)信息技術(shù)與安全副總裁

Tammy Loper是坦帕大學(xué)的信息技術(shù)與安全副總裁，她的職業(yè)生涯專注于創(chuàng)建和轉(zhuǎn)型安全與技術(shù)運營，從CISO晉升為CIO，如今是副總裁。

在她的職業(yè)生涯中，Loper發(fā)現(xiàn)，戰(zhàn)略思維、在各個層面建立強有力的關(guān)系并獲得支持，對于工作場所的成功至關(guān)重要，這也為她帶來了晉升機會。

“在啟動一個新的安全項目時，我與校園內(nèi)的每個部門進行了會面，分析了他們使用的系統(tǒng)、處理的信息類型、技術(shù)手段、業(yè)務(wù)挑戰(zhàn)和差距。”Loper告訴記者。

Loper創(chuàng)建了一個共同的使命，幫助在組織內(nèi)部建立權(quán)威性，從而進行教育和影響力擴展，這也有助于提升她的可見度——這是為晉升做好準(zhǔn)備的關(guān)鍵因素之一。“如果你的角色在組織中被埋沒，并且你是自下而上推動工作而不是自上而下，那么董事會成員可能根本不會知道你是誰，也不會了解你的能力。”她說。

CISO在理解組織流程和將安全定位為核心使命的一部分方面具有獨特的視角，這為晉升至更高職位打開了潛在的機會。

在Loper的案例中，她成功地建立了一個安全項目，并將這一戰(zhàn)略擴展到了IT領(lǐng)域，最終成為CIO。她晉升為副總裁反映了IT和安全在大學(xué)的各個部門中需要一定的權(quán)威性。挑戰(zhàn)在于如何在業(yè)務(wù)需求和安全需求之間找到平衡，而CISO有時可能需要打破對安全的單一關(guān)注。“CISO有時在做出這些艱難妥協(xié)時會感到掙扎，但你必須能夠找到那個平衡點，以滿足組織目標(biāo)，并對這些決策充滿信心。”她說。

從CISO到導(dǎo)師和董事會成員：Paul Connelly，董事會顧問

Paul Connelly曾擔(dān)任多個CISO、CSO和信息安全職位，包括在NSA和白宮的工作經(jīng)歷，之后轉(zhuǎn)向擔(dān)任技術(shù)顧問和董事會成員。在此期間，他看到了CISO角色的重點和地位的變化。“剛開始時，這個角色主要是技術(shù)知識，而現(xiàn)在更多是了解業(yè)務(wù)及其影響。”Connelly告訴記者。

如今，他認為對工作的熱情、溝通能力和組織技巧幾乎比特定的背景更為重要。

對于希望進入董事會的CISO，Connelly發(fā)現(xiàn)今天成為成功CISO所需的技能同樣適用于領(lǐng)導(dǎo)職位。“CISO角色的演變部分體現(xiàn)在與業(yè)務(wù)領(lǐng)導(dǎo)者的互動，參與戰(zhàn)略決策。如果你能證明自己可以制定戰(zhàn)略，與他人合作并推動成功的項目，這確實為進入董事會打開了大門。”他說。

在擔(dān)任董事會成員時，他能夠提出其他人沒有意識到的問題，或者在CIO或CISO提供更新時提出后續(xù)問題。“當(dāng)我想到安全對企業(yè)的重要性時，令人驚訝的是，更多公司沒有我們這種背景的人。”Connelly告訴記者。

然而，如果CISO不屬于包括CFO、CEO和現(xiàn)有董事會成員在內(nèi)的社交圈，他們通常不會被推薦進入董事會。“你需要認識董事會成員，并建立起與他們的關(guān)系網(wǎng)絡(luò)，這樣當(dāng)你準(zhǔn)備好時，董事會成員會站在你身后并推薦你。”

Connelly建議CISO與其他業(yè)務(wù)領(lǐng)導(dǎo)者互動，拓寬技能，包括參與工作場所的風(fēng)險或多元化與包容性(DEI)委員會。“參與其他領(lǐng)域至關(guān)重要，因為董事會無法將席位留給只專注于一個領(lǐng)域的人。”對董事會運作的了解也很重要，但這并不是自然而然發(fā)生的。“研究董事會的工作，考慮通過像全國公司董事協(xié)會(National Association of Corporate Directors)這樣的組織獲得認證，并通過為非營利組織服務(wù)積累一些董事會經(jīng)驗，這些組織總是在尋找董事會成員。”

尋找能夠支持你進入董事會職位的盟友。一個支持你的CEO可以為你提供與董事會成員平等互動的機會，并在你準(zhǔn)備時為你的陳述和向董事會匯報的更新提供指導(dǎo)和反饋。“與高級領(lǐng)導(dǎo)層溝通，讓他們知道你的興趣，看看他們是否能提供幫助。”

從CISO到CSO再到投資顧問：Justin Somaini，YL Ventures合伙人

Justin Somaini是YL Ventures的合伙人，曾在一些全球最大的科技公司擔(dān)任CISO、CSO和首席信任官的職位，之后轉(zhuǎn)為顧問。他認為CISO的角色是一個多面性的角色，類似于銷售人員。“我們是在內(nèi)部銷售安全性。”Somaini告訴記者。

這意味著需要運用營銷技巧來推廣信息，理解人類行為以了解受眾及其采納安全措施的理由，并學(xué)會搭建橋梁以完成安全任務(wù)。“安全人員不僅僅是做工作，我們發(fā)現(xiàn)問題，然后找到解決方案，并告訴公司里的其他人實際完成工作。”他說。這需要理解他人的工作和職責(zé)，并意識到這些人面臨的挑戰(zhàn)和障礙。

這為CISO們提供了一個自然的機會去學(xué)習(xí)企業(yè)的構(gòu)建方式，以及為未來的新機會鋪設(shè)基石。“如果你真的推動自己去學(xué)習(xí)這些其他職能，你不僅會在當(dāng)前的角色中成功，還會為下一個角色打下基礎(chǔ)。”Somaini說。

沒有一條唯一正確的職業(yè)道路，因此每個人都需要繪制自己的路線圖。“許多CISO正在思考接下來該做什么，我們正第一次在行業(yè)內(nèi)大規(guī)模地進行這種嘗試，但作為一個行業(yè)，我們確實需要弄清楚職業(yè)發(fā)展的軌跡是什么。”

Somaini走到他現(xiàn)在的職位，是通過“多年來的一些小事情”積累的，包括與創(chuàng)始人和風(fēng)投公司(VC)建立聯(lián)系，并為風(fēng)投公司和初創(chuàng)公司擔(dān)任顧問。他的建議是，擴展你的網(wǎng)絡(luò)，以創(chuàng)造進入新職位的機會。“當(dāng)我在VeriSign工作時，我被介紹給Palo Alto Networks的Nir Zuk。當(dāng)時公司剛剛走出隱秘階段，我成了他的顧問，我從沒想過這是一件你可以做的事，但我非常喜歡它。”他說。

作為一個投資團隊的成員，他利用自己的安全領(lǐng)域知識以及支持公司走向成熟的經(jīng)驗。這意味著要成為一個“增值型VC”，理解銷售和市場營銷的生命周期，并為那些尚未設(shè)立銷售或市場營銷負責(zé)人的初創(chuàng)公司提供支持。

他建議CISO考慮持有雙頭銜角色，以獲得額外的專業(yè)知識，并利用這一角色在整個組織中學(xué)習(xí)業(yè)務(wù)的各個方面，建立與其他部門的關(guān)系。“由于CISO的職能是橫向的，他們可以看到一切，并建立這些關(guān)系。”

與其他人的觀點一致，他指出了建立網(wǎng)絡(luò)關(guān)系的重要性，這能夠為未來的機會打開新大門。“在安全領(lǐng)域之外發(fā)展并培養(yǎng)關(guān)系，以打開新的機會。”