打造一支成功的網路安全團隊的五種方法
為什麼以人為本的心態有助於解決重大技術挑戰並交付業務成果
身為 NCR Voyix 的企業副總裁兼副資訊長,我負責保護零售商、餐飲業與金融機構所依賴的全美第一大數位商務平台,守護著 15000 名員工的工作成果,以及我們這個擁有 140 年歷史、深受信賴的品牌。我想分享我在 30 年職業生涯中(有時也舉步維艱)學到的最重要的經驗教訓:做什麼很重要,但如何做更重要。
資安專業人員固然需要接受必要的培訓並取得相關認證,但擁有「服務型領導」的思維模式�,能讓你創造更多價值,並將影響力拓展至資安團隊之外。舉例來說,Gartner 最近的一項調查發現,超過三分之二 (65%) 表現優異的 CISO 主要是在專案之外與高階決策者建立關係。此外,高效能的 CISO 與非 IT 利害關係人(例如銷售、行銷、業務部門主管等)的會面頻率,平均是與 IT 相關利害關係人會面次數的三倍。
對我來說,要成功地將網路安全與業務成果結合起來,首先要採取以人為本的方法。以下是安全領導者可以提升服務思維的五種實用方法:
1. 告別自負。我們數位銀行事業部的產品管理執行總監最近分享,銀行與信用合作社愈來愈重視「如何在數位體驗中融入更多同理心與個人化元素」,以提升消費者的品牌忠誠度。就像打造數位體驗需要關注人性化體驗的每個環節一樣,確保這些體驗也需要對企業服務的對象抱持同理心。
我從事網路安全工作已有 25 年,從事系統工程、架構和諮詢工作的時間更長。但在此之前,我曾在一家旅館從行李員做起,一路做到了經理。在那裡,我學會如何傾聽、如何冷靜地解決問題,以及注意細節的重要性。這些全面、以服務為導向的經驗幫助我成為了更有效率的安全領導者。
如果你還沒有這麼做,那麼請開始擴展自己的知識領域,不要僅侷限於安全領域本身。深入瞭解你的企業:向一線客戶服務人員或後台辦公室同事學習。你可以進行「跟崗學習」或嘗試輪崗,親身體驗他們的日常工作,這樣才能真正理解他們的挑戰和工作壓力。擁有更廣泛的視角,將有助於你更有效地向諸多利害關係人傳達「為什麼網路安全對整個企業如此重要」這一核心訊息。
攻擊者的思考方式總是打破常規。你也應該如此。最近管理過輪胎店的人能成為優秀的安全分析師嗎?根據我的經驗,答案是肯定的!只要給予適當的訓練與指導,他們在面對高壓客戶情境時所展現的冷靜應變能力,同樣能讓他在對抗複雜網路攻擊時表現得沉著穩定。
歡迎多元化的教育背景也能提升人才留任率和網路安全團隊的績效。不要只侷限於傳統的招募途徑,不妨考慮那些沒有走完四年大學路徑、選擇了非傳統職業發展道路、希望轉職或是因為個人原因暫時離開職場後重返職業生涯的人。你會發現這些人擁有強烈的學習動力、成熟的問題解決能力和實現成功的毅力。
2. 始終把人放在任務之前。事情永遠做不完,但如果你一味地專注於任務本身,你和他人的關係就會變得交易化、缺乏人情味。在任何關係中,真誠與坦率都是建立信任的基石。主動傾聽團隊成員、同事以及利害關係人的聲音,花時間去理解對方的觀點與立場,對他們保持好奇心。
建立並指導一個具有包容性的團隊,本身就是一種回報。因為在這個過程中,我常常感覺自己學到的,與團隊成員所學到的一樣多,而這也讓我成為了一位更有效率的領導者。
正如「Wiring the Winning Organization」(打造贏家組織)一書的合著者 Steven Spear 所言,如果沒有正確的組織思維,員工就沒有機會解決問題。高效率組織的管理系統能夠解放人們的思維——「無論是個人思維,還是透過集體的創造性協作——去解決極其棘手的問題」。
人們只有在感受到自己被傾聽之後,才會真正願意傾聽你的意見。彼此瞭解並相互信任的團隊,往往會更投入、更有動力,最終也會更有效率。
3. 保持透明並進行充分溝通。美國國家標準與技術研究院 (NIST) 在 2023 年指出:
「我們關於連網產品的許多討論,往往聚焦於技術層面的連線性,例如通訊協定、演算法等等。然而,要在生態系統中的各參與方之間建立信任,並降低使用這些產品所��伴隨的網路安全風險,則需要另一種形式的溝通:開放的對話與資訊分享。」
在我的團隊中,分享資訊意味著說實話——即使這會讓人感到不舒服。無論是資深成員還是剛加入的新人,如果你認為某種安全方法行不通,你都有義務說出來。透明度可以建立信任,這能讓你更快發現並解決潛在的威脅、事件和問題。
主動向他人尋求回饋(並真心接納)。真誠的回饋是一份禮物。根據我的經驗,每個人都會犯錯,但真正重要的是你如何面對這些錯誤,以及你從中學習與復原的能力。保持謙遜,做正確的事。
4. 積極行動。NCR Voyix 的網路安全工作規模龐大、複雜,而且瞬息萬變。但我的團隊不會因此而停滯不前。重要的是專注於我們組織內部能夠掌控的事情,然後採取行動。
不要等到有了完美的解決方案才開始行動。也許你只完成了 60% 或 70%,但一定要下定決心,立即行動。你可以整合缺失的資訊,並不斷改進。無論作為個人還是團隊,務必按時完成已開始的工作。這有助於在個人和團隊層面建立信任。
「信任度低會拖慢一切——每一個決策、每一次溝通,以及每一段關係。」——Stephen M.R. Covey,The SPEED of Trust: The One Thing that Changes Everything(信任的速度:可以改變一切的一件事)
你永遠不知道何時需要依靠這種信任。例如,當出現安全突發事件時,你��必須迅速行動,將任務委派給各方人員。如果團隊成員之間彼此信任,每個人都始終如一地兌現自己的承諾,團隊的效率就會大大提高,並在壓力更小的情況下取得更好的成果。
5. 記住(並提醒你的團隊)網路安全如何提升業務成果。隨著 CISO 越來越關注業務而非內部,他們面臨越來越大的壓力,需要證明其技術投資的 ROI,而這往往很難證明。
然而,你可以重新定義這場討論的焦點,將其轉向「成為企業優秀管理者的價值」。Accenture 的研究報告指出,那些能夠將網路安全與企業戰略目標緊密結合的組織,在「推動收入成長、擴大市場份額以及提高客戶滿意度和員工生產力方面的可能性增加了 18%」。
向企業利害關係人解釋需要採取網路安全措施的「原因」,幫助他們理解並推進下一步工作。業務中斷是否因未受保護的攻擊面而不斷增加?惡意機器人是否正在威脅合法的客戶交易?
提醒每個人網路安全能夠解決哪些業務問題。無論職位是什麼,在何處工作,人們都希望因創造價值而獲得認可。
無論你是初入職場的 CISO,還是資深 CISO,擁有以服務為導向的思維模式都能讓你變得更有效能。當你能在團隊中建立透明度、包容性,並對��團隊所創造的業務價值充滿信心時,你與你的團隊所能達成的成就將無可限量。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
深入探討這個主題。
查看 Cloudflare 的 ROI 計算器,以估算在您開展業務的所有地方加強安全性的潛在好處。
作者
Paul Farley — @allaboutrisk
企業副總裁兼副資訊長
NCR Voyix
重點
閱讀本文後,您將能夠瞭解:
以服務為導向的心態如何協助保護企業
領導��高效能網路安全團隊的五個建議
溝通策略性業務成果的重要性