身為名人堂技術主管,Deneen DeFiore目前擔任聯合航空公司副總裁兼首席資訊安全官(CISO),領導公司網路安全和數字風險組織,確保企業為不斷變化的網路威脅做好預防、檢測和應對準備。她還同時領導商業航空網路的安全風險管理、提高全球航空生態系統網路彈性等工作。
在本次對話中,DeFiore涵蓋到諸多領域,深入探討了CISO角色的複雜性、管理日常事務中的種種棘手權衡,以及在行業中取得成功所需要的領導技能。之後,我們又進一步交流了她的溝通思路,如何講好網路安全故事和對業務的價值。為保證篇幅和表達順暢,以下內容經過編輯。
主持人:CISO為什麼一定要善於講故事?如果兩個網路部門都能給公司創造相同的價值,一個擅長講故事但另一個不太擅長,會有什麼區別?
Deneen DeFiore: 能講好跟業務成果相關的故事,傳遞自己圍繞風險管理做出的努力,絕對是非常有價值的能力。如果有兩個部門都在保護企業、做好本職工作,那麼講不好故事的部門在技術層面幾乎無法運作。他們雖然做得很好、效果也不錯,但卻無法將自己的努力跟點點滴滴的業務成果聯繫起來。也就是說,他們的話語權始終非常有限,很難把自己的方案建議跟網路安全需求真正關聯起來。
另一方面,如果能講出創造價值的故事,比如「我們需要為客戶提供更加無縫順暢的系統訪問體驗」,那就應該設計一套新的客戶身份平台加密碼列表,並說清楚這些成果將如何創造出色的客戶體驗。這就能在不同的層面上增加價值並擴大影響力範圍,最終提高組織的整體價值鏈。
你可以成為最好的技術專家,可以設定出最適合執行的標準,但如果其他人理解不了它們的優勢和重要性,那也就很難再繼續進步了。而如果能夠講好故事,技術部門將以前所未有的速度和水平繼續增長和發展。
主持人:您提到技術部門需要服務於公司內外的眾多利益相關方。這些人可能有共同的利益,但對某些特定目標可能又有不同看法,甚至存在相互衝突的利益。那在溝通交流方面,您會怎樣處理這個問題?
各個部門之間總會在優先事項方面存在衝突,或者在具體實現上存在意見分歧。我永遠關注結果,因為只有在結果上保持一致,那才能真正開始彌合這些分歧。那我就要擺出各種可能性,比如這樣做對應這樣的結果,那樣做對應那樣的結果。畢竟我們的最終目標是一致的,我也是這樣做的。我們要專注於試圖解決的問題,創造共同的需求和目標,讓每個人都了解完成後的狀態是什麼,更多就實現過程中的細節做出妥協。
我還要確保自己扮演促進者和協調者的角色,但不能強制貫徹自己的觀點。必須要讓不在同一立場上、或者在優先級排序上存在分歧的各方提出解決方案,我認為這也是成功的關鍵。
主持人:面對行業法規、運輸安全局(TSA)規定、證券交易委員會(SEC)和網路法規,您要如何在複雜的背景下釐清明確的協調思路?
首先,技術領導者要用人們能夠理解的表達和術語來說話,這在複雜的法規上也一樣。在日常生活當中,沒人會像政策文件那樣咬文嚼字。很多人在解釋運輸安全局的新規定或者其他章程時,總會粗暴使用大量縮略詞和技術術語。但這樣效果肯定不好,所以請務必注意我們的證據和用詞。多使用通用表達,解釋目前正在發生什麼、為什麼會這樣、我們打算怎樣處理。
在討論法規中關於網路事件或攻擊的複雜性問題時,大家想聽的肯定不是太過具體的細節或者政策要求。他們需要的是總結性的結論——情況是什麼,我們在做什麼,有哪些風險或問題值得我們關注?
主持人:我們在CyberLX領導力計劃調查中發現,CISO們的首要任務之一就是培養領導技能,而且主要關注情商、影響力技能和溝通技巧。那您要怎樣向其他企業高管傳遞這種營銷思維,並培養員工的這類溝通能力?
我不喜歡沒完沒了的會議,但對於那些真正需要參與的重要演講或者會議,或者是需要獲得高管團隊的支持,我會跟自己的團隊先做預演。在瀏覽幻燈片或者關鍵資訊時,我有時候會唱唱反調,比如「我為什麼有必要關心這個問題?」我們會做類似的演習,這樣在一段時間之後,大家就明白哪些內容有討論價值,哪些根本就沒必要拿到會上來。
溝通其實也是有肌肉記憶的,總有我們關注的問題值得討論。其實溝通中有一些共通的要素,只要把握住這些要素就能大大提高交流質量。所以多練習真的很重要。
主持人:那您如何定義網路安全為企業創造的價值?
我認為價值可以通過幾種方式做定義。價值可以體現為履行網路安全領導者的關鍵職責——沒有重大數據丟失,不發生因網路事件引發的停機或運營中斷。
有這類價值,也有其他類型的價值,比如如何通過消除或減輕風險幫助企業完成之前做不成的事情,打破固有的認知局限,或者通過新的安全架構進入以往接觸不到的市場空間。包括用以往無法做到的方式實現數據的可信協作和共享。從業務成果來看,這些都屬於創造了價值。
總之,我們不僅要考慮從網路角度定義價值,還要考慮我們能在客戶或股東價值層面給組織帶來哪些收益。
主持人:那您具體關注哪些指標?
值得關注的指標是不斷發展的,我還在跟團隊一起努力。但指標的選擇主要由當前政策和標準來決定,我們的技術服務能在多大程度上涵蓋這些要求、具體表現如何等等。這就是一種體現覆蓋率和效果水平的指標性視角。
當然,我們希望Web應用防火牆能保護所有外部端點,這就是覆蓋率指標。但我們實際上阻止了多少威脅?到底是哪些威脅?應用程序安全標準是否覆蓋了這些威脅?還有,人們為什麼還在用不安全的身份驗證或會話管理機制。我們會努力解決這些現實問題,確保不只是政策條文規定明確,更要切實有效地發揮作用。至於暫時無法解決的空白部分,我們要了解自己的差距在哪裡,這樣把惡性循環轉化成良性循環。我們會努力在網路計劃之內,圍繞核心能力設定基線指標和KPI。
主持人:不知道您有沒有關注這類指標,但我猜測如果能把價值故事講好,那您就會逐漸成為戰略合作夥伴。企業會在第一場決策會議就邀請您參加,而不是在後續具體實施時再做交流。
確實,我很喜歡幫別人把一個個點串連起來。所以如果其他高管會主動找來,向我提出他們的需求和願景,那就證明我做得很成功。我做好了自己該做的工作。
