为什么CISOs需要进攻——以及如何做

安全和风险负责人经常被拒绝获得他们要求扩大安全覆盖范围的额外预算。有些人让步了，同意用他们所拥有的做到最好，但还有另一种方式:发动进攻。

一位首席信息官被她的经理明确警告不要向董事会要更多的钱。但这并没有阻止她。她列出了用现有预算可以资助的项目的清单，但也提供了没有额外预算就无法完成的具体安全项目的细节。

她为其中两个关键项目获得了额外的资金。

立即下载:如何使你的信息安全计划成熟

“作为领导者，你必须能够采取攻势，”他说蒂娜Nunno,尊敬的副分析师和高德纳研究员，在2021年高德纳安全与风险管理峰会的开幕主旨演讲中。“安全和风险领导者不能只保护企业;他们必须主动出击，帮助企业利用各种各样的新机遇。”

作为董事会是否越来越意识到安全事件的影响ransomware或违反那么，就由你来指导其他高管和领导如何采取影响和缓解策略。作为“主教练”，你制定规则，提供指导，协调球员，作为一个值得信赖的顾问，提供建议，专业知识和远见。

创建自己的品牌

你的组织如何看待你是你从防守到进攻的一个关键部分。防御性的首席信息官会说:“我的工作很好，我让别人来决定我是谁。我被认为是负责、合作和友好的人。”这本身并没有什么错，但当被问及他们希望别人如何看待他们时，CISOs通常会使用“创新”、“战略”和“有效”这样的词。

如何主动出击:与其等着别人给你分配一个品牌，不如主动一点。如果你想被认为是创新的，问问你自己你在做什么是新的和不同的。如果你想被认为是有战略眼光的，问问自己你是如何为公司带来改变的。最终，你的品牌必须对你来说是真实的，但它也应该吸引人们的注意力，让他们注意到你想要被了解和被问及的工作。

通过讲故事来传达你的成功

大多数技术高管都是完美主义者，这意味着他们经常关注哪里出了问题。每周仪表盘的演示并不少见，其中前四张幻灯片关注的是哪里出了问题或仍然需要做什么，而不是以好消息作为开头。

阅读更多:安全专家必须将网络安全与商业成果联系起来

如何主动出击:讲正确的故事比客观更重要。关注安全团队如何在一个艰难的、急剧变化的、资源有限的环境中保护组织。承认犯错的小事情，但不要把它们当成故事的一部分。

与其他商业领袖合作

安全项目通常开始于一个领导者找到CISO并宣布一个给定的计划是最优先的。然后你必须做出反应，估算时间-材料-里程碑，确定供应商和顾问，管理后勤。技术失败的首要原因是业务部门缺乏参与——换句话说，这是团队合作和伙伴关系的失败。

阅读更多:董事会不可避免会问的5个安全问题

如何主动出击:首先要确保领导知道你们是合作伙伴，这意味着安全团队有他们的责任，但业务领导也必须参与进来。这是一种“如果你想要X，你必须付出y”的方法。这将改善结果并降低失败率。仔细选择你的SRM风险，基于你的伙伴关系可以完成什么，专注于团队合作，一起庆祝胜利。

当你成为企业风险教练，从防守转向进攻时，你可以增加自己的价值和贡献，也许最好的是，确保整个企业获胜。