为什么ciso需要采取攻势——以及如何做

安全和风险负责人经常被拒绝为扩大安全覆盖范围而要求的额外预算。有些人承认并同意尽他们所能做到最好，但还有另一种方法:采取攻势。

一位首席信息官的经理明确警告她不要向董事会要更多的钱。但这并没有阻止她。她列出了用当前预算可以资助的项目，但也提供了没有额外预算就无法实施的具体安全项目的细节。

她为其中两个关键项目获得了额外的资金。

立即下载:如何使您的信息安全计划成熟

他说:“作为领导者，你必须能够主动出击蒂娜Nunno,尊敬的副总裁分析师和高德纳研究员，在2021年高德纳安全与风险管理峰会的开幕主题演讲中。“安全和风险领导者不能只是保护企业;他们必须主动出击，帮助企业利用各种各样的新机会。”

作为董事会已经越来越意识到安全事件的影响，比如勒索软件或入侵，就由你来指导其他高管和领导者他们的影响和缓解策略。作为“主教练”，你要制定规则，提供指导，协调球员，并作为一个值得信赖的顾问，提供建议、专业知识和远见。

创建自己的品牌

你的组织如何看待你是你从防守向进攻转变的关键。一个防御性的CISO说:“我做得很好，我让别人决定我是什么。我被认为是一个负责、合作、友好的人。”这本身并没有什么错，但当被问及他们希望如何被看待时，ciso经常使用“创新”、“战略”和“有效”这样的词。

如何主动出击:与其等着别人给你分配一个品牌，不如积极主动。如果你想让别人知道你有创新精神，问问你自己你在做什么是新的和不同的。如果你想被认为是有战略眼光的人，问问自己是如何为公司带来改变的。最终，你的品牌必须对你来说是真实的，但它也应该吸引人们对你想要被了解和被问及的工作的注意。

通过讲故事来传达你的成功

大多数技术高管都是完美主义者，这意味着他们往往只关注哪里出了问题。我们经常会看到每周的仪表盘演示，其中前四张幻灯片主要关注的是哪里出了问题或仍然需要做什么，而不是以好消息作为开头。

阅读更多:安全专家必须将网络安全与业务成果联系起来

如何主动出击:讲述正确的故事比客观更重要。关注安全团队如何在一个艰难的、急剧变化的环境中，用有限的资源保护组织。承认犯错的小事情，但不要把它们当成主要故事的一部分。

与其他商业领袖合作

安全项目通常开始于一个领导者接近CISO，并宣布一个给定的计划是最高优先级。然后，你必须做出反应，估计时间-材料-里程碑，确定供应商和顾问，并管理物流。技术失败的首要原因是业务部门缺乏参与——换句话说，这是团队合作和伙伴关系的失败。

阅读更多:董事会不可避免会问的5个安全问题

如何主动出击:首先要确保领导者知道你们是合作伙伴，这意味着安全团队有他们的责任，但业务领导者也必须参与其中。这是一种方法，“如果你想要X，你必须押注y。”这将改善结果，降低失败率。根据合作伙伴关系所能取得的成就，仔细选择SRM风险，专注于团队合作，共同庆祝胜利。

当你成为企业风险教练，从防守转向进攻时，你可以增加自己的价值和贡献，也许最重要的是，确保整个企业获胜。