ISACA Journal | 简析各类型CISO的管理风格
当今世界的特点是波动性、不确定性、复杂性和模糊性(VUCA)。因此,包括首席信息安全官(CISOs)和首席信息官(CIOs)在内的业务主管需要采取适应性和前瞻性的方法来应对当今技术环境的动态特性,管理风格也需要更加灵活、主动和协作。CISO和CIO可以采用多种管理风格——取决于每个人的个性、偏好和领导方法,企业文化和背景,以及企业的具体需求。
简而言之,突出的管理风格包括:
-
权威式、专制式、指令式
-
协作、参与和民主式
-
仆人式
-
战略式
-
自由放任式
-
转型式和交易式
值得注意的是,这些管理风格并不相互排斥,CISO或CIO可能会根据情况、企业文化和团队动态采用多种风格的组合。此外,管理风格的有效性可能因具体情况和所涉及的个人而异。
权威式、专制式、指令式
在这种风格中,CISO或CIO独立做出决策,并期待严格遵守指令。例如,强监管的金融机构可能会采用权威式管理风格,从而确保遵守安全法规。CISO制定并实施严格的安全制度和流程,几乎不需要其他部门的参与,根据CISO的专业知识制定关键的安全决策,并密切监控法规的遵从性。
这种风格涉及自上而下的方法,重点关注层级结构和控制。
采用这种管理风格可能会限制员工的投入和创造力,降低士气和参与度,增加员工的抵抗和不服从行为,同时可能会妨碍对不断变化的威胁的适应能力。此外,还存在过度依赖CISO专业知识的风险,妨碍有效的网络安全决策和企业韧性。
合作、参与、民主式
这种风格强调团队合作、开放式沟通和员工参与决策过程。例如,一家非常重视创新的科技公司可能会采用合作管理方式,培养创造力和团队合作的文化。CISO鼓励安全团队为制定安全策略和政策做出贡献,定期召开团队会议收集想法和建议,并在团队成员中建立主人翁意识。CISO还促进IT、安全和其他部门之间的跨职能协作,鼓励反馈、集思广益和协作解决问题,应对安全挑战。这种风格通过让他人参与决策过程的方式重视员工的意见和反馈,但可能会在就关键安全问题达成共识方面带来挑战。 因此,可能会导致潜在的决策延迟,并增加在关键情况下忽视果断决策的风险。
仆人式领导风格
这种风格专注于满足团队成员的需求,提升专业和个人发展。例如,政府机构的CISO优先考虑安全团队的福祉和发展,积极倾听团队成员的建议,提供支持并促进培训机会。首要目标是帮助团队取得成功。同样,专注培养人才和促进学习文化的教育机构可能会在信息安全管理中采用仆人式领导风格。这种风格优先考虑安全团队的福祉和专业发展,提供必要的资源、培训和指导机会,增强员工的能力并提高他们的技能。使用这种风格,存在将个人需求置于企业目标之上的潜在风险,可能导致难以强制执行严格的安全措施并确保法规遵从性。在需要果断决策的情况下,强调共识和团队福祉可能会阻碍快速应对安全威胁并采取果断行动。战略式
这种风格包括重点关注长期规划、设定目标,并保持安全计划与企业目标的一致性。例如,在多个行业中运营的跨国企业可能会采用战略式管理风格,确保在不同的业务部门采用一致的安全做法。首席信息官对网络安全采取战略式管理方式,将安全投资与业务优先事项保持一致,并制定全面的安全路线图。这种风格优先考虑风险管理、治理以及安全性与战略目标的一致性。重点强调与战略目标保持一致,可能会导致企业在调整安全措施以适应快速变化的网络安全环境方面面临挑战,从而可能影响企业快速应对新威胁的能力。此外,还存在的潜在风险是,为了长期规划而忽视眼前的安全威胁,可能会使企业容易受到新兴风险的影响。
自由放任式
这种风格包括将重要的决策权下放给团队成员,并给予他们自主权。例如,在跨国科技公司中,CISO信任安全团队的专业知识,并允许成员做出有关安全控制、事件响应和风险管理的决策。CISO在需要时提供指导和支持,但避免过多的微观管理,允许安全团队独立运作,并根据成员的专业知识做出决策。CISO通过赋予团队执行其职责的自由,增强了团队的能力。在团队内部,CISO培养自我指导和创新的文化,信任团队成员的能力,并鼓励他们对自己的项目负责。CISO设定广泛的目标并提供最低限度的监督,允许团队确定实现这些目标的最佳策略。类似的,科技公司的CIO提供最少的指导和干预,允许IT经理做出与各自专业领域相关的决策,并允许团队在规定的范围内独立运作。这种风格确实存在协调不充分和缺乏集中控制的风险,可能导致组织内不一致的安全实践和不一致的工作。此外,在缺乏足够的监督和指导的情况下,忽视关键安全问题的可能性更高,团队可能难以在没有明确方向的情况下有效应对复杂的安全挑战。
转型式和交易式
这种风格侧重于鼓舞和激励员工实现长期的企业目标。例如,CIO为企业的数字化转型设定令人信服的愿景,并通过创新推动变革,鼓励员工承担风险,采用新技术并不断改进。交易式领导者注重根据预先设定的目标或指标衡量员工的绩效,并以此奖励或惩戒员工。例如,正在进行数字化转型的零售企业可能会采用转型式管理风格,推动创新、增强客户体验并适应不断变化的市场趋势。CISO在安全团队中培养持续改进和专业成长的文化,提供指导并促进协作,鼓励团队成员承担具有挑战性的项目。这种风格侧重于激发和鼓励安全团队实现卓越的成果。通过专注于明确定义的目标、绩效指标和奖励,可确保安全团队在遵守安全制度和流程的同时鼓励其实现目标。同样,医疗保健企业中的CISO通过设定成为医疗保健数据安全领域领导者的目标,采用转型式管理风格。CISO授权并指导安全团队,通过设定具体的安全目标并建立实现这些目标的奖励计划或认可制度,鼓励创新并促进持续学习和成长的文化。同时,违反安全策略也可能会造成后果。
值得注意的是,过度依赖奖励和惩罚可能会形成一种优先考虑满足员工的特定目标而非全面安全实践的文化,从而可能会损害企业的整体网络安全态势。
结论
尽管每种管理风格都有各自独特的优点,但也有潜在的缺点。管理风格可以是不同类型的组合,有效的领导者通常会调整自身的风格,适应具体情况和与工作团队的个人特点。最成功的CISOs和CIOs通常都是足够灵活的领导者,能够根据企业的需求和现状,适当采取不同的管理风格。最有效的能够保护企业利益的管理风格组合包括权威式、战略式、合作式、参与式、转型式和交易式等要素,还应纳入仆人式领导原则,确保团队的福祉和成长。在充满波动性、不确定性、复杂性和模糊性(VUCA)的世界中,CISO和CIO的管理风格具有敏捷性、适应性、协作性和有效沟通的特点。他们努力将VUCA重新定义为新的VUCA,即Vision, Understanding, Clarity and Agility(目标性、共情性、清晰性和灵活性)。了解不同的管理风格,有助于CISO和CIO评估和调整其领导风格,更有效地管理团队并推动企业的安全。企业内部的管理风格可能各不相同,高效管理的CISO和CIO会根据情况和企业需求调整自身的管理风格。管理风格的选择应与企业的目标和文化,以及信息安全领域的具体挑战保持一致。
编者注:本文出自ISACA Journal 2023年第6期。尾注略。文章内容仅代表作者本人观点。
作者:JAYAKUMAR SUNDARAM,CISA, CC, ISO 27001:2013 LA/LI,是SVAM国际公司担任首席网络安全顾问。Jay从事信息和网络安全治理、风险和合规实践已超过12年,在信息系统和IT交付管理方面拥有三十年经验。翻译:唐雅琪(Andrea Tang),FIP, CIPP/E, CIPM,ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长,任职于安永企业咨询有限公司。
校对:姚凯(Kevin Yao),CISA,CISM,CRISC,CGEIT,CDPSE,ISACA微信公众号特邀通讯员,关注IT安全,隐私保护和数字化。