Deneen DeFiore 是一位名人堂的技術主管，目前擔任美國聯(lián)合航空公司的副總裁兼 CISO。她領導網絡安全和數字風險組織，確保公司準備好預防、檢測和應對不斷變化的網絡威脅。她還領導關于商業(yè)航空網絡安全風險和提高整個全球航空生態(tài)系統(tǒng)的網絡復原力的倡議。

當我們?yōu)樽罱患?Tech Whisperers 播客采訪時，DeFiore 涵蓋了很多內容，深入探討了 CISO 角色的復雜性，管理日常工作所需的棘手的平衡行為，以及在這個行業(yè)取得成功所需的領導技能。之后，我們又花了一些時間專門討論了她的溝通手冊，以及她如何圍繞網絡及其對企業(yè)的價值進行敘述。

Dan Roberts：為什么 CISO 要有意識地 “講述故事”？如果兩個網絡組織為他們的公司提供相同的價值，但其中一個善于講故事，另一個不善于，這會有什么區(qū)別？

Deneen DeFiore：有能力講述與你試圖管理風險的業(yè)務成果有關的故事，這無疑是有價值的。如果你有兩個組織正在保護公司并做他們需要做的事情，那個不能講故事的組織幾乎是在技術層面運作。他們正在做好事，并推動良好的結果，但如果他們不能將這些點與業(yè)務結果聯(lián)系起來，他們就會停留在這個層面上的權利。他們將更難說“我們需要做 XYZ”，因為這將與“網絡安全需要做什么”聯(lián)系在一起。

另一方面，如果你正在創(chuàng)造一個價值故事，例如，“我們需要為我們的客戶訪問我們的系統(tǒng)提供更多的無縫體驗”，那么你可以談論一個新的客戶身份平臺并轉移到一個密碼列表，以及這將如何創(chuàng)造偉大的客戶體驗。你將開始在不同的層面上增加價值，擴大你的范圍，以及在該組織的價值鏈上移動。

你可以成為最好的技術專家，對你設定的標準有最好的執(zhí)行力，但如果沒有人理解它們，或者理解它的重要性和為什么重要，你將停留在那里。那個講故事的組織，它將繼續(xù)以更大的速度和水平成長和發(fā)展。

Dan Roberts：在播客中，我們談到了你在公司內部和外部服務的大量利益相關者。有些人可能有共同的利益，但對如何實現這一目標有不同的想法。其他人可能有相互競爭的利益。當涉及到溝通和信息傳遞時，你是如何解決這個問題的？

Deneen DeFiore：一個組織和另一個組織之間總是會有相互競爭的優(yōu)先事項，或者對如何達到目標有不同的意見。我再次嘗試做的是關注結果，因為如果你在結果上保持一致，，那么你們就可以真正開始解開圍繞著脫節(jié)的問題。所以： 如果我們這樣做，我們就會到達這里。如果我們那樣做，我們可能會錯過。而我們都想在這里，對嗎？這也是我的一種方式。它專注于我們要解決的問題，創(chuàng)造這些共同的需求和目標，并讓每個人都明白最終的狀態(tài)是什么，而不是你要如何到達那里的細節(jié)。

我還確保我是促進者和協(xié)調者。這是關于讓那些不在同一起跑線上的人，或在優(yōu)先事項上可能有脫節(jié)的人，提出解決方案。我認為這也是成功的關鍵。

Dan Roberts：從行業(yè)法規(guī)和 TSA 指令到 SEC 和網絡法規(guī)，你如何在這片復雜的海洋中提供清晰的信息？

Deneen DeFiore：你必須確保用人們能理解的語言和術語說話，即使你試圖談論復雜的法規(guī)。在正常的日常生活中，我不能像政策文件那樣說話。我認為有時當我們試圖解釋 TSA 有這個新的 LSP 或什么的時候，我們只是在吐出這些縮寫詞和技術術語。確保注意你的語氣和用詞，這一點非常重要。使用普通的語言，這樣你就可以解釋正在發(fā)生什么，為什么會發(fā)生，以及我們要做什么。

因為如果你考慮到圍繞一個事件或襲擊發(fā)生的方式的復雜性，或一個真正復雜的運輸安全管理局的規(guī)定，沒有人希望你轉述低級別的細節(jié)或政策文件。他們想了解的是，概括地說，它是什么？我們正在做什么？是否有任何我們需要關注的風險或問題？

Dan Roberts：我們?yōu)?CyberLX 領導力項目調查的 CISO 告訴我們，他們的一個重要優(yōu)先事項是培養(yǎng)領導技能，重點是情商、影響力和溝通技巧。你如何向你的領導灌輸這種營銷思維，并在你的員工中發(fā)展這些溝通能力？

Deneen DeFiore：我不喜歡在會議前開會之類的，但對于那些重要的演講或重要的會議或討論，你真的想讓人們加入，或者你需要某人作出任何形式的承諾，我與我的團隊有一個預覽。我們通過幻燈片或關鍵信息，我有點像魔鬼代言人，問：“好吧，我為什么在乎這個？”我們這樣練習，在我們這樣做一段時間后，他們就會明白，他們可以做到，我們再也不必在會前開會了。

總有一個問題是你想回答的。溝通的某些要素是相同的組成部分，你必須牢記這一點，知道如何去做。所以實踐真的很重要。

Dan Roberts：你如何定義網絡安全為企業(yè)創(chuàng)造的價值？

Deneen DeFiore：我認為價值可以從幾個方面來定義。它是確保你滿足你作為網絡安全領導者的那些關鍵責任——沒有重大的數據損失，沒有與網絡事件相關的停機或運營中斷。

有這些類型的事情，但也有一些事情，你如何讓企業(yè)做一些他們不能做的事情，因為你正在消除風險或減輕風險，或者你正在打破一個感知的障礙，所以你可以去經營一個市場，你以前不能，因為你有一個安全架構。或者你可以以一種被信任的方式進行合作或分享數據，而你以前是做不到的。從商業(yè)結果的角度看，這創(chuàng)造了價值。

你必須考慮定義價值，不僅從網絡的角度，而且從客戶或股東的角度，你使你的組織做什么。

Dan Roberts：你關注的衡量標準是什么？

Deneen DeFiore：這是不斷發(fā)展的，我仍在與我的團隊一起工作，但指標的操作方面是圍繞著我們正在制定的政策和標準，我們在技術服務方面的覆蓋率如何，然后他們的表現如何。因此，這是一種覆蓋范圍和有效性類型的度量觀。

當然，我們希望所有外部端點都在我們的網絡應用程序防火墻后面，即覆蓋率指標，但我們實際阻止了多少威脅？它們是什么？那么它們是否在應用程序安全標準中？為什么人們仍在使用損壞的身份驗證或不正確的會話管理或其他什么東西——我們正在努力結束這一循環(huán)，確保我們不僅僅是因為我們有一個政策而說我們很好，而且它有效嗎？然后在沒有的地方，了解我們的差距在哪里。這是一個連續(xù)的循環(huán)。我們試圖在我們的網絡計劃中圍繞核心能力制定指標和 KPI 的基線。

Dan Roberts：這可能不是一個你跟蹤的指標，但我必須想象，一旦你在敘事方面做得很好，你就會被視為一個戰(zhàn)略伙伴，并開始被邀請從頭參與項目。

Deneen DeFiore：肯定是這樣。我喜歡別人把這些點聯(lián)系起來，當他們來找我說，“我認為我們應該考慮這個問題”。這是我衡量成功的標準。我已經完成了我的工作。

來源：www.cio.com