Deneen DeFiore 是一位名人堂的技術(shù)主管，目前擔(dān)任美國(guó)聯(lián)合航空公司的副總裁兼 CISO。她領(lǐng)導(dǎo)網(wǎng)絡(luò)安全和數(shù)字風(fēng)險(xiǎn)組織，確保公司準(zhǔn)備好預(yù)防、檢測(cè)和應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)威脅。她還領(lǐng)導(dǎo)關(guān)于商業(yè)航空網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和提高整個(gè)全球航空生態(tài)系統(tǒng)的網(wǎng)絡(luò)復(fù)原力的倡議。

當(dāng)我們?yōu)樽罱患?Tech Whisperers 播客采訪時(shí)，DeFiore 涵蓋了很多內(nèi)容，深入探討了 CISO 角色的復(fù)雜性，管理日常工作所需的棘手的平衡行為，以及在這個(gè)行業(yè)取得成功所需的領(lǐng)導(dǎo)技能。之后，我們又花了一些時(shí)間專(zhuān)門(mén)討論了她的溝通手冊(cè)，以及她如何圍繞網(wǎng)絡(luò)及其對(duì)企業(yè)的價(jià)值進(jìn)行敘述。

Dan Roberts：為什么 CISO 要有意識(shí)地 “講述故事”？如果兩個(gè)網(wǎng)絡(luò)組織為他們的公司提供相同的價(jià)值，但其中一個(gè)善于講故事，另一個(gè)不善于，這會(huì)有什么區(qū)別？

Deneen DeFiore：有能力講述與你試圖管理風(fēng)險(xiǎn)的業(yè)務(wù)成果有關(guān)的故事，這無(wú)疑是有價(jià)值的。如果你有兩個(gè)組織正在保護(hù)公司并做他們需要做的事情，那個(gè)不能講故事的組織幾乎是在技術(shù)層面運(yùn)作。他們正在做好事，并推動(dòng)良好的結(jié)果，但如果他們不能將這些點(diǎn)與業(yè)務(wù)結(jié)果聯(lián)系起來(lái)，他們就會(huì)停留在這個(gè)層面上的權(quán)利。他們將更難說(shuō)“我們需要做 XYZ”，因?yàn)檫@將與“網(wǎng)絡(luò)安全需要做什么”聯(lián)系在一起。

另一方面，如果你正在創(chuàng)造一個(gè)價(jià)值故事，例如，“我們需要為我們的客戶(hù)訪問(wèn)我們的系統(tǒng)提供更多的無(wú)縫體驗(yàn)”，那么你可以談?wù)撘粋€(gè)新的客戶(hù)身份平臺(tái)并轉(zhuǎn)移到一個(gè)密碼列表，以及這將如何創(chuàng)造偉大的客戶(hù)體驗(yàn)。你將開(kāi)始在不同的層面上增加價(jià)值，擴(kuò)大你的范圍，以及在該組織的價(jià)值鏈上移動(dòng)。

你可以成為最好的技術(shù)專(zhuān)家，對(duì)你設(shè)定的標(biāo)準(zhǔn)有最好的執(zhí)行力，但如果沒(méi)有人理解它們，或者理解它的重要性和為什么重要，你將停留在那里。那個(gè)講故事的組織，它將繼續(xù)以更大的速度和水平成長(zhǎng)和發(fā)展。

Dan Roberts：在播客中，我們談到了你在公司內(nèi)部和外部服務(wù)的大量利益相關(guān)者。有些人可能有共同的利益，但對(duì)如何實(shí)現(xiàn)這一目標(biāo)有不同的想法。其他人可能有相互競(jìng)爭(zhēng)的利益。當(dāng)涉及到溝通和信息傳遞時(shí)，你是如何解決這個(gè)問(wèn)題的？

Deneen DeFiore：一個(gè)組織和另一個(gè)組織之間總是會(huì)有相互競(jìng)爭(zhēng)的優(yōu)先事項(xiàng)，或者對(duì)如何達(dá)到目標(biāo)有不同的意見(jiàn)。我再次嘗試做的是關(guān)注結(jié)果，因?yàn)槿绻阍诮Y(jié)果上保持一致，，那么你們就可以真正開(kāi)始解開(kāi)圍繞著脫節(jié)的問(wèn)題。所以： 如果我們這樣做，我們就會(huì)到達(dá)這里。如果我們那樣做，我們可能會(huì)錯(cuò)過(guò)。而我們都想在這里，對(duì)嗎？這也是我的一種方式。它專(zhuān)注于我們要解決的問(wèn)題，創(chuàng)造這些共同的需求和目標(biāo)，并讓每個(gè)人都明白最終的狀態(tài)是什么，而不是你要如何到達(dá)那里的細(xì)節(jié)。

我還確保我是促進(jìn)者和協(xié)調(diào)者。這是關(guān)于讓那些不在同一起跑線上的人，或在優(yōu)先事項(xiàng)上可能有脫節(jié)的人，提出解決方案。我認(rèn)為這也是成功的關(guān)鍵。

Dan Roberts：從行業(yè)法規(guī)和 TSA 指令到 SEC 和網(wǎng)絡(luò)法規(guī)，你如何在這片復(fù)雜的海洋中提供清晰的信息？

Deneen DeFiore：你必須確保用人們能理解的語(yǔ)言和術(shù)語(yǔ)說(shuō)話(huà)，即使你試圖談?wù)搹?fù)雜的法規(guī)。在正常的日常生活中，我不能像政策文件那樣說(shuō)話(huà)。我認(rèn)為有時(shí)當(dāng)我們?cè)噲D解釋 TSA 有這個(gè)新的 LSP 或什么的時(shí)候，我們只是在吐出這些縮寫(xiě)詞和技術(shù)術(shù)語(yǔ)。確保注意你的語(yǔ)氣和用詞，這一點(diǎn)非常重要。使用普通的語(yǔ)言，這樣你就可以解釋正在發(fā)生什么，為什么會(huì)發(fā)生，以及我們要做什么。

因?yàn)槿绻憧紤]到圍繞一個(gè)事件或襲擊發(fā)生的方式的復(fù)雜性，或一個(gè)真正復(fù)雜的運(yùn)輸安全管理局的規(guī)定，沒(méi)有人希望你轉(zhuǎn)述低級(jí)別的細(xì)節(jié)或政策文件。他們想了解的是，概括地說(shuō)，它是什么？我們正在做什么？是否有任何我們需要關(guān)注的風(fēng)險(xiǎn)或問(wèn)題？

Dan Roberts：我們?yōu)?CyberLX 領(lǐng)導(dǎo)力項(xiàng)目調(diào)查的 CISO 告訴我們，他們的一個(gè)重要優(yōu)先事項(xiàng)是培養(yǎng)領(lǐng)導(dǎo)技能，重點(diǎn)是情商、影響力和溝通技巧。你如何向你的領(lǐng)導(dǎo)灌輸這種營(yíng)銷(xiāo)思維，并在你的員工中發(fā)展這些溝通能力？

Deneen DeFiore：我不喜歡在會(huì)議前開(kāi)會(huì)之類(lèi)的，但對(duì)于那些重要的演講或重要的會(huì)議或討論，你真的想讓人們加入，或者你需要某人作出任何形式的承諾，我與我的團(tuán)隊(duì)有一個(gè)預(yù)覽。我們通過(guò)幻燈片或關(guān)鍵信息，我有點(diǎn)像魔鬼代言人，問(wèn)：“好吧，我為什么在乎這個(gè)？”我們這樣練習(xí)，在我們這樣做一段時(shí)間后，他們就會(huì)明白，他們可以做到，我們?cè)僖膊槐卦跁?huì)前開(kāi)會(huì)了。

總有一個(gè)問(wèn)題是你想回答的。溝通的某些要素是相同的組成部分，你必須牢記這一點(diǎn)，知道如何去做。所以實(shí)踐真的很重要。

Dan Roberts：你如何定義網(wǎng)絡(luò)安全為企業(yè)創(chuàng)造的價(jià)值？

Deneen DeFiore：我認(rèn)為價(jià)值可以從幾個(gè)方面來(lái)定義。它是確保你滿(mǎn)足你作為網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的那些關(guān)鍵責(zé)任——沒(méi)有重大的數(shù)據(jù)損失，沒(méi)有與網(wǎng)絡(luò)事件相關(guān)的停機(jī)或運(yùn)營(yíng)中斷。

有這些類(lèi)型的事情，但也有一些事情，你如何讓企業(yè)做一些他們不能做的事情，因?yàn)槟阏谙L(fēng)險(xiǎn)或減輕風(fēng)險(xiǎn)，或者你正在打破一個(gè)感知的障礙，所以你可以去經(jīng)營(yíng)一個(gè)市場(chǎng)，你以前不能，因?yàn)槟阌幸粋€(gè)安全架構(gòu)。或者你可以以一種被信任的方式進(jìn)行合作或分享數(shù)據(jù)，而你以前是做不到的。從商業(yè)結(jié)果的角度看，這創(chuàng)造了價(jià)值。

你必須考慮定義價(jià)值，不僅從網(wǎng)絡(luò)的角度，而且從客戶(hù)或股東的角度，你使你的組織做什么。

Dan Roberts：你關(guān)注的衡量標(biāo)準(zhǔn)是什么？

Deneen DeFiore：這是不斷發(fā)展的，我仍在與我的團(tuán)隊(duì)一起工作，但指標(biāo)的操作方面是圍繞著我們正在制定的政策和標(biāo)準(zhǔn)，我們?cè)诩夹g(shù)服務(wù)方面的覆蓋率如何，然后他們的表現(xiàn)如何。因此，這是一種覆蓋范圍和有效性類(lèi)型的度量觀。

當(dāng)然，我們希望所有外部端點(diǎn)都在我們的網(wǎng)絡(luò)應(yīng)用程序防火墻后面，即覆蓋率指標(biāo)，但我們實(shí)際阻止了多少威脅？它們是什么？那么它們是否在應(yīng)用程序安全標(biāo)準(zhǔn)中？為什么人們?nèi)栽谑褂脫p壞的身份驗(yàn)證或不正確的會(huì)話(huà)管理或其他什么東西——我們正在努力結(jié)束這一循環(huán)，確保我們不僅僅是因?yàn)槲覀冇幸粋€(gè)政策而說(shuō)我們很好，而且它有效嗎？然后在沒(méi)有的地方，了解我們的差距在哪里。這是一個(gè)連續(xù)的循環(huán)。我們?cè)噲D在我們的網(wǎng)絡(luò)計(jì)劃中圍繞核心能力制定指標(biāo)和 KPI 的基線。

Dan Roberts：這可能不是一個(gè)你跟蹤的指標(biāo)，但我必須想象，一旦你在敘事方面做得很好，你就會(huì)被視為一個(gè)戰(zhàn)略伙伴，并開(kāi)始被邀請(qǐng)從頭參與項(xiàng)目。

Deneen DeFiore：肯定是這樣。我喜歡別人把這些點(diǎn)聯(lián)系起來(lái)，當(dāng)他們來(lái)找我說(shuō)，“我認(rèn)為我們應(yīng)該考慮這個(gè)問(wèn)題”。這是我衡量成功的標(biāo)準(zhǔn)。我已經(jīng)完成了我的工作。

來(lái)源：www.cio.com