高效能CISO领导力的四大使命

高效能CISO领导力的四大使命优秀的网络安全领导者如何应对职责范围扩大所带来的挑战 高效能CISO的四个领导力侧面高效能CISO，一人分饰多角Gartner IT领导者2随着业务需求不断提高，首席信息安全官（CISO）的职责范围也不断扩大。数字化进程持续加速。64%的董事会成员表示，其企业机构正在大规模调整自身的经济架构，更加重视数字化（具体表现在收入、利润率、生产力等方面）在企业机构中的作用。同时，88%的董事会成员认为，网络安全问题不容忽视，否则会给其企业机构带来风险。因此，优秀的网络安全领导者既要注重保护企业优先事项的信息安全，又要注重促进该等优先事项的实现。但要做到这一点并非易事，CISO需要具备一系列相应的能力，才能高效地承担起越来越多的责任。通过比较，我们发现高效能CISO：更重视与不同利益相关方开展对话，更主动强调未来的风险，更坚持制定面向未来的人才战略，更明确工作与生活的边界。因此，本份关于高效能CISO行为和思维模式的快速指南将帮助安全领导者了解某些能力的重要性，并帮助他们时刻警惕能力不足的危险。以此为基础，CISO方能正式开展技能能力评估并规划更加高效的路径。成为客户 高效能CISO的四个领导力侧面高效能CISO需要实现的四大关键成果具备职能部门领导力实现以下职能部门目标：•职能部门业绩领先•员工适应企业变革•业绩表现符合C-suite期望拥有企业级响应能力有能力让企业认识到信息安全的作用和重要性。比如员工可以：•满足信息安全能力基线•防止政策偏误•做出明智、独立的风险决策提供信息安全服务为支持以下业务目标，提供高效、高质量的服务：•服务交付时间表•项目时间表•服务质量标准实施规模化治理有能力加强与信息安全建议的合作，如：•信息风险影响企业级决策•决策者在企业决策中考虑信息安全问题•信息安全建议平衡安全问题和业务目标本研究以一项定量调研（《2020年Gartner CISO有效性调研》[n = 129名CISO]）和数十次CISO采访为基础。其中使用的效能指数根据60种行为、思维模式、特征和组织因素，以及样本中三分之一的高效能CISO和三分之一的低效能CISO的差距分析编制而来。该研究不断审核更新，是本指南中所有定量数据的基础。高效能CISO的领导力习惯3成为客户Gartner IT领导者 高效能CISO的四个领导力侧面CISO效率低下将付出巨大的代价企业机构受到消极影响CISO受到消极影响•导致业务中断的安全事件数量增加•项目延迟，不利于业务目标的实现•安全警报超过负荷•工作与生活难以平衡研究表明，只有12%的CISO最终能够实现上述四大关键成果。根据Gartner CISO效能指数，低效能CISO将为企业和个人带来一系列消极影响。4CISO效率低下的代价：示例成为客户Gartner IT领导者 高效能CISO的四个领导力侧面高效能CISO需要具备多种能力高效能CISO领导力的四大使命Gartner的研究发现，与高效能CISO正相关的可控变量共有14个，可分为四类行为和思维模式。我们把这四类行为和思维模式称为高效CISO的“使命”。安全领导者必须了解这四类行为和思维模式的重要性（见第6-9页），才能提高自身的效率。请注意，这四类行为和思维模式不可能同时实现，每次只专注一个使命即可。压力控制者高层影响者人才架构师未来风险管理者5高效能CISO成为客户Gartner IT领导者 高效能CISO的四个领导力侧面如何成为高层影响者没有关联性投入大部分精力中低关联性高关联性高效能CISO：•定期与企业IT部门以外的高管进行沟通交流•认识到非IT高管对安全职能部门效能的影响•与这些高管在个别项目之外建立有意义的联系•与非IT高管的风险偏好保持一致，阐明信息风险权衡，影响企业级决策CEOCIO销售主管业务部门领导传播主管董事会首席营销官基础设施主管外部审计项目管理主管CFOCISO来源：Gartner花更多的时间在最有影响力的领域里6应用主管CDOCHRO成为客户Gartner IT领导者 高效能CISO的四个领导力侧面如何成为未来风险管理者80%37%让高级决策者了解不断变化的安全规范和技术，避免威胁高效能与低效能CISO未来的风险关注点70%37%积极主动地参与到新兴技术的安全保护中56%89%让高级决策者了解未来的风险n = 129名CISO来源：Gartner高效能CISO：•通过信息风险管理加速企业机构对新兴技术的采用•让高级决策者了解新的安全规范和技术•让高级决策者了解未来的风险•制定自动化战略，为企业机构提前做好准备7低效能CISO高效能CISO成为客户Gartner IT领导者 高效能CISO的四个领导力侧面如何成为人才架构师高效能与低效能CISO的人才架构方法n = 129名CISO来源：Gartner33%55%制定人才战略，满足企业不断增长的技能需求35%61%制定正式可行的接班人计划高效能CISO：•制定面向未来的人才战略，满足企业不断增长的技能需求•通过以下方式提高现有员工的生产力和效率：–提高网络安全人员的业务能力–创造性地利用非网络安全人员–制定正式可行的CISO接班人计划8低效能CISO高效能CISO成为客户Gartner IT领导者 高效能CISO的四个领导力侧面如何成为压力控制者每周工作时间越长，工作效率越低。高效能与低效能CISO的压力控制方法32%39%9%14%严格区分工作时间和个人时间相信工作压力由CISO直接控制n = 129名CISO来源：Gartner高效能CISO：•将福利视为提高绩效的驱动因素•严格区分工作时间和个人时间•主动管理日程•从工作一开始就确定职责•定期评估参与的项目是否在职责范围之内9低效能CISO高效能CISO成为客户Gartner IT领导者 高效能CISO的四个领导力侧面CISO保持高效能的后续措施找出特征、行为和软技能方面的差距，提高自身效能。关注CISO角色的未来，对立即解决当前问题与主动进行风险决策的需求进行平衡。与利益相关方建立更紧密的关系，提高自身的受信任程度。平衡并重新分配时间，增加用于业务参与和决策的活动时间。持续将基准作为有用的数据点，但要确保风险偏好、价值管理和成本优化措施驱动决策。CISO角色的演变n = 129名CISO来源：Gartner控制措施管理者风险决策制定者受信任促进者价值创造者管理SecOps建立IT关系提供保证促进业务决策（如并购）保护周边环境评估“信息”风险帮助业务负责人做出风险决策管理价值创造活动管理防火墙推定风险负责人管理业务利益相关方关系高层领导10加入我们Gartner IT领导者 高效能CISO的四个领导力侧面已经是Gartner客户？您可在客户门户网站上获得更多的资源。登录探寻为安全与风险领导者提供的其他免费资源和工具：可行的客观洞察即刻下载研究报告《响应网络安全事件的3个必备工具》提前制定端到端的事件响应计划。电子书《2022年领导力前瞻—安全风险管理领导者》安全风险管理领导者的3大战略重点。下载报告网络研讨会中国云安全的最佳实践明确企业和云服务提供商的安全责任范围，并建立云安全所需的能力。现在观看路线图《网络安全IT路线图》借鉴最佳实践，制定灵活、可扩展且敏捷的网络安全策略。下载路线图11成为客户Gartner IT领导者 © 2022 Gartner, Inc.及/或其关联公司版权所有。保留所有权利。CM_GTS_1675627联系我们获得可行的客观洞察，以实现您最关键的优先事项。Gartner专家指南和工具使您能够做出更快、更明智的决策并获得更优的业绩表现。联系我们成为客户：成为客户点击了解更多关于Gartner IT领导者的相关信息https://www.gartner.com/cn您可扫描以下二维码，关注Gartner官方微信公众号：