一些不當(dāng)行為會讓高管陷入困境。違法和不道德的行為最顯而易見，這類行為通常會讓高管喪失就業(yè)機(jī)會。大多數(shù)專業(yè)人士都明白，如果想繼續(xù)職業(yè)生涯，就必須避免這些行為。

據(jù)高管、職業(yè)教練和高管顧問表示，還有許多其他失誤也會阻礙職業(yè)晉升，其中一些并不那么明顯，因此更難避免。此外，安全領(lǐng)導(dǎo)者還面臨一些特定的擔(dān)憂或行為模式，也可能成為職業(yè)發(fā)展的絆腳石。

以下是10種可能使安全領(lǐng)導(dǎo)者的職業(yè)生涯“短路”的表現(xiàn)。

1. 未能將安全與業(yè)務(wù)優(yōu)先級對齊

這是當(dāng)前安全領(lǐng)導(dǎo)者的首要要求之一，如果做不到，就會被邊緣化。

軟件公司Benevity的CISO James Carder表示：“安全已經(jīng)從最終目標(biāo)轉(zhuǎn)變?yōu)闃I(yè)務(wù)賦能職能，這意味著安全戰(zhàn)略、溝通、規(guī)劃和執(zhí)行都必須與業(yè)務(wù)成果保持一致。如果安全工作不能帶來有意義的ROI，那么CISO很可能做錯了。安全不應(yīng)只是成本中心，如果我們的行為或匯報讓人覺得它是成本中心，那就是在失職?！?/p>

Carder指出，那些尚未將安全與業(yè)務(wù)戰(zhàn)略對齊的CISO必須做出“根本性的思維轉(zhuǎn)變”。

“首先要接受角色已經(jīng)改變的事實。我們不再是把關(guān)人，而是進(jìn)步的推動者?！彼f。

2. 只做技術(shù)專家，而不是業(yè)務(wù)高管

前沃爾瑪?shù)鲜磕峁竞虲ostco Wholesale的CISO Ryan Knisley指出，要讓安全與企業(yè)戰(zhàn)略保持一致，安全從業(yè)者也必須成為業(yè)務(wù)領(lǐng)導(dǎo)者。

許多CISO依然難以做到這一點，他們往往通過安全部門逐級晉升，而不是通過業(yè)務(wù)部門，這種職業(yè)路徑導(dǎo)致他們?nèi)狈L(fēng)險與營收掛鉤的能力，或用業(yè)務(wù)指標(biāo)衡量安全成效的能力。

“結(jié)果，他們的角色被邊緣化，被看作是額外負(fù)擔(dān)?！盞nisley說。如今，他是科技公司Axonius的首席產(chǎn)品戰(zhàn)略官。

他建議CISO通過尋找網(wǎng)絡(luò)安全之外的職業(yè)導(dǎo)師、積累安全領(lǐng)域之外的工作經(jīng)驗，來提升業(yè)務(wù)能力。

3. 停留在“拒絕”，而未能走向“是”

CISO通常都明白，安全部門不能是“否決部門”。

Transcend公司駐場CISO、前UnitedHealth Group的CISO Aimee Cardwell指出，有些人沒能真正做到“說是”，這同樣意味著他們未能為企業(yè)提供價值，并可能因此阻礙職業(yè)發(fā)展。

要做到“說是”，CISO需要理解企業(yè)的風(fēng)險容忍度，從而在安全控制與業(yè)務(wù)對速度和便利性的需求之間找到平衡。

NCC Group的高級顧問兼安全總監(jiān)Tim Rawlins解釋說：“那些能夠說出‘是的，我會幫你安全、穩(wěn)妥、具備更強(qiáng)韌性地去實現(xiàn)目標(biāo)’的CISO，才更有可能推動自己的職業(yè)發(fā)展?！?/p>

4. 畫“紅線”

Rawlins最近與一位CISO合作時發(fā)現(xiàn)，當(dāng)該CISO聽到業(yè)務(wù)同事提出一個高風(fēng)險想法時，直接回應(yīng)：“這是我的紅線?！?/p>

Rawlins建議避免這樣做，因為這表明CISO并沒有真正聚焦業(yè)務(wù)需求。

“CISO不能劃出一道紅線說‘絕對不行’，因為如果這件事對業(yè)務(wù)很重要，他們必須找到一個安全、可靠的實現(xiàn)方式。否則，業(yè)務(wù)會繞過你?！盧awlins說。

5. 過于死板地執(zhí)行規(guī)則

同樣，過于死板地遵循規(guī)則的CISO也會損害企業(yè)和自身職業(yè)前景，Cardwell表示。

她舉了一個實際案例：在她所在的企業(yè)里，一名團(tuán)隊成員起初拒絕批準(zhǔn)一款第三方應(yīng)用的使用，理由是安全策略禁止此類應(yīng)用。

Cardwell與該員工進(jìn)一步分析，發(fā)現(xiàn)這款應(yīng)用只會在兩臺機(jī)器上運(yùn)行兩個月，而且對某個業(yè)務(wù)項目至關(guān)重要。

最終，他們決定在安全策略上做出例外，并采取相應(yīng)控制措施，例如創(chuàng)建服務(wù)工單，確保項目結(jié)束時卸載該應(yīng)用，從而為業(yè)務(wù)承擔(dān)一個可控風(fēng)險。

Cardwell指出，這種做法展現(xiàn)了安全作為業(yè)務(wù)賦能者的角色，確保CISO和安全團(tuán)隊被視為合作伙伴，而不是需要繞開的障礙。

6. 對AI做出錯誤判斷

隨著AI的普及，CISO必須不斷加深對這項技術(shù)的理解，才能合理地保障其安全，否則，他們會被視為“前AI時代的遺留產(chǎn)物”。

Tiro Security的虛擬CTO兼CISO、同時也是ISACA(一個專注于IT治理的專業(yè)協(xié)會)的網(wǎng)絡(luò)安全專家Jenai Marinkovic指出，許多安全從業(yè)者依舊把AI“當(dāng)作一種普通的技術(shù)工具，而不是一個新的環(huán)境”。

“AI是一種環(huán)境修正器，”她說，“它改變了對抗格局、決策循環(huán)，甚至改變了企業(yè)內(nèi)部對‘真相’的認(rèn)知。如果專業(yè)人士繼續(xù)把AI僅僅視作一種功能，他們就會誤讀環(huán)境，并提出針對已不存在威脅類型的解決方案，他們的邏輯會在實時中失效?！?/p>

她補(bǔ)充說：“未來注定失敗的職業(yè)，并不是因為懶惰或無能，而是因為仍然在依賴過時的知識體系?！?/p>

7. 缺乏對資產(chǎn)和依賴關(guān)系的可見性

如果CISO無法全面掌握需要保護(hù)的一切資產(chǎn)，他們就難以在崗位上取得成功。

“如果他們?nèi)狈梢娦?，無法闡述控制措施的有效性，那么他們將失去公信力，領(lǐng)導(dǎo)層對他們的信任也會逐漸流失?！盞nisley表示。

Marinkovic指出，如今“可見性”的范圍比以往更加廣泛，那些未能對幾乎所有組織中存在的隱性依賴關(guān)系進(jìn)行建模的CISO，正在為失敗埋下伏筆。

“在混合系統(tǒng)中——無論是生物、數(shù)字、運(yùn)營還是地緣政治，最具災(zāi)難性的故障往往出現(xiàn)在未建模的耦合點?！彼f，“如果你看不到自己的控制邏輯(無論是技術(shù)還是管理)如何與不可見的系統(tǒng)(如監(jiān)管、文化、經(jīng)濟(jì))交互，你就無法治理它。你的職業(yè)變得脆弱，并非因為缺乏技能，而是因為缺乏綜合感知能力。”

8. 只顧自己

在各個領(lǐng)域，專業(yè)人士的成長部分依賴于幫助他人完成工作，成為同事值得信賴的合作伙伴，并在組織內(nèi)部建立關(guān)系。有些人善于社交，而某些崗位則需要通過協(xié)作來形成這種職場紐帶。

但許多企業(yè)中的安全職能往往不具備這種天然優(yōu)勢。即便如此，關(guān)系建設(shè)對安全項目的成功和個人職業(yè)發(fā)展同樣重要，All-Star Executive Coaching創(chuàng)始人Kimberly Roush指出。

因此，安全從業(yè)者必須主動創(chuàng)造機(jī)會。Roush建議，可以通過以下方式與同事建立聯(lián)系：主動溝通和提問，認(rèn)可他人的成就，安排會議向他人學(xué)習(xí)?！叭绻阆Ｍ诒静块T之外產(chǎn)生影響力，那你絕對應(yīng)該去做這些事情。”

9. 吝惜時間和注意力

毫無疑問，CISO的時間極為緊張，但他們必須避免因為過于忙碌而無法認(rèn)真傾聽他人的關(guān)切。

“你不想用尖銳的回應(yīng)把別人推開，因為一旦這樣做，你就永遠(yuǎn)失去了那個人;這會讓對方覺得，‘我不想再和這個CISO合作了’?！盋ardwell說。

在這種情況下，人們會繞過安全部門，把安全問題或漏洞隱瞞在心里。

“我很清楚，如果我第一次拒絕了某人，那將是他們最后一次向我提出問題，所以如果有人帶問題來，我會心懷感激地接納?！盋ardwell補(bǔ)充道。

她強(qiáng)調(diào)，即便是一些微小的抱怨或擔(dān)憂，也可能揭示重大安全問題，如果被忽視，最終會對安全團(tuán)隊和其領(lǐng)導(dǎo)層造成不良影響?！斑@就是為什么當(dāng)有人帶著問題來找你時，你應(yīng)該對他們所說的內(nèi)容保持好奇，因為它可能暴露出一些非常有價值的情況?！?/p>

10. 錯誤處理數(shù)據(jù)泄露

CISO并不是唯一清楚“安全事件不是是否發(fā)生，而是何時發(fā)生”的人，如今，他們的高管同僚同樣很清楚這一點。

因此，數(shù)據(jù)泄露事件本身已不再是職業(yè)“致命傷”。

“過去，發(fā)生過泄露會成為CISO的污點?！盋ardwell說，“但現(xiàn)在情況幾乎反過來了。如果一個CISO從未經(jīng)歷過泄露，我反而不太愿意雇傭他們，因為我更希望他們已經(jīng)在別的地方經(jīng)歷過危機(jī)，從中吸取了教訓(xùn)，然后帶著這種經(jīng)驗加入我的組織，對韌性建設(shè)有更清晰的認(rèn)識。”

但如果CISO在事件響應(yīng)中處理不當(dāng)，危機(jī)依然可能摧毀他們的職業(yè)生涯。

“真正能毀掉職業(yè)的，不是泄露本身，而是應(yīng)對不力?！盧awlins說。

他強(qiáng)調(diào)，CISO必須具備一套經(jīng)過充分演練的事件響應(yīng)計劃，以便在危機(jī)中果斷執(zhí)行，遏制損害，并迅速推動恢復(fù)。他們需要冷靜、清晰地溝通，并展現(xiàn)出掌控力。

“當(dāng)然，這可能仍意味著你在這家雇主的任期即將結(jié)束，我們?nèi)匀豢吹剑?jīng)歷重大泄露的CISO往往還能再堅持大約18個月?！盧awlins說，“但這并不一定會毀掉你的職業(yè)生涯?！?/p>