我是在从事网络安全工作时偶然接触到金融知识的,从那时起,它就成了我意想不到的盟友。
尽管网络安全通常专注于威胁、最新的产品类别缩写以及 谁在收购谁,但要使安全团队成为更有效的业务合作伙伴,掌握金融是一个被忽视的成功关键。
当我告诉人们,我(和其他许多人一样)在网络安全等技术领域工作时,对金融基础知识掌握得还不错时,人们往往会感到惊讶。这不是我们经常谈论的话题,但我在一家大公司从事技术性很强的安全工作时,学到了不少金融知识。
这种组织设置与我之前或之后见过的任何组织都不一样,因为安全职能是按领域划分的,横跨多个其他组织。在这种独特的设置中,我的安全工程团队横跨 CISO、IT 工程和 IT 运营组织。我们充当了内部服务提供商的角色,这就要求我们学习每个小组的业务语言、规范和财务术语,以便有效地完成工作。
我所在的团队是安全工程团队,他们的特殊身份是被所有三个团队要求评估、设计安全解决方案并提供建议。CISO和CTO是同僚,都向 CIO汇报工作。我们还可以自由地创造新的想法来保护公司的安全(这是最有趣的!)。
安全工程团队是更广泛的 IT 集团中的另一个工程团队,我的团队必须严格遵守其他 IT 规范和期望。因此,它首先是一个工程团队,只是碰巧研究过安全技术。
这意味着我们首先是一个工程团队,专注于安全技术。我们的工作是为 CISO 组织提供 "服务",CISO 是我们的主要但不是唯一的 "客户"。我们必须学习业务语言、规范和多个不同团队的期望,才能完成工作。
与我所见过的其他网络安全项目相比,我们必须从实际出发考虑问题的解决和预算的分配。预算资源不是无穷无尽的(这通常是受严格监管的大公司的常态),我们的注意力也不是无穷无尽的。因此,我们开始学习和使用 CapEx、OpEx、投资回收期和运行率等财务概念,讨论应该开展哪些项目以及项目的先后顺序。
这是我工作过的唯一一家公司,在那里我们积极减少安全支出,同时提高安全能力、攻击覆盖范围和合规性。当需要承担新的工作或引入新的功能时,与所有相关方进行对话就变得容易多了。
我们学会了如何向业务发起人(CISO 组织)提出业务案例,向项目管理办公室提出财务案例,向企业架构小组提出技术案例。使用他们能够理解的语言让这些不同的机构保持一致,为我们的工程团队开展解决安全问题的有趣工作铺平了道路。
了解每个团队的业务和财务语言,为安全工程团队带来了新的效率和合作机会。如今,越来越多的安全从业人员和领导者开始向业务方面靠拢,希望自己的角色得到重视。
正如萧伯纳所说
The single biggest problem in communication is the illusion that it has taken place.
交流中最大的问题是产生了交流的错觉。
学习公司的行话,才能实现真正的沟通与合作。这就是学习组织沟通的艺术,了解如何与之合作,而不是抵制或忽视它。我把在那份工作中学到的经验带到了之后的每一份工作中。
主要启示是什么?
流利地使用不同业务职能部门的语言,能让安全团队更快更好地发挥影响力。对于希望首先被视为业务推动者的安全从业人员来说,学习金融知识及其对公司的意义是一个很好的开始。
原文链接:
https://www.returnonsecurity.com/p/cybersecurity-leader-needs-financial-literacy
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
