你是个糟糕的网络安全负责人吗？如何成为更优秀的CISO

并非仅仅是一件事让Keith，一位40多岁的纽约城网络安全专家，决定辞职。

“真的很大程度上是因为被过度管理。还有，公司办公环境中使用的诅咒和脏话，”Keith回忆说(为保护身份，使用化名)，他在这个行业工作了10多年。

他描述的是他的前CISO，这位CISO对一切吹毛求疵，以至于Keith在发送每封邮件前都要检查四次。

“贬低人，说脏话，这完全是没有必要的，”Keith说。这并不是偶尔因为普通挫折而说出的粗话;这是直接针对团队成员的咒骂，“好像说你是原因，你是罪魁祸首，”Keith说。

作为副主任的Keith更加努力工作。当他表达想学习新东西的愿望时，他的CISO突然怒斥：“你为什么要浪费时间？”这位老板还很会挑拨离间，将某些队友分配到秘密项目中，而让其他人蒙在鼓里。“感觉虽然我们是同一个团队的一部分，但你会感觉到被孤立。每个人都感觉被孤立了，”Keith回忆道。

虽然每个行业都存在恶劣的上司(电影《恶老板》全球票房高达2.09亿美元便是证明)，但据居住在澳大利亚悉尼的Forrester Research首席分析师Jinan Budge所言，网络安全领域存在着特别严重的糟糕的工作文化问题。在她自己长达25年的网络安全职业生涯中，Budge不仅目睹了粗话、泪水，还见证了“椅子被扔来扔去”的场景，并为Forrester深入研究了糟糕的网络文化这一主题。通过对75位网络专业人士提供的200多个反馈的分析，她认为这种普遍性有几个原因。

她表示，网络安全仍是一个相对较新的职业，一直在努力获得认可和尊重，这使一些网络专业人士感到不安全，并用傲慢的“救世主情结”行为来过度补偿。她说，在商业中，安全常常被视为“一种税收”，这削弱了网络团队及其领导的士气。

此外，她指出，网络安全团队通常比其他领域的团队小，因此与领导层的合作更为紧密，所以他们更直接、更迅速地承受了CISO的挫折和不满。“在网络安全领域，”Budge补充说，“我们不太重视情感素养。我们不太重视领导力技能。技术技能固然重要，但人际交往技能呢？那是什么？”

专家表示，领导者不当行为的最终代价是打击人才并降低效率。

多项研究记录了职场不文明行为对生产力、招聘和留存的负面影响。在一项2022年针对美国和欧洲的1027名网络安全专业人士的调查中，超过60%的人表示过去一年他们的压力水平上升，且心理健康不佳影响了他们的工作效率。

麻省理工学院斯隆管理学院在2022年进行的另一项研究(涵盖多个行业，不仅仅是网络安全)得出结论：“糟糕的企业文化是负面Glassdoor评论的最强预测因素……也是公司员工流失率高于行业平均水平的最佳预测因素。”

Keith最终成了受害者。他发现他的上司时而“欺骗性”和“可怕”，这让他感到压力重重：“这是贬低。无论你付出多少努力和时间，这一切都永远不够。”

Keith在家里，和妻子及年幼的孩子们一起，也被工作压力所困扰。“我的健康状况极差。我有点抑郁。我经历了以前从未有过的事情，”他说。当一个家庭成员出现严重的健康问题时，Keith借故休了一段有薪医疗假，“只是为了不在那里。”

到了临界点，Keith于2023年离开了公司。他确保先找到了另一份他目前非常喜欢的网络安全工作。他从这次经历中获得的最宝贵的东西是，他意识到他宁愿接受20%或30%的薪水削减，也不愿再为那种类型的高管工作。

尽管大多数信息安全官公平对待员工，但信息安全官也是人——拥有人类所有的脆弱性、怪癖和不完美。但行为不端的信息安全官会使自己的组织面临巨大风险。

Geoff Hancock因为听到一些信息安全官同事在2023年9月的一些话而感到不安，他觉得有必要在领英上发声。作为一名拥有近30年经验的网络安全老兵，Hancock当时刚刚以宾夕法尼亚州Access Point Consulting公司副首席执行官及全球信息安全官的身份，与其他网络安全和商业高管参加了几次会议。

“我们讨论了良好领导与糟糕领导的区别，”Hancock在领英上写道，“令我惊讶的是，几位经验丰富的高管支持利用不良行为来完成任务。作为一名领导者，我无论如何都不能支持不良行为(糟糕的领导)。也许我只是守旧。或者正如有人对我说的，‘也许你没有接受现今的现实，’这是什么意思也好。”

Hancock告诉CSO，那些信息安全官批准的一些行为包括窃取员工的想法并将其作为自己的展示，操纵情况使某些人看起来比其他人更好，对他人的名誉或行为撒谎，以及“成为所有决策的守门人”。

考虑到当今安全环境的危险性——无情的黑客，基于AI的威胁，立法合规变化，以及不断增加的责任担忧——可以理解为什么一些信息安全官在工作中偶尔会失去冷静，正如Hancock所证实的。“在网络安全领域，有监管，我要和法律人员和FBI打交道，也许我正在处理一起安全漏洞。信息安全官一周内可以经历许多不同的事情，”他说。

那些不断贬低员工的人实际上是在将他们的组织暴露于巨大的风险之中，Budge辩称。“当人们忙于互相争斗、哭泣和抱怨时，工作就无法完成。而那项工作是为组织进行网络安全……所以，对我来说，这种毒性是相当大的网络安全风险。它还影响了我们吸引和留住人才的能力，而这在网络安全领域是极其需要的，”她说。

糟糕的信息安全官面临的最棘手挑战之一是，造成问题的人恰恰是那位掌权者，这使他们对自己的行为存在盲点。Nicole L. Turner 是一位职场文化和领导力培训专家，她近距离观察到这种短视行为，当一位高管(非安全领域)最近聘请她为其公司的部门负责人提供领导力培训时。

“他觉得他们需要培训，因为他能感觉到他们正在发生一些事情，他们感到筋疲力尽和不知所措。但当我在培训他们时，我注意到他们之间的侧边对话[他的员工]表示他才是问题所在，甚至比工作本身更是如此。这真是讽刺，而他自己却不知道，” Turner 回忆说，她是华盛顿特区 Nicole L. Turner 咨询公司的所有者及首席文化官。

这也在某种程度上证实了一个老话：“高处不胜寒”，尤其是在竞争激烈的企业环境中。Turner 说：“[信息安全官]没有情感宣泄的去处。因为他们是高管，他们在遇到困难或面临痛点时不会感到自在地去找同事，因为他们通常不知道谁是可以信任的。他们也不能向[首席执行官]求助，因为他们认为这会影响他们的绩效。”

Turner 认为，糟糕的信息安全官是一个更广泛问题的症状，这个问题遍布所有行业：组织提拔在某一特定领域有专长的人担任高管职位，却没有确保他们具备更广泛的领导技能，如沟通和情商。

“这更多的是关于赋能、激励和激励你的员工。但是组织并不是这样看待领导力的，他们也不是这样培养他们的领导者的，”Turner 指出。

Turner 表示，组织可以为信息安全官提供获取或提升这些技能的工具，例如领导力培训、执行指导、导师机会以及内部或由第三方进行的360度评估过程。在后者的活动中，信息安全官将从其员工、同事和上级处接收到匿名(因此，大概是更诚实的)的关于他们管理风格的反馈。

为了避免在工作需求不断变化的情况下变得有害，Turner 说信息安全官应专注于自我意识，识别自己是否陷入了消极模式。这意味着要发展自我调节能力(即，注意自己的言行)并实践同理心，关注“团队中正在发生的事情”，而不仅仅是自己的利益和关切。

拥有类似执行职务的导师通常可以通过提供CISO可能在其他地方得不到的诚实反馈和观点，为他们提供所需的“我也经历过”的共鸣，Turner 补充说。

为了从根本上防止未来出现有害的信息安全官，她建议公司考虑继任计划，向他们最有前途的内部管理候选人提供相同的领导力发展工具。

这让我们回到了Keith的故事，他最终因为一位有害的信息安全官而离开了他的工作和公司。回顾他所经历的一切，他说，这段艰难的经历让他意外地明白了如何在新工作中成为一个更好的老板。

“现在，我的团队中有些是刚参加工作的年轻人。他们向我表达了，我能理解他们，我会和他们交流。所以，我从这一切中学到了不该成为什么样的人。”