编者按: 这是为期一周的ISACA Now系列博客中的第四篇,展望2022年数字信任领域从业者的首要任务. 参见之前的文章 展望2022年的审计从业者, 网络安全人员 和 隐私的实践者.
又到了一年中的这个时候,人们开始预测新的一年将会发生什么. 这样的建议有时有用,有时准确,而且通常很有趣. 同样,职业建议也可能是命中或错过的. 你可能还记得1967年电影中的标志性场景 《澳门赌场官方软件》 由达斯汀·霍夫曼主演,主角被要求将自己的未来投资于一个词:塑料. 我希望我下面关于风险前景的建议能够适用于我们所处的时代,并且不要夸大任何一项技术发展的重要性(这是你在追逐过去而不是为未来做准备的明确信号)。.
我在下面概述了2022年的三个网络风险优先事项,旨在帮助专业人士在未来一年提升他们的网络风险实践水平. 进一步, 即使这些技能你已经很熟练了, 同样,它们也可以进一步增强,以确保您与行业的最新动态保持同步,并保持对技术和软技能的认识和能力. 网络风险是一门有趣的学科,因为如果我们想做好自己的工作,就需要跨越两个世界. 第一个世界要求我们熟悉(如果不是流利的话)当今使用的技术. 这对于大多数IT工作来说已经足够了, 但网络风险也要求我们具备必要的软技能,能够为与我们打交道的高管和董事会董事提供有关这些技术的见解. 我希望我下面列出的三个优先事项能帮助你发展自己,迎接你可能面临的下一个职业挑战.
优先事项1:网络风险量化(CRQ)技能
Gartner最近发布了一份 报告 对董事会成员的调查. 88%的董事认为网络安全是一种商业风险. 这是一个巨大的成功,我们都应该引以为豪. 很长一段时间, 这一直是网络风险专业人士的口头禅:让商业领袖明白,网络安全会影响他们的业务. 好消息是他们在倾听. 坏消息是,他们也在倾听. 不幸的是, 仍然有太多的网络风险从业者没有采用CRQ方法来帮助将技术转化为业务. 董事会的这种新关注将推动对网络风险量化方法的更多关注.
一方面,我们广泛地将网络安全视为一种商业风险. 然而, 另一方面, 许多人仍然认为网络风险无法定量测量,纯粹基于从业者信念和经验的定性评估足以满足这种业务风险. 这是两列火车在同一轨道上全速前进. 这两种信念不可能同时存在. 认知失调是深刻的.
其他什么商业风险同样不可估量? 信贷? 金融? 市场? 操作? 战略? 监管? 所有这些风险实践都对风险和损失有一定的看法,其核心转化为损失的频率和程度. 要想在2022年真正成为一名出色的网络风险专业人士,就要充分认识到网络风险是一个董事会层面的问题, 更重要的是, 董事会将期望以与其他风险类似的方式表达和管理这一风险. 这意味着将各种缺失和破坏的控制(其中在网络安全中有许多)转换为组织关心的业务场景,并且可以定量测量.
优先事项2:高管风度(EP)
既然我们已经确定了网络安全是董事会关心的问题, 你准备好在那个层次上演讲了吗? 你能把风险的统计表示解释给非技术观众吗? 你的ppt技能如何? 众所周知,高管们有太多的内容要处理,我们都需要调整我们的沟通方式来适应这一点. 如何将30页的风险报告转化成一张幻灯片? 您如何以与不同背景的听众产生共鸣的方式传达审核结果?
这就是高管风度的意义所在:调整你的沟通方式,以表明你理解他们的关注点(倾听技巧),并理解你使用的词语如何影响你的沟通对象. EP还有其他方面超出了本文的讨论范围, 但是开始学习这一关键技能永远不会嫌早.
优先事项#3:学习如何学习的能力
我本可以在这里列出我的第三个优先事项. Docker, Kubernetes, Airflow, Python等. 但12个月后这份名单会有多好? 事实是,目前正在使用的技术最终会逐渐不受欢迎,并被新的技术所取代. 作为评估技术风险的人,我们的工作是熟悉这些技术,但不一定是专家. 如果你从技术职位过渡到风险角色, 然后你就会非常了解某些技术. 伟大的! 但是要知道,你在日常使用之外花费的时间越长, 你就会越不舒服. 那么你有多了解自己呢? 换句话说, 你是否熟悉自己最好的学习方式,你是否能够激励自己定期这样做? 有各种各样的方法来保持对学习的投入. 认证迫使您完成培训和学习活动, 对于一些人(包括我自己), 这是一个很好的激励因素. 如果你喜欢阅读, 有无数的书籍和文章可以帮助你跟上时代. 在一般情况下, 然而, 我建议找到一种方法来保持与行业最新动态的接触,并培养持续学习的习惯.
以下是我鼓励你探索的一些资源,以帮助自己更好地在2022年实现这三个优先事项. 首先,对于CRQ,有一个 优秀的ISACA白皮书 可用. 对EP, 这份ISACA白皮书 船上的沟通是一个很好的开始. 有关谅解板的更多信息,请访问 全国澳门赌场官方下载董事协会 拥有丰富的信息. 如果你想磨练你的幻灯片制作技巧,我推荐 极致呈现法. 也有 伟大的著作 可以教你如何改善别人对你的看法. 最后, ISACA网络安全联盟 平台有互动培训课程,可以帮助您了解最新的安全实践和最新技术.
更上一层楼
为职业生涯的下一个阶段做好准备需要时间和勤奋的努力. 你不可能通过参加一个为期一周的课程就成为下一个级别的网络风险专家(不管这对你意味着什么). 它需要不断努力学习新技术, 提高软技能和商业头脑, 并且要有自律,以有规律的节奏继续这样做. 这并不容易,但我知道你能做到. 2022年见!
作者简介: 杰克·弗伦德博士.D., cisa, cism, crisis, cgeit, cdpse, nacd.DC, 是BitSight的副总裁兼网络风险方法论负责人, 《澳门赌场官方下载》的合著者, 2016年入选网络安全佳能, ISSA杰出研究员, 费尔学会澳门赌场官方软件, IAPP信息隐私研究员, (ISC)2 2020年全球成就奖获得者,以及2018年ISACA的John W. 雷恩哈特四世共同知识体系奖获得者.
