安德烈斯·安德烈乌的安全领导力洞察

关键要点

• 安德烈斯·安德烈乌是2U公司的首席信息安全官，强调安全领导者需在技术与商业之间找到平衡。
• 安全领导者需重视透明度和诚实，以便获得高管和董事会的信任。
• 领导者需要掌握与人沟通的能力，特别是在风险管理方面。
• 参与网络安全协作组织能帮助领导者拓宽视野，建立宝贵的人际关系。

安德烈斯·安德烈乌是2U公司的高级副总裁和首席信息安全官，负责网络安全领域的领导工作。他在网络安全方面的丰富经验，使他能够在技术与商业之间架起桥梁，各种角色之间的平衡是他成功的关键。

在担任2U首席信息安全官之前，安德烈乌在美国纽约地区的毒品执法局担任IT主管超过十年。他之前还曾在Ogilvy &
Mather公司担任公司合伙人和全球首席应用架构师，并为诸多知名组织提供咨询。安德烈乌还曾是BayshoreNetworks网络安全产品的创始成员及首席技术官，该公司在2021年被Opswat收购。此外，他还是《专业渗透测试网站应用程序》一书的作者。

如何成为成功的安全领导者？

用一个词来归纳：平衡。作为安全领导者，你需要在两个相对的世界之间架起桥梁。既要管理技术团队，也要与业务人员及高层沟通。这两者本质上是对立的，但必须在两端都能有效运作。有些CISO同事只来业务领域，他们可能难以赢得技术团队的真正尊重，因为他们无法与技术人员用相同的语言交流。而我则是从技术岗位成长起来的，因此我必须学习业务方面的术语和运作模式，在两者之间找到重要的平衡。对我而言，这种平衡是职业发展的关键。

领导者应该关注哪些外部和内部优先事项？

外部优先事项取决于公司的性质。例如，若你是公众公司，SEC对外部重点的影响会很大。目前，他们正在讨论即将投票的新规则，比如对公众公司报告机制和时间表的要求将与现行法规大相径庭。作为公众公司，你必须密切关注这些变化。如果这些规则通过，那我们将面临大量业务调整。在合规层面上，ISO认证或SOC2评估等符合外部框架的工作也应该受到关注。这些过程相当复杂且耗时。此外，我们还需确保客户的满意度，因为我们的使命是在为学生提供学习平台的过程中，创建最安全的环境。

学生在平台上寻找哪些安全特性？

我们作为学生数据的保管者，必须重点保护学生的数据，防止数据外泄或泄露。尽管这些任务似乎简单，但在复杂的生态系统中却并非易事。我们的责任是保护6000万以上学生的数据，这是一项巨大的挑战。

安全领导者如何与企业同事合作，赢得高管和董事会的支持？

我非常强调诚实与透明。一旦你开始对数字和指标进行修饰，就会走入歧途。纵使我传达的是糟糕的消息，我也会尽可能做到客观，专注于事实。透明度是最重要的，这其中的诚实也至关重要。通过叙述故事，人们更加容易理解。将枯燥无味的数字转变为有关风险的故事，能够帮助高层更全面的理解风险。在交流过程中，我不相信用恐惧、不安和怀疑来引导。在政府工作时，这种方法可能有效，但在商业环境中已经失效。我的任务是促进安全，而不是让事情变得复杂。如果能在与高层沟通时充分表现出这些能力，将有助于增强彼此间的信任。

安全领导者需要哪些非技术培训以成功领导全球企业？

沟通能力的培养至关重要。如果你是从技术领域起步的，向他人解释风险可能不容易。尤其是怎样将情感因素融入到风险管理的过程中。例如，当我指出潜在风险并请求预算时，通常商业领导者关注的是成本，而忽视了风险管理的重要性。我们必须让他们理解，未能立即解决风险，最终将会导致更高的成本