Kevin Morrison: Driven Brands的安全领导者

重要要点

• Kevin Morrison是Driven Brands的副总裁及首席信息安全官，拥有超过25年的IT及网路安全经验。
• 成功的安全领导者需具备良好的人际关系与沟通能力，并需获得高层支持。
• 外部优先事项包括理解第三方风险，而内部优先事项则涵盖身份管理及供应链风险。
• 安全领导者需积极与企业内其他部门合作，获得高层的支持与认可。
• 参加非技术培训有助于扩展安全领导者在商业运作中的理解。

Kevin Morrison是Driven Brands, Inc.的副总裁及首席信息安全官，DrivenBrands是北美领先的汽车服务公司，服务14个国家，旗下拥有包括Meineke、Maaco、Take5 Oil &
CarWash、DrivenGlass及CarStar等品牌。

Morrison曾在两家《财富》500强企业担任CISO，包括位于西雅图的阿拉斯加航空公司和位于亚特兰大的PulteGroup，以及全球最大的法律事务所之一JonesDay。他的职业生涯超过25年，超过19年专注于网路安全，负责管理以及领导专注于事件管理、操作、移动、法医检查、合规性、政策、隐私和商业韧性的团队，涵盖公共和私人行业以及高度监管的环境。

成功的安全领导者应具备哪些特质？

我观察到，最成功的安全领导者都是随和且被视为值得信赖的顾问。他们的成功源于他们的经验与服务驱动的理念，这使他们在制定战略方面能够进行合作并获得共识。有效的安全领导还需要具备技术专家和外交专家的综合素质，能通过敏锐的软技能通过“机场测试”。随著安全领导者越来越多地向董事会呈报，强而有力且简洁的沟通技巧及高管的支持变得至关重要。此外，我不认识任何没有支持和感谢其团队的成功安全领导者，而这些团队成员常常是日常的无名英雄。

领导者应集中于哪些外部及内部优先事项？

每个企业都不同，但我认为它们之间有一些共同点。外部方面，理解第三方依赖风险是一项重要的工作，但这是必须超越典型合规性问卷的关键任务。从这些工作中获得的见解能为企业如何以及受这些依赖影响提供巨大的价值，帮助优先处理风险缓解。对于负责促进这些第三方风险评估的网路团队来说，包括对业务运营、收入或品牌具有实质影响的非技术合作伙伴必须纳入考虑。就内部优先事项而言，除了一般的身份和访问管理、云计算及人工智能风险外，如今许多组织正在将软体视为关键基础设施，因此供应链/SBOM（软件物料清单）风险（例如Log4j）已成为DevSecOps能力中的一个主要优先事项，并需要与各种利益相关者进行合作。此外，许多组织仍然在一些最基本且关键的安全卫生控制措施上挣扎，即动态和集中资产管理。我们发现一个创新的平台，让我们轻松发现和查看环境中的所有资产，并快速识别风险的存在。乐意和任何对此感兴趣的CISO分享该公司的名称。

网路领导者如何与企业同行合作，以获得C-suite及董事会的支持？

在此领域有很多事情可以帮助，但我列举几点。主动联系并在不需要或不想要任何东西时进行对话。成立一个网路