从业30年，一名CISO的自述：网络安全角色正在演变

Schneller表示，认识到 CISO 如今的作用有多全面，是成为或找到一名成熟的 CISO 的首要原则。早期，CISO 只需要保护公司和客户就足够了，而且大多情况下他们可以独自做到这一点。如今，要保护组织，CISO 必须与整个企业的领导者协调，甚至，还要与每一位员工协调。

Schneller认为，安全不再是一个孤岛，保护企业只是他们必备的能力之一，而不是全部。他们还要招聘人才、倡导网络安全投资、评估并购、保护品牌，并对日益增长的合规要求了如指掌。简而言之，就是要成为企业的领导者。

Schneller提出的关键原则是负责任地发展，这反映了当前 CISO 应遵循的两种态度，负责任意味着“保护组织安全”，而发展则意味着“承认 CISO 角色的演变”，即有责任促进和推动公司的成长。

Schneller表示，很多组织面临着巨大的压力，需要寻求创新来获得增长。这种创新可能是购买和集成一种新技术，为客户提供服务；也可能是与应用程序开发人员一起自行开发。不管是什么，他们都面临着开发的压力。在制定战略时，CISO需要站在会议桌前，了解为什么要进行创新，以及是否需要安全地参与，有一种可能是这种“创新”无需安全，但你要确保产品就绪时是安全的。

在会议桌前占有一席之地是最起码的要求，目的不在于是否有座席，而是能否了解到公司接下来的发展方向，并使安全与其他部门保持一致，从而消除各自为政的情况以及确保安全不会成为流程中的一个假定部分。安全既是战术性的，也是文化性的。当公司准备好部署新能力时，它是安全的，因为整个企业是一致的。

Schneller 的第三个关键原则是取得平衡。一方面，保护自己的声誉或者说建立自己的声誉需要透明度，尤其是在安全方面。在他看来，安全已经变得如此重要，以至于成为许多交易的障碍。在企业对企业的交易中，CISO们有时会被要求给客户的CISO或CIO打电话，以实现就安全问题的深入探讨。

Schneller 强调，这也是为什么现代 CISO 必须能够驾驭整个企业及其业务活动，而不仅仅是技术方面的工作。其中很重要的一点就是要有执行力，能够传达影响，并有切实可行的方法来帮助其他利益相关者。而且，CISO必须能够与销售和法务团队巧妙合作，这样才不会过度承诺。

另一方面，如果管理不当，透明度也可能对CISO不利。透明度意味着很多人都可以了解CISO的安全能力，攻击者可以借此了解你企业的安全态势，例如，如果公司有记分卡并已公开，他们可以通过审查记分卡来做到这一点。又或是这些行为者可能对所处行业的一般协议有所了解。

Schneller表示，无论如何，CISO都需要知道这些原因。一个人无法保护自己不知道的东西，所以，CISO应该知道坏人攻击公司的原因，是因为获得了一个高知名度的客户？还是取得了里程碑的成就？因此，CISO不能只检查安全框架，而是要像坏人一样思考。

实际上，CISO获得话语权的背后隐藏着一个事实，那就是企业的网络安全不能只依赖CISO，还需要企业生态系统中的每一个人，特别是那些能够有权限访问企业敏感信息或客户的参与者们。

如果生态系统不安全，虚拟或法律之外的漏洞可能会直接影响到公司或客户，剑桥分析公司的失败也许是最好的例子。当一切尘埃落定时，Meta 已经支付了近 60 亿美元，这还不包括他们的非金钱损失。时至今日，他们的品牌仍被这一漏洞所困扰。

CISO如何影响一家不是由自己经营的公司？这就需要集体防御的概念。如何在各行各业、公用事业部门组织内开展工作，共同协作提高整个行业的防御能力？这又回到了第一个原则，也就是 CISO 必须具备超越技术层面的能力的另一个原因。

Schneller 鼓励每一个从业者考虑网络人才供需之间的差距。几乎每一个公开媒体都表示，网络安全有数万至数十万个空缺岗位。据 Statista 统计，去年 2 月，仅美国就有约 75 万个网络安全空缺岗位。根据世界经济论坛的数据，全球的空缺岗位约为 350 万，而根据《网络犯罪》杂志的数据表示，这一差距预计将至少持续到 2025 年。正如 Schneller 所指出的，这意味着企业将很难吸引到网络人才，他们将不得不在非传统的地方寻找网络人才。

吸引安全人才的策略有很多，例如将薪酬与重要因素挂钩，确保有明确的职业晋升途径等等。但所有这些都归结为 Schneller 强调的一个更广泛的观点：品牌建设。

组织需要对外传达一种消息，那就是组织非常重视网络安全，将为网络安全人才提供一种文化。在这种文化中，他们可以解决具有挑战性的问题，提升自己的职业生涯，赢得尊重，为企业的成功做出贡献。不是只有网络安全人才才会重视这些品质，例如金融行业，虽然人们知道这不是一个发展网络安全职业的地方，但每个人都知道金融行业拥有很强大的网络安全团队。

要从哪里寻找人才？有哪些非传统来源？Schneller 倾向于两个方面。首先是军队。对于Schneller 个人而言，他非常喜欢招募退伍军人。一般来说，美国的退伍军人在网络安全方面接受过大量培训，经验丰富，可以为企业做出巨大贡献。许多企业领导人都称赞退伍军人是员工，一些公司如 Sophos 甚至还开展了自己的退伍军人网络安全计划。仅在 2023 年，美国军方就在网络安全项目上投入了 112 亿美元。

第二个资源是高中、社区学院等。这些机构培养了大量毕业生，他们拥有在网络安全领域取得优异成绩所需的所有技能和雄心壮志。Schneller表示，更重要的是正确的认证，或者更笼统地说，正确的教育，你可以在人才来到之前，帮助他们塑造自己，从而培养他们。Schneller 表示，他鼓励 CISO 找到当地的学院，加入他们的咨询委员会并制定课程，帮助指导学生。

对于国内的企业来说，可以关注超级CSO研修班、未来CSO训练营等培训课程，这些课程可以有效帮助企业培养安全人才和安全文化。通过这种方式培养人才有两大优势，首先是在人才匮乏的当下，通过研修班或训练营可以培养非安全专业的人才，缓解人才压力，其次是由企业自行推举的参课学员可以更了解企业当前的安全状况，对安全和企业业务等方面相结合有一定助力。

某企业信息安全专家张福明表示，CISO 的角色正在不断演变，从之前的战术管理转变为了战略执行。这导致企业中的所有利益相关者都参与到安全中来，包括客户、合作伙伴、高管等，并在这些人群中起到“建立信任”的作用。对于CISO来讲，除了在安全专业性方面要努力学习、力争突出外，还应在公司业务和安全合规方面投入精力。

某安全从业者表示，近年来，CISO的角色发生了一些重大变化，并将未来继续演变。不可避免地会有一些意想不到的事情发生——无论是流行病、全球冲突，还是来自另一个文明的入侵——这无疑会扰乱这个行业。我们能做得最好的事情就是做好准备，让我们的团队保持同步，并采用最佳实践。

中国信息安全潘柱廷表示，CISO 必须能够理性面对最坏情况，承认没有100%的安全，不回避那百分之零点零几的概率。在常规安全视野之外，确实有超低概率的黑天鹅、有藏得很深的缺陷和失误等。用常规安全手段，往往会得不偿失。这就要求 CISO 必须有底线思维。

每过一年，网络安全就会发展得更快、更复杂、更精密。坏人会发现新的漏洞并使用新的工具加以利用。因此，CISO 的组织也会相应地变得更加复杂和精密，因此，CISO 只能依靠上述原则来引导组织。Schneller 表示：“CISO 必须是企业的领导者，是能够驾驭整个公司的 C级高管。”