CISO的30年：自Steve Katz担任史上首位CISO以来

回到1995年。那年，花旗集团向Katz提供了CISO的职位，这是之前从未有过的全新职位。当时，该银行还在努力应对前一年发生的一起事件，即黑客试图通过国际欺诈性资金转账窃取 1000 万美元。而在花旗集团挫败这一骗局之前，网络罪犯已经卷走了 40 万美元。2021年，在《首席信息安全官故事》 (CISO Stories) 播客被Todd Fitzgerald采访时，Katz回忆道：“那两个网络罪犯来自圣彼得堡，是俄罗斯人，他们当初正试图找到一种方法来获得免费的电话服务。”

因此，在随后的影响中，花旗集团创建了CISO的职位，并将其提供给了Katz。Katz在离开了摩根大通的信息安全主管职位后，接受了这一开创性的工作，从此便进入了网络安全历史的殿堂。

2023年12月，Katz在81岁时去世，信息安全领域的同事们称他为“网络安全之父”。金融服务公司Northwestern Mutual的CISO Laura Deaner说：“Katz是一位慷慨的导师。作为CISO，我们的工作常常会很艰难，但如果我在某件事上遇到困难了，需要寻求帮助，Katz愿意随时与我交谈。Katz的为人非常积极，而且乐于帮助安全业的新人，这是值得我们所有CISO都去学习的品德。”

1995年，Katz于刚接受CISO这一职位时，他对此毫无头绪，连带着花旗集团也是一样。2021年Katz在播客采访中回忆道：“花旗集团只给了我一张空白支票，说要我为公司建设一些实用的东西，随便那是什么，只要有用就行。当初连董事会也不知道具体该做些什么，他们只给了我两项指示：第一，建立世界上最好的网络安全部门；第二，和花旗集团顶级国际银行客户多交流、多联系，以减少损失。”

也就是从那时起，CISO这一职位变得越来越复杂。根据Todd Fitzgerald 在2019 年写下的著作《首席信息安全官指南：借助先驱者见解探索网络安全领导技能》（CISO COMPASS: Navigating Cybersecurity Leadership Skills with Insights from Pioneers），Katz的聘用标志着从 1995 年到 2000 年，首个CISO时代的开始，当时CISO们只专注于密码和登录安全。

Fitzgerald说，CISO最初被认为是技术性职位，但现在其更加强调商业战略。“如今，人们更多会关注软技能，比如会关注如何成为商业伙伴和高管。”

辅导和咨询公司Yass Partners的首席执行官Yael Nagler表示，随着时间的推移，CISO的工作已经从“字面上理解公司IT网络的细节”，转变为了“理解如何在网络安全危机中收拾残局”。换句话说，就是CISO应作为其组织内的战略合作伙伴。

Nagler说：“随着角色的演变，CISO实际上已经远离了技术，其更多地会进入到高管会议室。因此，CISO的技能也已经开始了演变，以至于他们和各部门之间的互动也发生了变化，这些互动包括与技术、财务、审计、法律和合规等部门的合作。”

Gartner在分析了2020年至2023年227名CISO的表现后得出结论：超越IT领域的合作对现代CISO至关重要。而“最有效的CISO”会定期与非信息技术利益相关者（如销售主管、营销主管和业务部门领导）会面，此频率要三倍于核心信息技术利益相关者。

在具备这些合作之后，今天的CISO必须要能以“业务部门可以马上理解”的方式传达网络威胁。Fitzgerald说：“这是一种阐明风险的能力，CISO要说清风险与组织中的业务流程有着怎样的联系。同时，CISO还需要能对风险进行讲解，比如中了勒索病毒后，对公司业务而言，是否意味着无法做生意了？对监管而言，是否意味着没做好基础建设要被罚了？等等。”

Deaner表示，CISO在“实施业务连续性计划”或“灾难恢复测试”等方面发挥着明显的作用。“随着数字化转型将技术编织在了每个组织的结构中，CISO必须打破传统网络安全技术的壁垒。最关键的一点在于，要确保安全是公司文化的重要组成部分，并且要让公司从上到下都能贯彻这一认知。”

根据网络安全风险投资公司2023年的一项研究，目前全球约有32000个CISO。然而，随着CISO数量的增长，他们的集体焦虑感也在增加。2024年1月，IANS/Artico对加拿大和美国663名CISO进行了联合调查，结果发现，75%的CISO对换工作持开放态度，高于去年同期的64%，而同期对自己工作和公司感到满意的CISO数量从74%下降到了64%。

该研究指出：“CISO正在经历焦虑，这可以归因于网络安全支出的减少、网络漏洞的增加、生成式人工智能的兴起，以及更为严格的网络安全法规。”

今天，CISO令人担忧的现状对业内而言并不奇怪。Fitzgerald表示，在以前的时代里，CISO的角色对组织来说并没有那么重要，不像现在，CISO会被期望去解决所有问题，包括风险管理、新出现的威胁、监管合规性、数据隐私、网络安全文化的嵌入，以及通过安全运营来增加业务弹性。“前几个阶段里的安全要求非但没有消失，之后还添加进来了新的要素，这才是网络安全压力越来越大的主要原因。”

当下，我们可以看到的是，包括欧盟在内的全球监管环境日益严格，这也加剧了行业的负面影响。在美国，前优步首席信息官Joseph Sullivan于2023年因未披露数据泄露而被定罪；同年，美国证券交易委员会就2020年的一次网络攻击，对SolarWinds 的CISO Timothy G.Brown提出了指控。

Deaner承认，CISO圈子里的同僚绝对会谈论这些关于安全职责的问题，包括法律上的各种责任。“而我们担心的是，过严的法规变化，会让安全从业人员感到心累，虽然这些变化是合理的，但整体效应并没有想象中那么积极。”

在Nagler看来，更明确的监管条目实际上可能会是CISO们的福音。“因为这也让领导层和董事会注意到了这一点，他们或许会推动组织采取更有效的安全策略，或制定更负责的网络安全计划。这样，CISO就可以将其角色和价值从技术转变为战略合作伙伴。”

但就目前的现状而言，根据IANS/Artico的研究：当下只有20%的CISO在其组织中被视为C级高管；同时，只有50%的CISO会每季度与董事会接触；尽管85%的人希望董事会提供明确的风险承受指导，但只有36%的组织做到了。

Fitzgerald对此表示：“在大多数组织里，CISO仍在向技术部门的CIO或CTO报告工作，而实际上CISO应该直接向CEO报告工作。不然，组织的安全实践就无法从更高层面往下落实，以引起全体员工的重视。”

面对不断出现的网络威胁，包括似乎在一夜之间就发展出的人工智能，以及不断变化的立法格局，CISO该如何面对这个时代呢？

在2022年的一份研究报告中，Gartner的Sam Oyaei认为，CISO们已经精疲力竭了，因此需要重新定义这个角色。“CISO应该是风险管理的领导者，而不是组织里只会负责违规行为的守门员。这份工作必须从实际出发，让过去只是负责处理网络风险的CISO，彻底转变成能为领导层排忧解难，并能让领导层做出明智信息风险决策的关键人物。”

与此相呼应的是，Nagler敦促当下的CISO们要认识到，“平衡管理风险和促进业务增长之间的微妙关系”，这并非CISO唯一的职责，而CISO真正的关键职责，是应该确保领导层和董事会能平衡这种种关系和利害。

另一方面，Fitzgerald建议CISO可将重点放在战略和治理上，比如确保所有正确的安全实践都在落地，整个组织的安全所有权正得以实现，而不仅仅只体现在了技术层面。

最后，让我们来听听世界首位CISO的意见。2021 年，当Steve Katz回顾1995年在花旗集团的工作生涯时，他以非常肯定的措辞描述了他对CISO职位的看法：“IT 部门只是组织安全问题的一小部分。而从一开始，CISO就是一个关于业务风险管理的职位，所以无论发展到哪天，CISO都该以业务的风险管理为首要目标，这对组织而言才是有益处的。”

对于以上相关内容，国内安全专家们给出了这样的解读。

专家“致敬鸟山明”表示，时代造英雄，CISO的角色，其产生与发展，他认为主要是基于以下三个原因：

1、IT技术的快速发展，以及单位数字化转型深化，需要有专业人员统管整个信息安全工作，管控风险、支撑业务；

2、互联网高度发达的当下，以利益为驱动，单位面临着无时无刻的攻击，安全形势极为严峻；

3、全球化经济在合作与竞争中发展，各国纷纷出台网络空间安全、数据主权、用户主体权益法律法规，建设全球合规体系就显得尤为重要和必要了。

“致敬鸟山明”说，对于CISO来说，路很长，一切都不会一蹴而就，需要不断地努力和坚持。因此他给出了以下三点建议：

1、安全能力建设与业务战略保持一致，支撑业务安全、稳定运营；

2、对外，具备一定的行业影响力，能够及时了解监管/行业动态、了解到前沿技术发展和威胁情报；

3、对内，搭建高效协同支撑体系。完备的安全团队，确保安全能力有效落地；单位内部各部门融洽协作，积极配合安全工作。

某券商安全专家宋士明认为，当前CISO们面临的压力和焦虑，主要来自于日益严厉的网络安全监管环境，网络安全人才资源匮乏、安全投入的降低、网络漏洞和威胁的增加，以及生成式人工智能所带来的巨大的安全不确定性等多个方面。

宋士明说，CISO应该是安全领导者，其承担的职责越来越多。但国内的CISO通常还不是C（首席）级别，仅被定位为属于技术岗位的安全主管，需要向技术部门领导CIO或CTO汇报，这恰恰是一种认知偏差。“CISO这个职位不应只是技术岗位，其所需要的软技能已远不止安全技术能力，他们还需要具备安全管理、风险管理、监管合规、沟通协作、安全文化营造、业务连续管理，以及通过安全运营来增加业务弹性等多方面的综合能力。CISO应成为与CIO/CTO/CRO等并列的岗位，组织应该积极营造CISO参与商业战略决策的文化，通过直接向CEO汇报工作，将其角色和价值从技术转变为战略合作伙伴。”

而猪八戒网齐迹对此的解读是：作为企业的安全负责人或者CISO，保障企业信息安全这一目标自始至终没有改变。但是企业面对的安全问题日益复杂，他们需要不断适应时代的变化，提升个人和团队的专业能力，以更好地完成这一目标。同时还需要与企业的各个部门紧密合作，共同构建一个安全、可靠的企业环境。

最后，浙江移动张曾油为此篇解读附上了标题：CISO角色的转型：从技术职能迈向软技能。他表示，在数字化时代，信息安全已经成为企业持续发展的关键因素。作为企业的CISO，其角色和职责也在不断演变。“本文旨在探讨CISO如何从单纯的技术职能转变为重视软技能的角色，以适应日益复杂的安全挑战。”

张曾油认为，传统上，CISO的主要职责集中在技术层面，包括保护企业的网络、系统、数据免受攻击，确保信息资产的安全。这要求CISO具备深厚的技术背景，能够应对各种复杂的网络安全威胁。

然而，张曾油提出，仅仅依靠技术职能已经不足以应对日益复杂的网络安全挑战。随着网络威胁的不断升级，CISO需要展现出更高的软技能，以更好地管理安全团队、与业务部门沟通协作、制定并执行有效的安全策略。

那么如何提升CISO的软件能呢？张曾油说，提升CISO的软技能可以通过多种途径和方法来实现，以下是一些具体的建议：

A、领导力和团队管理

● 参加领导力培训：参加专门的领导力培训课程，学习如何激发团队成员的潜力、建立高效的沟通机制以及处理团队冲突等。

● 定期团队评估：定期对安全团队进行评估，了解团队成员的优势和需要改进的地方，并提供相应的指导和支持。

B、沟通和协作

● 提升沟通技巧：参加沟通技巧培训，学习如何更好地与业务部门、高层领导以及其他团队成员进行有效沟通。

● 建立信任关系：通过积极参与跨部门活动、定期与业务部门沟通等方式，建立与业务部门的信任关系，确保信息安全策略与企业战略保持一致。

C、风险管理和决策能力

● 学习风险管理框架：了解并学习风险管理框架（如ISO 27001、COBIT等），以便更好地识别、评估、缓解和监控潜在的安全风险。

● 参与决策过程：积极参与企业的决策过程，了解企业的战略目标和业务需求，以便更好地制定和执行信息安全策略。

D、战略眼光和创新思维

● 关注行业动态：定期关注网络安全行业的最新动态和趋势，了解新兴技术和威胁，以便为企业制定前瞻性的安全规划。

● 培养创新思维：鼓励团队成员提出新的想法和解决方案，为企业带来新的安全视角和方法。

E、个人发展和持续学习

● 阅读相关书籍和文章：阅读关于领导力、沟通、风险管理等方面的书籍和文章，不断提升自己的知识储备和实践能力。

● 参加专业会议和研讨会：定期参加网络安全领域的专业会议和研讨会，与同行交流学习，了解最新的安全技术和趋势。

通过以上途径和方法，CISO可以不断提升自己的软技能，更好地应对日益复杂的网络安全挑战，为企业的持续发展提供坚实的保障。