CISO会成为优秀的管理层成员的价值和意义

正如我之前所讨论的，过去三年创造了一个完美的风暴局面，对我们如何看待网络安全产生了持久的影响： 

• 数字化转型明显提速。项目因大流行和远程一切而起飞——工作、制造、医疗保健，你能想到的——成为企业生存的必要条件。

• 勒索软件攻击了颈静脉。关键基础设施组织必须应对不断升级的威胁形势，尤其是勒索软件攻击的激增，因为威胁参与者明白运营技术 (OT) 网络的价值和加密支付基础设施的可用性提高了他们获得支付的机会。 

• 网络安全对业务至关重要。在围攻之下，企业优先考虑建立网络安全必不可少的弹性，如果做得好，可以推动竞争优势。 

这场完美风暴对董事会对话的影响是，网络安全技术和团队已从被视为成本中心转变为业务推动者。这种转变对业务成果至关重要，Gartner 预计到 2025 年，70% 的 CEO 将要求建立弹性文化，并建议风险领导者将弹性视为在威胁交汇中生存的战略要务。其使命不再只是保护，而是建立企业即使在艰苦条件下也能运营的信任，并加速业务部门内部的创新。这与安全团队过去二十年的运作方式截然不同。

将网络安全作为竞争优势进行投资的企业正在转变其商业模式。每家公司都在或将成为一家科技公司，而那些做得更快的公司就是赢家。 埃森哲将在技术和创新方面加倍努力的公司称为“跨越式企业”，在过去三年中增长速度是落后者的五倍。

地缘政治助长了这场风暴和董事会变革的需要

地缘政治冲突进一步提高了风险，并将继续存在，无论是乌克兰冲突的侵略性形式，还是更微妙的形式，如美中之间的竞争。这意味着那些在本国经济中占有重要地位的公司，或者因其所在行业而具有战略重要性的公司，将发现自己越来越成为这些冲突的目标。 

除了需要显着提高他们对技术创新风险和目标的集体理解外，首席执行官和董事会成员还需要了解当前的地缘政治形势如何影响组织的风险状况、对手的动机以及如何最好地分配资源。 

许多首席执行官和董事会成员发现在当前环境下准确识别风险极其复杂，更不用说降低风险了，这就是为什么需要改变董事会的构成。绝大多数董事会成员是前任首席执行官和首席财务官，大多数新董事仍然来自这些背景（分别为 26% 和 23%）。好消息是，现在有17% 的新董事来自技术行业，这开始填补在以技术为主导的业务中的实践经验空白。

CISO 作为董事会成员 

向董事会注入更多技术和安全专业知识的一种自然解决方案是为这些职位招聘 CISO 和 CIO。就在几年前，这几乎是不可想象的，但如今越来越多的董事会正在寻找这些专家，即使这意味着要吸引之前没有董事会经验的董事会成员。这本身正在帮助打破董事会的另一个不幸方面：缺乏多样性和注入新的观点和经验来应对新出现的监督挑战，例如数字转型以及网络和运营弹性。虽然我们没有达到我们需要的水平，但正在取得进展，现在14% 的 CISO表示他们在公司董事会或董事会和咨询委员会中任职。

即使是新手，成功的 CISO 也会成为成功的董事会成员。在过去的几年里，最优秀的 CISO 将他们的组织推到了他们的舒适区之外，从而产生了高投资回报率的项目，这些项目为组织的数字化转型做出了重大贡献。这种不懈追求变革的精神在董事会层面具有极大的影响力，而这些 CISO 带来的实践知识非常宝贵。 

另一个令人鼓舞的趋势是，Gartner 预测到 2025 年，40% 的公司将拥有专门的网络安全委员会。谁比 CISO 更适合领导对话？与网络安全相关的风险是头等大事，因此董事会需要知道他们有适当的监督。CISO 可以提供有关推进数字变革计划的建议，并帮助公司为未来做好准备。他们可以解释组织的风险状况，包括与地缘政治冲突、新业务计划和新兴威胁相关的风险敞口，以及可以采取哪些措施来降低风险。

最后，CISO 的角色已经从风险指标提出者演变为业务风险的翻译者。因此，CISO 近年来在如何向董事会解释风险方面积累的专业知识使他们成为这些对话的宝贵贡献者。他们可以加强讨论，以确保深入了解增长与风险之间的权衡，实现更明智的决策，并作为整体业务协调的护栏。

未来属于那些最快、最大胆地采用技术作为竞争优势的公司。为了最好地保护这个未来，我们需要董事会中的技术和网络安全领导者了解并能够将等式的风险方面转化为成功的业务成果。 

1. >>>等级保护<<<
2. 开启等级保护之路：GB 17859网络安全等级保护上位标准
3. 回看等级保护：重要政策规范性文件43号文（上）
4. 网络安全等级保护：安全管理中心测评PPT
5. 网络安全等级保护：等级保护测评过程要求PPT
6. 网络安全等级保护：安全管理制度测评PPT
7. 等级保护测评之安全物理环境测评PPT
8. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
9. 网络安全等级保护：等级测评中的渗透测试应该如何做
10. 网络安全等级保护：等级保护测评过程及各方责任
11. 网络安全等级保护：政务计算机终端核心配置规范思维导图
12. 网络安全等级保护：什么是等级保护？
    
13. 网络安全等级保护：信息技术服务过程一般要求
14. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
15. 闲话等级保护：什么是网络安全等级保护工作的内涵？
16. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
17. 闲话等级保护：测评师能力要求思维导图
    
18. 闲话等级保护：应急响应计划规范思维导图
    
19. 闲话等级保护：浅谈应急响应与保障
    
20. 闲话等级保护：如何做好网络总体安全规划
    
21. 闲话等级保护：如何做好网络安全设计与实施
    
22. 闲话等级保护：要做好网络安全运行与维护
    
23. 闲话等级保护：人员离岗管理的参考实践

24. 网络安全等级保护：浅谈物理位置选择测评项

25. 信息安全服务与信息系统生命周期的对应关系
26. >>>工控安全<<<
27. 工业控制系统安全：信息安全防护指南
28. 工业控制系统安全：工控系统信息安全分级规范思维导图
29. 工业控制系统安全：DCS防护要求思维导图
30. 工业控制系统安全：DCS管理要求思维导图
31. 工业控制系统安全：DCS评估指南思维导图
32. 工业控制安全：工业控制系统风险评估实施指南思维导图
33. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
34. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
35. >>>数据安全<<<

36. 数据安全风险评估清单

37. 成功执行数据安全风险评估的3个步骤

38. 美国关键信息基础设施数据泄露的成本

39. VMware 发布9.8分高危漏洞补丁

40. 备份：网络和数据安全的最后一道防线

41. 数据安全：数据安全能力成熟度模型

42. 数据安全知识：什么是数据保护以及数据保护为何重要？

43. 信息安全技术：健康医疗数据安全指南思维导图

44. >>>供应链安全<<<

45. 美国政府为客户发布软件供应链安全指南
    

46. OpenSSF 采用微软内置的供应链安全框架
    

47. 供应链安全指南：了解组织为何应关注供应链网络安全
    

48. 供应链安全指南：确定组织中的关键参与者和评估风险
    

49. 供应链安全指南：了解关心的内容并确定其优先级

50. 供应链安全指南：为方法创建关键组件

51. 供应链安全指南：将方法整合到现有供应商合同中

52. 供应链安全指南：将方法应用于新的供应商关系

53. 供应链安全指南：建立基础，持续改进。

54. 思维导图：ICT供应链安全风险管理指南思维导图
    

55. 英国的供应链网络安全评估

56. >>>其他<<<

57. 网络安全十大安全漏洞

58. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

59. 网络安全等级保护：应急响应计划规范思维导图

60. 安全从组织内部人员开始

61. 影响2022 年网络安全的五个故事

62. 2023年的4大网络风险以及如何应对

63. 网络安全知识：物流业的网络安全

64. 网络安全知识：什么是AAA（认证、授权和记账）？

原文始发于微信公众号（祺印说信安）：CISO会成为优秀的管理层成员的价值和意义