CISO 的危险角色：穿越现代雷区

在当今的数字时代，首席信息安全官 (CISO) 站在保护公司、客户、数据甚至其他利益相关者免受日益危险的威胁环境影响的最前线。CISO 曾经主要专注于保护网络和系统，但现在面临着无数挑战，从严格的监管要求到因数据泄露和合规复杂性而产生的更高法律责任。事实上，压力越来越大，这让一些之前考虑过这一职业道路的人感到不安。

“我听到越来越多的高端安全人员问这样的问题：‘谁会想做这份工作？’这是一个非常好的问题，” Grossman Ventures董事总经理 Robert Hansen 表示。“我不确定公司是否了解 CISO 面临的危险程度。如果能带来经济利益，我可以理解其中的原因，但我会提醒新手 CISO 聘请一位非常优秀的律师来审查任何新的入职协议，并确保这些条款中包含尽可能多的赔偿。我会花更多时间研究保险产品，这可能有助于抵消风险。因为风险很大。”

监管挑战：不断变化的格局

CISO 角色的演变与监管框架和网络安全威胁的快速变化相伴而生。Hansen 强调，“始终关注监管雷区”是当今 CISO 面临的主要压力。监管环境瞬息万变，新的规定和国际制裁几乎每天都在改变合规要求。对于 CISO 来说，这种动态环境不仅需要强大的网络安全措施，还需要严格遵守不断变化的法律标准。

“如果不是新的外国制裁或报告法规的变化，那就是内部命令或几乎每天都在变化的其他官僚负担，”汉森继续说道。“如果一切都稳定，我想这太容易了。我曾多次听到 CISO 说，‘我不怕黑客，我怕审计员。’”

毋庸置疑，随着Uber和SolarWinds安全主管的案件频发，这种压力浪潮不断涌现，但我们知道，还有其他安全事件，法规也造成了个人法律责任。

上述观点并非 Hansen 一人所为。我与两位现任 CISO 人员进行了交谈，他们都有着类似的担忧。事实上，Devo的 CISO Kayla Williams解释说，她看到同事们因为担心责任问题而辞去或不再担任该职位。

与其他通常拥有决策权的高管不同，CISO 往往发现自己处于一个不稳定的境地，对影响网络安全投资和战略的关键业务决策的控制有限。

Williams 表示：“企业领导者（例如 CEO、CFO）的责任尚未得到考虑，而且，如果没有这些企业领导者的支持（财务、文化）和认可，CISO 通常无权执行路线图战略。这使得他们能够尽力保护企业和/或客户的数据，但无法完全控制技术投资、开发甚至业务开发对这些决策的影响。”

“不断演变的威胁形势”

我们几乎在每一份供应商新闻稿中都会听到这个术语，但现实情况是，威胁行为者、威胁以及我们用来防御这些威胁的技术总是在变化。而且由于威胁形势从未停止演变，CISO 的角色也从未停止演变。

“有些变化是技术性的，” Reco首席信息安全官 Merritt Baer 表示。“例如，云计算和抽象的、基于应用程序的环境的广泛接受，当然还有人工智能的兴起——无论是在安全方面还是在防范方面。保持敏锐并成为变革推动者的压力很大，因为这对企业来说是正确的。”

贝尔继续谈到，安全是我们现在所做的一切的属性，也是我们交付的一切的一部分——无论我们从事哪个行业，无论是酒店业、技术业、制造业、汽车业、生物科学业等等。无论你在哪里工作，它都会大大增加工作压力。

她说：“你也从事安全业务，因为它是实体价值所固有的。”

与技术相关的不断增加的压力超出了威胁本身。Williams 简要列出了与技术相关的其他四个原因，这些原因为当今的 CISO 带来了巨大的压力：

1. 更成熟的客户要求合同中的控制措施

2. 网络保险公司要求控制以获得承保

3. 缺乏对职位职责的总体了解，因为不同公司、垂直行业和地区的职位职责可能存在很大差异

4. 更多地依赖第三方供应商和合作伙伴，这可能会大大增加攻击面

更不用说人们一直担心 CISO 担任这一角色的根本原因——保护者。据 Williams 称，除了迄今为止所写的一切之外，最大的压力之一仍然是缺乏可见性。

“当网络中出现未知的东西，而我们又因为没有可见性而无法保护它时，当资产突然

之所以会弹出，是因为它可能已经受到损害，而且没有人知道它的存在，因此无法控制它以了解正在发生的事情。”

战略演进：从技术专家到商业领袖

在这些挑战中，组织对 CISO 角色的看法和定位发生了显著变化。Baer 强调 CISO 职责范围不断扩大，并指出越来越多的 CISO 直接向 CEO 汇报，这表明公司治理最高层已认识到网络安全的战略重要性。这是一个积极的方面。地位的提升为 CISO 提供了机会，使他们能够将安全目标与更广泛的业务目标相结合，并将网络安全融入组织文化。更重要的是，他们可以与董事会面对面交流。

“我希望通过这次审查，我们有机会真正参与讨论，这意味着我们希望看到首席信息安全官们获得政治意愿，实现他们所需要的目标，”贝尔说。“重大安全决策是商业判断，因此作为首席信息安全官，你不会得到你想要的一切。但你应该得到你需要的东西。

然而，适应这一挑战需要的不仅仅是技术能力。Hansen 指出，首席信息安全官必须具备强大的商业头脑和政治头脑，才能驾驭跨部门动态，而对于技术含量更高的首席信息安全官来说，这并不总是正确的。

“据我的一位在私募股权公司从事该领域工作的朋友说，在考察了 100 多位不同的 CISO 后，往往表现最好的是那些以业务为中心的 CISO，”Hansen 说。“他们往往能够参与讨论，与董事会和执行团队合作，并以积极主动的方式跨部门工作。”

他补充说，从他的角度来看，在这些环境中，更注重实践的技术型 CISO 往往表现更差，因为他们无法优雅地处理跨部门对话。

“这并不是说他们无法解决，”他说。“但他们处于劣势。”

汉森认为，非技术型 CISO 的优势在于，他们能够聘用到了解他们可能不了解的技术方面的人。“但如果他们 [自己] 从来不知道如何利用 Windows NT 系统，那么这对于在大型企业内妥善管理和降低风险的能力来说毫无意义。”

平衡风险与回报：CISO 的未来

随着组织努力应对网络安全对其利润和声誉的影响，CISO 角色是否值得承担固有风险的问题迫在眉睫。除了股票期权和奖金等财务激励以及“行业信誉”之外，未来的 CISO 必须仔细考虑与该职位相关的个人和职业责任。通过全面的入职协议和专门的保险范围加强法律保护可以降低风险，但在诉讼日益增多的环境中，挑战依然存在。

尽管 CISO 仍然是企业领导层中最苛刻、风险最高的职位之一，其价值和风险程度也各不相同，但它也为有远见的领导者提供了塑造网络安全未来的巨大机会。前进的道路需要适应能力强的高管，他们能够驾驭复杂的监管环境、建立战略联盟，并在数字化转型和网络安全威胁加剧的时代提高组织的韧性。

随着企业继续将网络安全作为关键业务要务，CISO 的角色无疑将发生变化，需要领导者不仅能够保护数据，还能引导组织实现可持续增长和创新。

“我希望我们正处于一波聪明、多元化的浪潮的风口浪尖，他们将安全视为一个创造性的领域。我充满希望，”贝尔说。“但实际上，如果你环顾四周，你会发现大多数 CISO 仍然相当同质化……让我们努力吧！如果我们能让安全主管成为改变世界的真正方式，那将是一个很好的起点。”

原文始发于微信公众号（河南等级保护测评）：CISO 的危险角色：穿越现代雷区