CISO角色的演变：仆人式领导、职业双轨制和允许失败

仆人式领导指的是，领导者应注重识别人才，帮助团队中的员工发挥真正的潜能，在提升他们的技能和能力的同时，赋予他们在组织中有所作为的权力。换言之，领导者通过建立高绩效团队，为他们扫清障碍，让他们做自己能做的最好的事，而不是通过成为房间里资历最深、知识最渊博或职位最高的人，来发挥影响力。

虽然仆人式领导的理念已经深入人心，但如果说已经在包括安全领域的任何领域都广泛成功地贯彻了这一理念，未免言过其实。造成这种情况的原因有很多，但最重要的一个原因是，它要求管理人员转变观念。通常，人们晋升的依据是他们发现和解决正确问题、执行和推动变革的能力等因素。这自然会让他们对自己的能力和才能更加自信，而这种自信往往会带来一种强调个人的领导风格。

仆人式领导要求一个人把赌注押在团队身上，而不是仅仅依靠自己的能力。在某种程度上，这意味着个人必须放弃一定程度的控制权，将很多有影响力的决策权交给团队。

网络安全在接受仆人式领导理念方面一直比较滞后。出现这种情况有几个原因。首先，也是最重要的一点是，安全领导者经常被当作替罪羊，要为影响安全团队的任何错误、误判和倒霉事负责。这一因素自然会使他们更有可能对实地发生的事情实施高度控制。如果他们要对每项决策负责，最好确保这些决策是由他们做出的，或者至少是由他们密切监督的。

其次，作为一个行业，我们从军事、情报和执法机构借鉴了很多领导力和组织设计的方法。由于许多安全从业人员和安全领导者正是来自这些背景，因此我们将他们的工作方式带入这个行业是合情合理的。安全操作中心分析师的分级系统（一级分析师、二级分析师、三级分析师等）和安全操作的升级流程就是一个很好的例子，说明了分级环境是如何转化为安全团队的。这些方法都不是坏方法，只是自从它们建立以来，我们学到了很多新技术，现在我们可以用它们来为自己谋福利。

仆人式领导的理念对于安全领域来说仍然非常新颖的最后一个原因是，大多数安全领导者现在才刚刚开始接触其他业务领域。与工程领域的同行相比，历史上很少有CISO受邀参与战略性业务决策，也没有那么多的CISO接受过人员领导力方面的正规培训，或拥有工商管理硕士学位。

尽管安全行业接受仆人式领导理念较晚，但该行业正在迅速转型。越来越多的安全领导者开始将自己视为业务领导者，其次才是安全专业人员。CISO们认识到，组织的环境已经变得过于复杂，他们不可能成为所有事情的专家，正是这种认识促使他们聘用最优秀的人才，并下放更多的权力。随着安全从业人员越来越专业化，这一趋势将继续下去。不能再指望CISO对每一个问题都有最佳答案，他们必须依靠自己的团队来识别关键问题并确定优先次序，同时推荐最合适的安全解决方案。

此外，随着网络安全成为董事会层面关注的问题，越来越多的安全领导者被期望成为业务风险的管理者，而不仅仅是信息安全风险的管理者。绝大多数CISO都能够并准备好迎接这一挑战，并欢迎有机会帮助塑造公司的发展方向。那些对超越CISO传统职责范围不感兴趣的CISO可能会发现自己在未来十年的竞争中举步维艰。

这些变化对购买过程也有影响。虽然在未来几年里，安全仍将主要由上至下地采用，但安全从业人员在购买过程中的作用将继续增加。

职业双轨制的概念起源于软件工程。其前提非常简单：为了让软件工程师成长并达到职业巅峰，不应强迫他们成为人事经理。并不是每个出色的技术专家都有志于招聘、领导和管理工程团队，也不应该为了获得更高的薪酬或赢得同行和组织对其贡献的认可，而强迫人们去做自己不擅长的事情。

虽然这一概念起源于软件工程，但它肯定不再局限于软件工程。如果网络安全也能效仿并采用类似的方法，将会受益匪浅。

网络安全行业在接受双轨制这一理念方面进展缓慢。这带来了几个挑战。首先，有很多CISO，如果可以选择的话，他们不会走上人员和业务领导的道路。问题是，进入人员管理部门往往是提高薪酬和职业地位的唯一途径。有许多出色的技术安全从业人员，如果他们能够继续增加自己的职责和报酬，而不进入管理层，他们可能会更快乐。遗憾的是，许多组织缺乏技术安全从业人员的职业发展阶梯，这反过来又迫使他们考虑人员领导力。

事实上，安全行业没有双轨职业发展途径，这给我们这个行业带来了各种挑战。遗憾的是，解决这个问题并不那么简单。由于安全团队规模较小，从业人员的成长空间通常很小。虽然一些以工程为中心的组织已经引入了首席/员工安全工程师的角色，但仍然没有杰出安全工程师的说法。除了传统上成熟的风险投资企业和硅谷的云原生初创企业外，其他组织往往连首席/员工级别都没有。

安全领导力的形态正在发生变化，对CISO角色的要求也是如此。现在，CISO需要组建团队，制定网络安全战略，监督和指导执行，负责管理、风险和合规性，驾驭不断变化的监管环境，同时确保组织控制能够防范攻击者。

CISO的工作如此繁重，现在应该认识到，一个人根本无法完成所有工作。特别是，作为业务领导者和技术专家，不可能同时掌握每一种新的攻击载体和方法。作为一个行业，我们将从发展双轨职业生涯中获益匪浅。在双轨职业生涯中，在各自领域表现出色的技术安全从业人员可以成长为杰出的工程师/架构师，并在没有直接报告或CISO头衔的情况下掌握安全的技术层面。这样，他们也可以获得与CISO类似或相等的报酬。

允许失败的概念很简单：人都会犯错，既然人无完人，就应该给他们失败、恢复和从失败中学习的空间。当公司出现漏洞时，除非相关的CISO明显玩忽职守或不称职，并对事件负有直接责任，否则公司不应该寻求解雇高管。幸运的是，在绝大多数情况下，我们都没有看到这种情况。

网络安全在允许人们失败方面一直声名狼藉。这一点也不公平，因为任何技术都不是刀枪不入的，组织发生事故只是时间问题。无论人们做出多大的牺牲，在工作中倾注多少心血，最终还是会出问题，而一旦出了问题，人们就会受到指责。我们已经认识到，软件工程并不完美，我们能做的最好的事情就是建立系统和流程，并抓住大多数关键的错误。职业双轨制的概念职业双轨制的概念起源于软件工程。

从事安全工作意味着预测和害怕失败。作为一个行业，我们别无选择，只能改变对失败的看法。

在安全领域，导致漏洞的大多数细节都与行政领导层的决策关系不大。错误配置的数量、软件错误的数量、漏洞的数量以及潜在攻击方法的数量如此之多，以至于无论安全团队做什么都是不够的。没有规定说坏人只会利用被工具标记为“高优先级”的漏洞，攻击者当然也永远不会停止寻找新的方法来入侵我们的基础设施。

我们不能根据尽管CISO坚定不移、竭尽全力、辛勤工作但还是发生的事件来评判他们的工作成效。此外，在个人简历中出现事故应被视为一种资产，而不是一种负担（当然，如果这些事故不容易预防的话）。偶尔难免会有人不够关心或不称职，无法成为领导者，但这些都是极少数的例外，而不是常规。

综上所述，改变我们对待安全的方式需要时间。我们将不可避免地需要重新审视什么是失败，什么时候人们的辛勤工作应该得到奖励和认可，即使他们永远不会变得完美。

好消息是，变革正在发生。在过去的几年里，越来越多的案例正在涌现：在发生重大安全事件后，安全领导者没有被解雇，相反，他们得到了晋升或被赋予了更多的职责。越来越多的企业认识到，安全问题非常复杂，如果团队中有一个人能够处理这种复杂性，而不用时刻担心自己的工作，他们将受益匪浅。

网络安全在发展，安全领导职能也在发展。自1995年以来，CISO的角色与行业一样发生了变化。与三十年前相比，这一角色确实变得更加复杂，但也更容易被接受和理解。就像我对安全行业的未来持乐观态度一样，我对CISO角色的未来及其在未来几年的发展也持乐观态度。

如今，CISO首先要成为业务领导者，其次才是安全从业者。他们要负责企业中一些最复杂、影响最大的领域，而大多数人已经做好了迎接挑战的准备。未来几年，CISO将继续需要像过去30年那样重塑自我。在这种情况下，希望仆人式领导、职业双轨制和允许失败将成为行业的常态。