1995年，首席信息安全官(CISO)首次作為C級高管登上歷史舞臺，自此之后，便開啟了艱難的“上位”之路。

根據(jù)Heidrick & Struggles的數(shù)據(jù)顯示，如今，全球超過一半的CISO向CIO、CTO、或其他高級工程管理人員匯報，只有8%直接向CEO匯報。

但也有跡象表明，隨著網(wǎng)絡(luò)威脅愈發(fā)普遍和嚴(yán)峻，CISO職務(wù)正變得越來越受重視，并發(fā)揮著更大的領(lǐng)導(dǎo)作用。鑒于復(fù)雜的威脅行為者正以企業(yè)運(yùn)營和財務(wù)利益為目標(biāo)，近90%的CISO表示，他們已經(jīng)在董事會獲得了一定程度的話語權(quán)，要么定期向委員會報告，要么向整個董事會報告。

NS1公司CISO Ryan Davis總結(jié)道，“歸根結(jié)底，CISO的地位取決于企業(yè)對安全的重視程度。”

如果一個公司重視安全，那么CISO往往會在領(lǐng)導(dǎo)層和整個公司中獲得更多的重視和話語權(quán)。相反地，如果安全部門的存在只是為了檢查行業(yè)合規(guī)性，那么CISO就會淪為一個無足輕重的角色，缺乏可見性或權(quán)威。

困擾CISO的問題

在這種情況下，C級高管們對安全問題重視不足，一旦出現(xiàn)任何類型的網(wǎng)絡(luò)安全事件，將統(tǒng)統(tǒng)歸咎于CISO。

也難怪大多數(shù)CISO都表示，他們正遭受著與工作相關(guān)的壓力和倦怠。

如今，CISO正面臨著人才短缺和員工保留問題，軟件供應(yīng)鏈攻擊帶來的日益復(fù)雜的網(wǎng)絡(luò)威脅，以及地緣政治緊張格局帶來的諸多安全挑戰(zhàn)。

ISACA新加坡主席兼OT-ISAC執(zhí)行委員會主席Steven Sim表示，“讓我夜不能寐的風(fēng)險是，隨著威脅行為者能力不斷提升，他們可以悄無聲息地在目標(biāo)網(wǎng)絡(luò)中潛伏很長一段時間，并從中竊取機(jī)密數(shù)據(jù)。”

復(fù)雜的威脅行為者也是LinQuest公司CISO Kemal Piskin最擔(dān)憂的問題。隨著安全部門開始依賴人工智能等技術(shù)來幫助檢測和防止網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)犯罪分子也在利用同樣的技術(shù)發(fā)動攻擊和逃避檢測。

此外，遠(yuǎn)程工作對CISO來說同樣是福也是禍。根據(jù)ISC進(jìn)行的一項調(diào)查顯示，網(wǎng)絡(luò)安全專業(yè)人士希望居家辦公，這可能會對人才短缺問題起到積極影響。但網(wǎng)絡(luò)/遠(yuǎn)程工作者對信息系統(tǒng)管理員無疑是一項艱巨的挑戰(zhàn)。

在理想的情況下，所有遠(yuǎn)程工作人員都應(yīng)該在網(wǎng)絡(luò)意識方面受過良好的教育，并使用零信任框架和其他安全最佳實踐。但事實上，家庭網(wǎng)絡(luò)和個人設(shè)備的真正安全性是未知的。這無疑增加了網(wǎng)絡(luò)攻擊的風(fēng)險。

Piskin表示，“黑客可以通過很多入侵嘗試進(jìn)入你的系統(tǒng)。但CISO只有一次機(jī)會阻止他們?！?/p>

提升CISO的角色

許多CISO將其當(dāng)前的角色視為技術(shù)和業(yè)務(wù)的混合體。Piskin解釋稱，“我的大部分時間并非花在擔(dān)心安全事件上，而是在擔(dān)心如何在安全的情況下運(yùn)行業(yè)務(wù)。”

作為領(lǐng)導(dǎo)團(tuán)隊的一部分，參與有關(guān)業(yè)務(wù)運(yùn)營的對話是許多CISO希望看到自己的角色繼續(xù)演進(jìn)的方式。

Insight Enterprises副總裁兼CISO Jason Rader表示，“我希望看到跨組織的安全功能被區(qū)別定義。就像公司中的每個人都對保持業(yè)務(wù)運(yùn)行負(fù)有一定責(zé)任一樣，CISO也應(yīng)該推進(jìn)類似的安全方法。每個人都應(yīng)該在確保公司安全方面發(fā)揮著重要作用。一個人為失誤就可能成為惡意行為者的敲門磚，暴露出可能引發(fā)災(zāi)難性后果的缺陷。因此，每個人都需要在安全方面扮演一個角色，體驗到自身的責(zé)任感?！?/p>

然而，安全問題長期以來一直處于封閉狀態(tài)，想要改變這種心態(tài)不可能一蹴而就。即便在公司中，CISO已經(jīng)身處高度可見性的位置，并且真正成為領(lǐng)導(dǎo)團(tuán)隊的一部分，擁有充足的話語權(quán)，該角色還是要持續(xù)發(fā)展，以幫助公司跟上威脅形勢。

美國證券交易委員會(SEC)和監(jiān)管機(jī)構(gòu)正愈發(fā)重視網(wǎng)絡(luò)安全專業(yè)知識的重要性，這也將影響CISO角色的變化。

Rader認(rèn)為，“CISO當(dāng)然還有很長的路要走。一切都不會一蹴而就，需要不斷的努力和堅持。但要相信，努力帶來的回報可能是巨大的?！?/p>