1995年，首席信息安全官(CISO)首次作為C級(jí)高管登上歷史舞臺(tái)，自此之后，便開啟了艱難的“上位”之路。

根據(jù)Heidrick & Struggles的數(shù)據(jù)顯示，如今，全球超過一半的CISO向CIO、CTO、或其他高級(jí)工程管理人員匯報(bào)，只有8%直接向CEO匯報(bào)。

但也有跡象表明，隨著網(wǎng)絡(luò)威脅愈發(fā)普遍和嚴(yán)峻，CISO職務(wù)正變得越來越受重視，并發(fā)揮著更大的領(lǐng)導(dǎo)作用。鑒于復(fù)雜的威脅行為者正以企業(yè)運(yùn)營(yíng)和財(cái)務(wù)利益為目標(biāo)，近90%的CISO表示，他們已經(jīng)在董事會(huì)獲得了一定程度的話語(yǔ)權(quán)，要么定期向委員會(huì)報(bào)告，要么向整個(gè)董事會(huì)報(bào)告。

NS1公司CISO Ryan Davis總結(jié)道，“歸根結(jié)底，CISO的地位取決于企業(yè)對(duì)安全的重視程度。”

如果一個(gè)公司重視安全，那么CISO往往會(huì)在領(lǐng)導(dǎo)層和整個(gè)公司中獲得更多的重視和話語(yǔ)權(quán)。相反地，如果安全部門的存在只是為了檢查行業(yè)合規(guī)性，那么CISO就會(huì)淪為一個(gè)無足輕重的角色，缺乏可見性或權(quán)威。

困擾CISO的問題

在這種情況下，C級(jí)高管們對(duì)安全問題重視不足，一旦出現(xiàn)任何類型的網(wǎng)絡(luò)安全事件，將統(tǒng)統(tǒng)歸咎于CISO。

也難怪大多數(shù)CISO都表示，他們正遭受著與工作相關(guān)的壓力和倦怠。

如今，CISO正面臨著人才短缺和員工保留問題，軟件供應(yīng)鏈攻擊帶來的日益復(fù)雜的網(wǎng)絡(luò)威脅，以及地緣政治緊張格局帶來的諸多安全挑戰(zhàn)。

ISACA新加坡主席兼OT-ISAC執(zhí)行委員會(huì)主席Steven Sim表示，“讓我夜不能寐的風(fēng)險(xiǎn)是，隨著威脅行為者能力不斷提升，他們可以悄無聲息地在目標(biāo)網(wǎng)絡(luò)中潛伏很長(zhǎng)一段時(shí)間，并從中竊取機(jī)密數(shù)據(jù)?！?/p>

復(fù)雜的威脅行為者也是LinQuest公司CISO Kemal Piskin最擔(dān)憂的問題。隨著安全部門開始依賴人工智能等技術(shù)來幫助檢測(cè)和防止網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)犯罪分子也在利用同樣的技術(shù)發(fā)動(dòng)攻擊和逃避檢測(cè)。

此外，遠(yuǎn)程工作對(duì)CISO來說同樣是福也是禍。根據(jù)ISC進(jìn)行的一項(xiàng)調(diào)查顯示，網(wǎng)絡(luò)安全專業(yè)人士希望居家辦公，這可能會(huì)對(duì)人才短缺問題起到積極影響。但網(wǎng)絡(luò)/遠(yuǎn)程工作者對(duì)信息系統(tǒng)管理員無疑是一項(xiàng)艱巨的挑戰(zhàn)。

在理想的情況下，所有遠(yuǎn)程工作人員都應(yīng)該在網(wǎng)絡(luò)意識(shí)方面受過良好的教育，并使用零信任框架和其他安全最佳實(shí)踐。但事實(shí)上，家庭網(wǎng)絡(luò)和個(gè)人設(shè)備的真正安全性是未知的。這無疑增加了網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

Piskin表示，“黑客可以通過很多入侵嘗試進(jìn)入你的系統(tǒng)。但CISO只有一次機(jī)會(huì)阻止他們?！?/p>

提升CISO的角色

許多CISO將其當(dāng)前的角色視為技術(shù)和業(yè)務(wù)的混合體。Piskin解釋稱，“我的大部分時(shí)間并非花在擔(dān)心安全事件上，而是在擔(dān)心如何在安全的情況下運(yùn)行業(yè)務(wù)?！?/p>

作為領(lǐng)導(dǎo)團(tuán)隊(duì)的一部分，參與有關(guān)業(yè)務(wù)運(yùn)營(yíng)的對(duì)話是許多CISO希望看到自己的角色繼續(xù)演進(jìn)的方式。

Insight Enterprises副總裁兼CISO Jason Rader表示，“我希望看到跨組織的安全功能被區(qū)別定義。就像公司中的每個(gè)人都對(duì)保持業(yè)務(wù)運(yùn)行負(fù)有一定責(zé)任一樣，CISO也應(yīng)該推進(jìn)類似的安全方法。每個(gè)人都應(yīng)該在確保公司安全方面發(fā)揮著重要作用。一個(gè)人為失誤就可能成為惡意行為者的敲門磚，暴露出可能引發(fā)災(zāi)難性后果的缺陷。因此，每個(gè)人都需要在安全方面扮演一個(gè)角色，體驗(yàn)到自身的責(zé)任感?！?/p>

然而，安全問題長(zhǎng)期以來一直處于封閉狀態(tài)，想要改變這種心態(tài)不可能一蹴而就。即便在公司中，CISO已經(jīng)身處高度可見性的位置，并且真正成為領(lǐng)導(dǎo)團(tuán)隊(duì)的一部分，擁有充足的話語(yǔ)權(quán)，該角色還是要持續(xù)發(fā)展，以幫助公司跟上威脅形勢(shì)。

美國(guó)證券交易委員會(huì)(SEC)和監(jiān)管機(jī)構(gòu)正愈發(fā)重視網(wǎng)絡(luò)安全專業(yè)知識(shí)的重要性，這也將影響CISO角色的變化。

Rader認(rèn)為，“CISO當(dāng)然還有很長(zhǎng)的路要走。一切都不會(huì)一蹴而就，需要不斷的努力和堅(jiān)持。但要相信，努力帶來的回報(bào)可能是巨大的?！?/p>