自90年代末出現(xiàn)伊始，***信息安全官(CISO)就是個(gè)充滿(mǎn)技術(shù)性的工作。CISO可能位于***信息官(CIO)之下，得向CIO報(bào)告;可能擁有多種多樣的背景，比如系統(tǒng)或網(wǎng)絡(luò)管理員，甚至安全運(yùn)營(yíng)中心(SOC)安全分析員。幾乎所有CISO都是男性，要么有計(jì)算機(jī)科學(xué)從業(yè)經(jīng)驗(yàn)，要么是軍方高級(jí)管理人員。

[[151507]]

但是，最近幾年，隨著勞動(dòng)力多元化和商業(yè)利益與安全愈趨緊密的聯(lián)系，這一關(guān)于CISO的傳統(tǒng)看法也發(fā)生了改變。

于是，今時(shí)今日，來(lái)自各種背景的男女CISO們?cè)贑ISO的舞臺(tái)上各展神通，貢獻(xiàn)著各自的技術(shù)與經(jīng)驗(yàn)。他們可能不全是注冊(cè)信息系統(tǒng)安全師(CISSP)，但他們知道怎樣溝通，怎樣管理，怎樣為信息安全構(gòu)建業(yè)務(wù)用例。

這些下一代CISO中的某些人來(lái)自那些你可能不會(huì)與信息安全聯(lián)系起來(lái)的領(lǐng)域，比如心理學(xué)、社會(huì)學(xué)和法律。

不過(guò)，這一工作并不好做，盡管薪水豐厚。CISO的職責(zé)在不斷增加，工作時(shí)間很長(zhǎng)，且任何安全事件處理上稍有不慎通常就意味著被解雇。

“CISO的角色一直在進(jìn)化，現(xiàn)在對(duì)CISO的期待是要既懂安全，又精通技術(shù)，還有商業(yè)意識(shí)。”英國(guó)皮爾斯出版社(Pearson)安全運(yùn)營(yíng)中心主管貝基·平卡德說(shuō)，“合適的CISO是資源武器庫(kù)中對(duì)付網(wǎng)絡(luò)安全問(wèn)題的***武器。”

互聯(lián)網(wǎng)安全軟件廠商Websense信息安全和戰(zhàn)略官尼爾·撒克認(rèn)為，公司企業(yè)應(yīng)從其它行業(yè)中尋找CISO。

“新CISO產(chǎn)生于與已經(jīng)陷入風(fēng)險(xiǎn)的本業(yè)務(wù)領(lǐng)域不同的其他領(lǐng)域。”他告訴CSO在線(xiàn)網(wǎng)站說(shuō)，“出自審計(jì)和合規(guī)背景的人會(huì)更少，但對(duì)法規(guī)、管理和風(fēng)險(xiǎn)更深的理解在展示對(duì)這一領(lǐng)域的懂行上是很重要的必備技能點(diǎn)。”

“傳統(tǒng)CISO路線(xiàn)或許依然走的是將技術(shù)、咨詢(xún)和顧問(wèn)技巧看做是該角色的有力背景支持。”

董事會(huì)的支持仍然是個(gè)問(wèn)題

思科去年年度安全報(bào)告表明CISO與自身安全團(tuán)隊(duì)步調(diào)不一致，其他研究也發(fā)現(xiàn)了有關(guān)供應(yīng)鏈和事件響應(yīng)能力的嚴(yán)重問(wèn)題。與此同時(shí)，像IT主導(dǎo)的報(bào)告層級(jí)和讓董事會(huì)予以支持等老問(wèn)題還在持續(xù)惡化——揭示出CISO這項(xiàng)工作仍有許多挑戰(zhàn)。

英國(guó)Arriva公交公司CISO尼克·韋爾斯說(shuō)，某些公司依然將CISO視為“純粹的IT角色”，“不應(yīng)該插手其他業(yè)務(wù)”。他承認(rèn)自己***的挑戰(zhàn)就是“在財(cái)務(wù)方面向公司展現(xiàn)信息安全和良好風(fēng)險(xiǎn)管理的價(jià)值”。

撒克稱(chēng)與董事會(huì)的割裂對(duì)大多數(shù)CISO而言仍是嚴(yán)重問(wèn)題。

2020年的CISO將更多地融入業(yè)務(wù)環(huán)節(jié)，面向業(yè)務(wù)關(guān)系。他們將在被賦予公司所有權(quán)和責(zé)任方面更加拉近與公司資產(chǎn)的距離。

尼爾·撒克——互聯(lián)網(wǎng)安全軟件廠商Websense信息安全和戰(zhàn)略官

“與董事會(huì)更緊密的協(xié)作是亟需做出的改變。討論商業(yè)風(fēng)險(xiǎn)，讓商業(yè)威脅需求定期在董事會(huì)上提出。“

“CISO的角色也應(yīng)做出改變，要將事件和風(fēng)險(xiǎn)分擔(dān)囊括進(jìn)來(lái)。很多公司大范圍分配數(shù)據(jù)和風(fēng)險(xiǎn)所有權(quán)卻極少賦予這些所有人權(quán)力，也不委派給他們足夠的責(zé)任。”

撒克補(bǔ)充道：由于新的全球數(shù)據(jù)保護(hù)法律和從網(wǎng)絡(luò)到數(shù)據(jù)安全的預(yù)算改變，未來(lái)的安全經(jīng)理人不得不更多地咨詢(xún)數(shù)據(jù)保護(hù)和法律團(tuán)隊(duì)。

“當(dāng)前的挑戰(zhàn)是CISO角色的復(fù)雜性和在達(dá)到合規(guī)及法律要求的同時(shí)及時(shí)處置事件的能力。復(fù)雜性還被第三方風(fēng)險(xiǎn)——今天的CISO不得不承擔(dān)的公共監(jiān)護(hù)人角色，愈加加重了。這是份與眾不同的工作。”

空中交通管理公司NATS的CISO安德魯·羅斯相信，未來(lái)的CISO們將不得不更加關(guān)注商業(yè)策略。

“CISO的角色正變得更為側(cè)重業(yè)務(wù)。我的角色職責(zé)就是施加影響、管理利益相關(guān)者、定位和溝通。我的工作不太會(huì)是決策、做風(fēng)險(xiǎn)評(píng)估或了解市場(chǎng)上***的技術(shù)解決方案。”

“我要做的就是讓董事會(huì)的視線(xiàn)看往正確的方向，以便他們同意將金錢(qián)和資源投進(jìn)去，并認(rèn)識(shí)到這么做的好處。我不覺(jué)得自己是唯一一個(gè)處于這種層面的CISO，我想將來(lái)更多的CISO將不得不做這么做。”

‘遠(yuǎn)見(jiàn)’CISO正在崛起

皮爾森的平卡德同意這一觀點(diǎn)，并補(bǔ)充道，公司企業(yè)應(yīng)該尋求一種安全上的‘遠(yuǎn)見(jiàn)’。

“未來(lái)幾年，公司企業(yè)將找尋經(jīng)驗(yàn)、領(lǐng)導(dǎo)力、金融知識(shí)、商業(yè)洞見(jiàn)和安全技術(shù)的合理組合。他們將需要一個(gè)能將必要的‘老式’方法和在數(shù)字時(shí)代脫穎而出所必須的創(chuàng)新思維結(jié)合在一起的前向式遠(yuǎn)見(jiàn)家。”

與此同寺，信息安全顧問(wèn)菲爾·克拉克內(nèi)爾認(rèn)為，CISO的角色可能發(fā)展到與***風(fēng)險(xiǎn)官(CRO)的關(guān)聯(lián)起來(lái)。

“CISO將成為CRO的下屬角色，退回到專(zhuān)注技術(shù)而讓CRO去考慮更大范圍的商業(yè)風(fēng)險(xiǎn)。”克拉克內(nèi)爾補(bǔ)充道，由于人工智能實(shí)時(shí)警報(bào)的出現(xiàn)，這一角色甚至可能發(fā)展為“部分人工部分機(jī)器”。

撒克表示，與業(yè)務(wù)保持一致的安全官的出現(xiàn)可能催生出網(wǎng)絡(luò)安全戰(zhàn)略官(CSSO)這一角色。

“2020年的CISO將更多地融入業(yè)務(wù)環(huán)節(jié)，面向業(yè)務(wù)關(guān)系。他們將在被賦予公司所有權(quán)和責(zé)任方面更加拉近與公司資產(chǎn)的距離，將負(fù)責(zé)提供有意義的指標(biāo)來(lái)衡量董事會(huì)層面的風(fēng)險(xiǎn)敞口。”

“關(guān)鍵風(fēng)險(xiǎn)指標(biāo)將是成功的重要度量，當(dāng)前很多公司部署的基于威脅的戰(zhàn)術(shù)性策略將被移除。”

2020的***

羅斯稱(chēng)，當(dāng)前和未來(lái)的CISO應(yīng)利用內(nèi)部培訓(xùn)來(lái)深化自身職業(yè)發(fā)展，更多地了解公司業(yè)務(wù)。

“內(nèi)部管理培訓(xùn)非常好，有點(diǎn)像迷你MBA。你會(huì)被要求運(yùn)營(yíng)一個(gè)虛擬的公司，參加金融和市場(chǎng)營(yíng)銷(xiāo)教育課程……這就是CISO如今得知道的金砂。”

“他們的成為更全面的商業(yè)通才。如果不這樣，就會(huì)被取代，被裁員。因?yàn)槿绻鸆ISO參加董事會(huì)會(huì)議卻大談特談技術(shù)、病毒和TCP/IP數(shù)據(jù)包，下次他們就不用來(lái)了。”

韋爾斯敦促潛在的CISO：“學(xué)點(diǎn)商業(yè)，提升你的能力，像個(gè)技術(shù)團(tuán)隊(duì)和業(yè)務(wù)部門(mén)之間的解釋器/翻譯一樣工作。要能從諸如敞口、聲譽(yù)影響、金融風(fēng)險(xiǎn)之類(lèi)的業(yè)務(wù)上解釋技術(shù)風(fēng)險(xiǎn)。”