作為C級(jí)管理層的核心成員，CSO們似乎一直面臨著巨大的壓力。他們經(jīng)常加班過度，工作量巨大，卻往往得不到應(yīng)有的賞識(shí)。更糟糕的是，他們很可能成為背鍋俠，這已經(jīng)成為網(wǎng)安行業(yè)的普遍觀點(diǎn)。許多CSO表示曾經(jīng)遭遇過具有破壞性的網(wǎng)絡(luò)攻擊，這使得他們長期保持緊繃狀態(tài)，難以得到充分的休息。因此，與其他C級(jí)管理層相比，CSO們的離職率不斷升高，工作周期明顯縮短。

網(wǎng)絡(luò)安全的重要性正在不斷提升，這已經(jīng)成為行業(yè)的共識(shí)。全球各地的網(wǎng)絡(luò)安全法規(guī)越來越嚴(yán)格，這使得CSO的價(jià)值不斷攀升，并且越來越多地向董事會(huì)報(bào)告，而不僅僅是向CEO/CIO匯報(bào)。在企業(yè)中，他們已經(jīng)成為關(guān)鍵的吹哨人，有時(shí)甚至擁有否決業(yè)務(wù)決策的權(quán)力。無論是日益完善的法規(guī)還是威脅日益嚴(yán)重的網(wǎng)絡(luò)攻擊，都使得CSO們?cè)诙聲?huì)中擁有更大的發(fā)言權(quán)，成為戰(zhàn)略家和領(lǐng)導(dǎo)者。

上述兩種角色也讓CSO處于走鋼絲的境地，這是他們面臨的持續(xù)挑戰(zhàn)。他們需要在快速發(fā)展的業(yè)務(wù)中發(fā)揮作用，同時(shí)還要對(duì)業(yè)務(wù)成功指標(biāo)負(fù)責(zé)，并保護(hù)企業(yè)的實(shí)際安全效果之間尋找平衡。換句話說，CSO既要向董事會(huì)證明安全團(tuán)隊(duì)的價(jià)值，又要彌補(bǔ)由于人員短缺而導(dǎo)致的安全漏洞，并找到新的方法來減輕風(fēng)險(xiǎn)。這并不是一件容易的事情。

盡管董事會(huì)和CEO愈發(fā)重視與依賴CSO在網(wǎng)絡(luò)安全領(lǐng)域的意見，但是依舊存在以下問題：

• CSO與董事會(huì)的目標(biāo)一致性逐漸提升，但仍存在不對(duì)稱。大多數(shù)CSO認(rèn)為董事會(huì)或監(jiān)管機(jī)構(gòu)更關(guān)心合規(guī)性而不是最佳的安全實(shí)踐。資金不足成為削減企業(yè)安全投入的最佳利用，其次是未能支撐業(yè)務(wù)發(fā)展。
• 成為C級(jí)管理層的一員后，要求量化安全產(chǎn)生的價(jià)值就愈發(fā)明顯，給安全團(tuán)隊(duì)帶來巨大壓力，當(dāng)然也能成為申請(qǐng)明年預(yù)算的理由之一。
• 勒索攻擊正在成為CSO們的重要壓力點(diǎn)，Splunk發(fā)布的報(bào)告中指出，90%的CSO都表示其組織在2021年至少經(jīng)歷了一次破壞性攻擊；超過八成企業(yè)支付了贖金，超過一半的企業(yè)支付了10萬美元以上的贖金。
• 沒有協(xié)作就沒有安全，安全并非單獨(dú)的個(gè)人，而是和IT、開發(fā)、云團(tuán)隊(duì)等之間的協(xié)作對(duì)于提升組織安全力和恢復(fù)力至關(guān)重要，但是超過6成的受訪者認(rèn)為團(tuán)隊(duì)協(xié)作不盡如人意。

“用錢量化安全”

“董事會(huì)真正想要的是風(fēng)險(xiǎn)量化，他們想要用美元和分來衡量安全”，這大概是絕大部分CSO們的看法。因此在向董事會(huì)匯報(bào)工作時(shí)，不少CSO往往會(huì)體現(xiàn)安全的“投資回報(bào)率”。Splunk報(bào)告數(shù)據(jù)顯示：

• 26%的CSO表示，他們會(huì)分享安全測試的結(jié)果，向董事會(huì)指出最佳的干預(yù)點(diǎn)，以此體現(xiàn)在網(wǎng)絡(luò)安全領(lǐng)域的能力。
• 27%的CSO表示，他們優(yōu)先報(bào)告安全投資的回報(bào)率，指出哪些干預(yù)措施和資金已經(jīng)起到關(guān)鍵作用，為直接對(duì)話CFO并獲得對(duì)未來投資的支持鋪平道路。
• 25%的CSO表示，通過購買網(wǎng)絡(luò)保險(xiǎn)可以證明其他安全投資的合理性。

86%的CSO認(rèn)為，他們最大的責(zé)任是確保其管理機(jī)構(gòu)/董事會(huì)看助安全投資的價(jià)值。正如交通領(lǐng)域的一位CSO所說：“董事會(huì)真正想要的是風(fēng)險(xiǎn)量化，他們想要用美元和分來衡量安全?！?/p>

但事實(shí)上，只有20%的董事會(huì)將“安全投資的回報(bào)率”作為成功的衡量標(biāo)準(zhǔn)。在對(duì)安全方面的投資并沒有那么高的回報(bào)率要求，但是在資金不足的情況下，安全依舊還是最容易被削減預(yù)算的部門。顯然，CSO與董事會(huì)之間的認(rèn)知存在偏差，是導(dǎo)致CSO們離職率高的核心原因之一。

CSO與董事會(huì)對(duì)于企業(yè)安全建設(shè)成功的指標(biāo)也存在明顯不一致。首先是合規(guī)性與安全性畫上等號(hào)，這是CSO們最難接受的地方。作為網(wǎng)絡(luò)安全行業(yè)專業(yè)人士，CSO更關(guān)注整體網(wǎng)絡(luò)安全能力建設(shè)的最佳實(shí)踐，而不是是否滿足了合規(guī)，但對(duì)于非專業(yè)的董事會(huì)來說并非如此。其中的原因可能是“合規(guī)監(jiān)管要求越來越嚴(yán)格，并逐漸成為企業(yè)經(jīng)營的紅線”。

另外，還有高層人員更喜歡用數(shù)字定義安全，并非我們想象中的數(shù)字化安全，而是通過一些數(shù)字來定義安全的價(jià)值。某CSO吐槽道，我們公司的董事會(huì)喜歡數(shù)字，但網(wǎng)絡(luò)安全的問題在于，很難得出一個(gè)數(shù)字來說明我們做得好還是壞。

因此，無論是CSO還是董事會(huì)成員們，是時(shí)候拉齊一下彼此的進(jìn)度，確保雙方的目標(biāo)保持一致才能更好地繼續(xù)做好安全工作。隨著全球網(wǎng)絡(luò)安全法規(guī)日漸完善，對(duì)于擴(kuò)大CSO的影響有著巨大幫助，一旦企業(yè)出現(xiàn)嚴(yán)重安全事故，CEO也要對(duì)此負(fù)責(zé)，公司的品牌價(jià)值、股價(jià)、業(yè)務(wù)都有可能遭受嚴(yán)重影響。這將有利于CSO們建立企業(yè)的安全文化，雖然改變文化的過程還需要大量的時(shí)間，但起碼這已經(jīng)是一個(gè)非常良好的開端：提高員工安全意識(shí)，也要提高董事會(huì)成員的安全意識(shí)。

CSO角色持續(xù)變化

毫無疑問，CSO正逐漸成為企業(yè)內(nèi)部的重要吹哨人。對(duì)于企業(yè)安全負(fù)責(zé)人來說，當(dāng)面對(duì)將業(yè)務(wù)置于風(fēng)險(xiǎn)之中的行為，如果是出于故意忽視安全最佳實(shí)踐和合規(guī)要求，他們不但有權(quán)一票否決，而且有責(zé)任成為最后的防線。實(shí)際上，這也與CSO的個(gè)人利益密切相關(guān)。幾乎所有的網(wǎng)絡(luò)安全法規(guī)都明確要求，在發(fā)生重大安全事件時(shí)，CSO或安全負(fù)責(zé)人需要承擔(dān)相應(yīng)責(zé)任。

因此，大多數(shù)CSO都視吹哨行為為一種趨勢。有82%的受訪CSO表示，若他們的組織故意忽視安全最佳實(shí)踐和合規(guī)要求，他們會(huì)考慮擔(dān)任吹哨人的角色。這反映了他們對(duì)于職業(yè)道德的堅(jiān)守，以及從組織安全失誤中吸取的教訓(xùn)。隨著全球網(wǎng)絡(luò)安全法規(guī)的不斷完善，CSO不僅是企業(yè)安全的守護(hù)者，更是在安全事件中的直接責(zé)任人，一旦出現(xiàn)問題，可能面臨法律責(zé)任，甚至刑事處罰。因此，不少CSO都保持著與法律顧問的緊密聯(lián)系，以便在必要時(shí)獲得專業(yè)建議。

當(dāng)然，CSO角色的轉(zhuǎn)變不僅限于法規(guī)層面，技術(shù)和管理層面的變化同樣深刻。不可否認(rèn)，當(dāng)今的CSO面臨的挑戰(zhàn)比20年前要大得多。技術(shù)環(huán)境的迅速變化要求安全領(lǐng)導(dǎo)者不斷更新知識(shí)，學(xué)習(xí)最新技術(shù)。無論是云計(jì)算、區(qū)塊鏈、人工智能還是機(jī)器學(xué)習(xí)，每一種新工具、新方法或新框架的采用，都需要精心的配置、部署和保護(hù)。這些挑戰(zhàn)，加之企業(yè)環(huán)境的復(fù)雜性日增，給CSO帶來了前所未有的難題，而且很多問題缺乏現(xiàn)成的解決方案。

特別是人工智能和自動(dòng)化技術(shù)的廣泛應(yīng)用，帶來了深遠(yuǎn)的安全影響。通用型服務(wù)如ChatGPT，以及其他垂直領(lǐng)域的成熟或發(fā)展中產(chǎn)品，都是人工智能和自動(dòng)化技術(shù)在安全領(lǐng)域應(yīng)用加速的例證。這意味著CSO需要關(guān)注這些新技術(shù)將如何影響他們的工作。

這只是眾多挑戰(zhàn)中的一個(gè)例子。網(wǎng)絡(luò)安全行業(yè)對(duì)CSO的要求日益嚴(yán)苛。在具備專業(yè)網(wǎng)絡(luò)安全能力和商業(yè)洞察力的基礎(chǔ)上，CSO還需要理解企業(yè)的商業(yè)模式和戰(zhàn)略，確保網(wǎng)絡(luò)安全與企業(yè)戰(zhàn)略相協(xié)調(diào)，以提升企業(yè)的生產(chǎn)力和盈利能力。此外，CSO還需掌握數(shù)據(jù)分析、風(fēng)險(xiǎn)管理和業(yè)務(wù)戰(zhàn)略等更廣泛的技能。

CSO的角色已不再僅限于技術(shù)安全，他們正變成業(yè)務(wù)推動(dòng)者。網(wǎng)絡(luò)安全領(lǐng)域正在經(jīng)歷一場變革，而對(duì)CSO而言，最大的變革是他們必須成為全方位的戰(zhàn)士，不僅精通自己的專業(yè)領(lǐng)域，還要深入了解公司的其他部分，如營銷、銷售、工程、產(chǎn)品、設(shè)計(jì)、數(shù)據(jù)等。企業(yè)高層希望CSO不僅精通這些領(lǐng)域，在溝通時(shí)能夠使用業(yè)務(wù)語言，并在決策時(shí)考慮到業(yè)務(wù)相關(guān)目標(biāo)。

領(lǐng)導(dǎo)力對(duì)CSO而言至關(guān)重要。網(wǎng)絡(luò)安全不再是一個(gè)孤立的領(lǐng)域，CSO需要與技術(shù)部門、非技術(shù)部門甚至客戶進(jìn)行有效溝通。商業(yè)能力、敬業(yè)精神和卓越的溝通技巧，這些能力的綜合運(yùn)用，將使我們?cè)诎踩I(lǐng)域迎接更大挑戰(zhàn)成為可能。

與其他領(lǐng)導(dǎo)層相比，CSO面臨的一個(gè)獨(dú)特挑戰(zhàn)是，網(wǎng)絡(luò)安全是一個(gè)對(duì)負(fù)反饋反應(yīng)迅速的領(lǐng)域。對(duì)于企業(yè)來說，晚一年采用新興技術(shù)可能不會(huì)立即帶來變化，競爭劣勢可能幾年后才顯現(xiàn)。但網(wǎng)絡(luò)安全不同，如果CSO延遲采用新興安全措施，可能會(huì)立即面臨安全事故；如果延遲滿足法規(guī)要求，監(jiān)管機(jī)構(gòu)也不會(huì)因?yàn)榉磻?yīng)慢而寬容。網(wǎng)絡(luò)安全領(lǐng)域的這一現(xiàn)狀要求CSO必須在規(guī)定時(shí)間內(nèi)采取相應(yīng)措施，這是一個(gè)無法回避的現(xiàn)實(shí)。

考驗(yàn)網(wǎng)絡(luò)安全韌性的時(shí)代

在數(shù)字化轉(zhuǎn)型的今天，企業(yè)面臨著法律法規(guī)的合規(guī)化需求，尤其是在強(qiáng)監(jiān)管行業(yè)如金融領(lǐng)域。相關(guān)的數(shù)據(jù)保護(hù)條例已經(jīng)成為企業(yè)安全建設(shè)的最低標(biāo)準(zhǔn)，是每個(gè)企業(yè)必須遵守和投入的基本內(nèi)容。另一方面，從網(wǎng)絡(luò)攻擊的角度看，黑客的技術(shù)始終比廠商的技術(shù)更為先進(jìn)，而且黑客更容易采用更新的技術(shù)進(jìn)行網(wǎng)絡(luò)攻擊。

因此，企業(yè)內(nèi)部需不斷強(qiáng)化韌性，以應(yīng)對(duì)不斷更新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。建立韌性文化是一項(xiàng)艱巨的任務(wù)，但卻是CSO們不得不去完成的一項(xiàng)任務(wù)。在數(shù)字韌性的合作上需要有一個(gè)基礎(chǔ)性的從規(guī)劃和產(chǎn)品現(xiàn)代化到業(yè)務(wù)和產(chǎn)品戰(zhàn)略的全面布局。為此，不少CSO認(rèn)為安全應(yīng)該成為現(xiàn)代化過程的一個(gè)不可分割的部分，借助重構(gòu)韌性可以講安全整合嵌入至軟件開發(fā)生命周期中。

更強(qiáng)大、更安全、更具韌性的安全體系需要全村人的努力，這就意味著，CSO們必須具備更強(qiáng)大的組織間協(xié)作的能力，尤其是雨IT、運(yùn)維等部門之間的親密合作變得至關(guān)重要。

在這樣的背景下，等待CSO們的挑戰(zhàn)將會(huì)變得更加明顯。CSO不光需要學(xué)習(xí)與安全相關(guān)的專業(yè)技能，還有大量的管理能力、社交能力、人脈資源、視野眼界、自身包裝等，都是CSO們必須要經(jīng)歷或掌握的。

這里簡單列舉一些CSO必備技能。

1、技術(shù)功底

信息安全是一個(gè)融合了多個(gè)學(xué)科的信息技術(shù)子類，涵蓋了網(wǎng)絡(luò)、數(shù)據(jù)庫、操作系統(tǒng)、IDC機(jī)房、中間件、密碼學(xué)、社會(huì)工程等多個(gè)領(lǐng)域。各個(gè)領(lǐng)域的信息技術(shù)均需要有所掌握，否則很容易出現(xiàn)外行領(lǐng)導(dǎo)內(nèi)行的情況，輕則欺上瞞下，重則出現(xiàn)嚴(yán)重安全事故。

2、組建安全團(tuán)隊(duì)

安全是一項(xiàng)綜合性的戰(zhàn)斗，沒有人能夠獨(dú)當(dāng)一面，企業(yè)的安全運(yùn)營，涉及安全隱患的發(fā)現(xiàn)、安全缺陷的整改、安全事件的監(jiān)測、響應(yīng)與處置。都需要有專業(yè)的人來對(duì)應(yīng)做專業(yè)的事，才能實(shí)現(xiàn)有效的協(xié)同。

CSO組建團(tuán)隊(duì)之后，還需要對(duì)團(tuán)隊(duì)進(jìn)行培養(yǎng)與帶領(lǐng)。信息安全團(tuán)隊(duì)內(nèi)的組織架構(gòu)一般要覆蓋幾個(gè)模塊：安全意識(shí)教育、安全策略與規(guī)劃、體系與流程建設(shè)、必要的業(yè)務(wù)安全、技術(shù)防護(hù)、攻防滲透、審計(jì)和檢查、事件響應(yīng)、運(yùn)營與優(yōu)化等。

3、業(yè)務(wù)協(xié)同

溝通是CSO必備基本與核心技能之一。CSO找到信息安全工作的核心客戶、核心干系人，及時(shí)、有效與核心客戶、干系人達(dá)成一致，讓核心客戶、核心干系人支持信息安全工作，CSO的工作已經(jīng)成功了一半；反之則會(huì)重重阻礙。很多技術(shù)出身的安全人員擔(dān)任管理崗位后，往往沒有特別好的業(yè)績輸出，其實(shí)就是輸在和客戶、干系人的溝通管理上。

4、全局安全建設(shè)

作為CSO，應(yīng)該對(duì)自己企業(yè)、所處行業(yè)的業(yè)務(wù)有足夠的認(rèn)識(shí)與理解，業(yè)務(wù)模式是什么？靠什么賺錢？錢是怎么花出去的？業(yè)務(wù)的架構(gòu)是什么樣子？核心的業(yè)務(wù)能力是什么？支持這些業(yè)務(wù)開展的業(yè)務(wù)核心流程是哪些？支持性的業(yè)務(wù)流程與職能有哪些？業(yè)務(wù)職責(zé)分工？關(guān)鍵業(yè)務(wù)人員、團(tuán)隊(duì)？支撐核心業(yè)務(wù)的系統(tǒng)有哪些？技術(shù)團(tuán)隊(duì)關(guān)鍵人員？

5、資源獲取

獲取必要的資源是CSO的重點(diǎn)工作之一，不同的企業(yè)環(huán)境下可能還是核心工作。資源包括人、財(cái)、物、政策、內(nèi)部支持者、供應(yīng)商、合作商資源。如何說服老板加大對(duì)安全的資源投入，也是一項(xiàng)重要能力，同時(shí)也是一門藝術(shù)。

無論是國內(nèi)還是國外，對(duì)于CSO的要求正在不斷豐富。CSO們，以及想要成為CSO的網(wǎng)安從業(yè)者們，做好準(zhǔn)備，加油吧。雖然挑戰(zhàn)越來越多，但與之相對(duì)應(yīng)的是，CSO話語權(quán)也越來越多。很多時(shí)候，責(zé)任和權(quán)利往往是對(duì)等的。