當Ian Schneller在20世紀90年代初進入職場時，網(wǎng)絡安全才剛剛成為企業(yè)內(nèi)部的一項職能，這是一項專門的職能，主要是以技術能力發(fā)揮作用，挫敗對本企業(yè)的攻擊，并在某種程度上挫敗對客戶的攻擊。Schneller回憶道：“這就是我們的職責所在，抵御攻擊者的持續(xù)攻擊，保護企業(yè)的系統(tǒng)、信息和服務，這是一個非常技術性的角色，在許多情況下，它是從內(nèi)部工作的人發(fā)展而來的，可能是系統(tǒng)管理員，也可能是開發(fā)人員，或者是具有非常技術背景的人?！?/p>

從那時起，Schneller在安全運營部門一步步晉升，現(xiàn)在擔任醫(yī)療保健服務企業(yè)(HCSC)的CISO。2023年，他成為第一個在Dallas CIO新設立的CISO類別中獲得Orbie獎的CISO，這一成就突顯了Schneller在創(chuàng)造創(chuàng)新的工作環(huán)境和維護整個企業(yè)敏感信息和系統(tǒng)的完整性方面的成功。隨著他的崛起，他見證了他的領域的演變。到2017年，70%的財富500強企業(yè)已經(jīng)雇傭了CISO，而且這個數(shù)字還在不斷攀升。

無數(shù)的CISO監(jiān)管著大型和復雜的企業(yè)，這些企業(yè)管理著構成安全企業(yè)的所有活動，這些活動不僅涉及國防的技術方面。

數(shù)據(jù)支持了Schneller關于CISO角色發(fā)生了多大變化的觀點，例如，Splunk最近的一項調(diào)查觀察到，“86%的CISO表示，自從他們開始工作以來，他們的角色發(fā)生了很大變化，這幾乎是一份不同的工作。”

以下是Schneller認為，在目前的情況下，CISO需要遵守的五個關鍵原則：

1.認識CISO角色的職責

Schneller說，認識到今天的角色是多么全面，是成為或找到強大的CISO的第一個宗旨。在早期，CISO保護他們的企業(yè)和客戶就足夠了，而且大多數(shù)情況下他們可以自己做到這一點。今天，為了保護企業(yè)，CISO必須與整個企業(yè)的領導者進行協(xié)調(diào)，在某種意義上，還必須與每一位員工進行協(xié)調(diào)。

“它不再是一個豎井，”Schneller說，“保護企業(yè)只是他們必須具備的能力之一，他們還必須能夠招聘人才，倡導網(wǎng)絡安全投資，評估收購，保護品牌，并引導合規(guī)，而合規(guī)已經(jīng)擴大，簡而言之，這是關于成為一名商業(yè)領袖的問題?！?/p>

2.負責任地增長

Schneller的第二個信條“負責任地增長”反映了應該指導現(xiàn)代CISO的兩種態(tài)度。“負責任”背后的態(tài)度是更加傳統(tǒng)和明顯的：保護企業(yè)，然而，“增長”承認CISO角色的演變，它的責任是實現(xiàn)和推動企業(yè)的增長。

Schneller說：“你的企業(yè)面臨著巨大的壓力，需要通過創(chuàng)新來實現(xiàn)增長，這項創(chuàng)新可能是購買并整合一種將為客戶服務的新技術，它可能是與你的應用程序開發(fā)人員一起自己構建的。無論它是什么，他們都面臨著開發(fā)它的壓力。當戰(zhàn)略形成時，CISO需要坐在談判桌前，理解為什么會有創(chuàng)新在那里，并知道企業(yè)將在有或沒有你參與的情況下部署它。最糟糕的情況是，你擋住了路。當一個產(chǎn)品準備好了，它也應該是安全的。”

Schneller說，在談判桌上坐一坐是最起碼的。同樣重要的是了解企業(yè)打算如何發(fā)展，并建立合作伙伴關系，以消除孤島并確保安全不會成為流程中假定的一部分，從而使CISO和其他領導者保持一致。安全變成了文化，因為它是戰(zhàn)術的?！爱斊髽I(yè)準備好部署這一新功能時，它就準備好了，而且它是安全的，因為團隊是共同結盟的。”

3.維護你的聲譽

Schneller的第三個信條是取得平衡。一方面，保護你的聲譽——或者首先建立它——需要透明度，特別是在安全方面。他說，安全已經(jīng)變得如此重要，以至于它已經(jīng)成為許多交易的障礙：“我們經(jīng)常在B-to-B交易中聽到這一點，CISO將被要求打電話給客戶的CISO或CIO，這樣我們就可以就安全問題進行一些實質(zhì)性的討論。”

Schneller強調(diào)，這也是現(xiàn)代CIO必須能夠導航整個企業(yè)及其業(yè)務活動，而不僅僅是工作的技術方面的原因?！斑@其中很大一部分是高管在場的觀點，能夠傳達影響，并擁有幫助另一個利益相關者的實際手段，而且你必須能夠足夠靈活地與銷售和法律團隊合作，這樣你就不會過度承諾?！?/p>

另一方面，如果管理不當，透明度可能會對你不利?！艾F(xiàn)在世界上其他國家都意識到了你的安全能力，這真的是關于理解。首先，透明度可以幫助不好的行為者洞察你的安全姿態(tài)。他們可能會設法做到這一點，例如，通過審查你企業(yè)的記分卡，如果企業(yè)有記分卡并已將其公開提供的話，或者，這些參與者可能對你所在行業(yè)通常遵循的協(xié)議有所了解。”

Schneller說，無論如何，你都需要知道這些原因，你不能為你沒有意識到的東西辯護，首先，你應該知道不良演員可能會把你的企業(yè)作為攻擊目標的原因，它是不是剛剛贏得了一個備受矚目的客戶?它是不是剛剛跨過了某個重要的流動性里程碑?不要只是勾選安全盒，還需要了解壞人的思考方式。

4.保護你的生態(tài)系統(tǒng)

所有這一切背后都有一個重要的事實：貴企業(yè)的網(wǎng)絡安全不僅依賴于你自己的防御，而且依賴于你生態(tài)系統(tǒng)中每個人的防御，特別是考慮到其中許多參與者將至少在一定程度上訪問你和你客戶的信息。“如果這個生態(tài)系統(tǒng)不安全，”Schneller說，“違反你的虛擬或實體法律可能會直接影響你的企業(yè)或你的客戶?！被蛟S沒有比劍橋分析企業(yè)的崩潰更好的例子了。到塵埃落定時，Meta已經(jīng)支付了近60億美元，這并沒有說明他們的非貨幣損失。直到今天，這一漏洞仍然困擾著他們的品牌。

你如何影響一家不是你經(jīng)營的企業(yè)?“集體防御的概念在這里非常重要，”Schneller說，“你如何在行業(yè)、公用事業(yè)部門企業(yè)內(nèi)合作，共同協(xié)作地提高整個行業(yè)的防御能力?”這又一次讓人回想起第一支柱，這是CISO必須具備超越工作技術層面的能力的另一個原因。

5.培養(yǎng)你的安全才能

Schneller鼓勵他的受眾考慮網(wǎng)絡人才的需求和供應之間的差距?！白x一讀任何一種公共媒體，”他說，“盡管數(shù)字可能有一點不同，但它們是一致的，因為有幾十個，如果不是數(shù)十萬個公開的網(wǎng)絡職位的話?！备鶕?jù)Statista的數(shù)據(jù)，去年2月，僅在美國就有大約75萬個網(wǎng)絡職位空缺。根據(jù)世界經(jīng)濟論壇的數(shù)據(jù)，全球這一數(shù)字約為350萬，根據(jù)《網(wǎng)絡犯罪》雜志的數(shù)據(jù)，這種差距預計至少將持續(xù)到2025年。正如Schneller指出的那樣，這意味著企業(yè)將很難吸引網(wǎng)絡人才，他們將不得不在非傳統(tǒng)領域尋找人才。

有很多吸引安全人才的策略——讓薪酬與重要的東西保持一致，確保你有明確的職業(yè)發(fā)展道路——但所有這些都歸結為Schneller強調(diào)的一個更廣泛的點：品牌。你的企業(yè)必須表明，它認真對待網(wǎng)絡安全，它將為網(wǎng)絡安全人才提供一種文化，在這種文化中，他們可以解決具有挑戰(zhàn)性的問題，推進自己的職業(yè)生涯，贏得尊重，為企業(yè)的成功做出貢獻。不要假設網(wǎng)絡人才知道你的企業(yè)重視這些品質(zhì)?！叭绻阍谝患掖筱y行，”他說，“人們可能不會認為你是一個發(fā)展網(wǎng)絡事業(yè)的地方，但實際上，他們擁有龐大的網(wǎng)絡安全團隊?！?/p>

首先到哪里去找人才呢?非傳統(tǒng)來源是什么?Schneller傾向于兩個，首先是軍隊?！拔沂抢媳心嫉蔫F桿粉絲，退伍軍人在網(wǎng)絡安全方面擁有很高程度的培訓和經(jīng)驗，可以為你的企業(yè)做出偉大的貢獻?！痹S多商界領袖稱贊退伍軍人是員工，像Sophos這樣的一些企業(yè)甚至運營著自己的退伍軍人網(wǎng)絡安全項目。僅在2023年，軍方就在網(wǎng)絡安全項目上投資了112億美元。

第二個資源是高中、社區(qū)和附屬大學，這些機構塑造了大量畢業(yè)生，他們擁有在網(wǎng)絡安全領域出類拔萃所需的所有技能和雄心。Schneller提醒說，更重要的是正確的證書，或者更廣泛地說，正確的教育，在它到來之前，你可以幫助塑造并發(fā)展你的才華?！拔夜膭頒ISO找到你們當?shù)氐拇髮W，并加入他們的顧問委員會，”Schneller說，“設立這門課程，幫助指導學生?！?。

一年比一年快，網(wǎng)絡安全變得更加復雜和復雜，不好的行為者會發(fā)現(xiàn)新的漏洞進行攻擊，并使用新的工具進行攻擊，因此，CISO的企業(yè)將變得更加復雜和復雜，因此CISO只有在很大程度上依靠上述原則才能成功地指導企業(yè)。“CISO必須是一位企業(yè)領導者，”Schneller說，“他是一位能夠駕馭整個企業(yè)的高管。”