在網(wǎng)絡(luò)安全領(lǐng)域，首席信息安全官(CISO)的角色正經(jīng)歷著從單純的技術(shù)專家向戰(zhàn)略型商業(yè)伙伴的轉(zhuǎn)變。隨著網(wǎng)絡(luò)威脅日益復(fù)雜，以及云計算等新興技術(shù)的興起，CISO的重要性將進一步提升，甚至有望取代首席信息官(CIO)成為企業(yè)IT掌舵人。

CISO的誕生與演變

1995年，史上第一位CISO在花旗銀行誕生。當時，網(wǎng)絡(luò)安全還處于萌芽階段，信息安全漏洞頻發(fā)。為了應(yīng)對日益嚴峻的網(wǎng)絡(luò)安全形勢，花旗銀行設(shè)立了CISO職位，并任命史蒂夫·卡茨(Steve Katz)擔任該職。

卡茨被譽為“網(wǎng)絡(luò)安全之父”。他最初的主要職責是幫助銀行建立強大的網(wǎng)絡(luò)安全部門，并與國際主要銀行客戶合作，降低網(wǎng)絡(luò)攻擊造成的損失。

隨著網(wǎng)絡(luò)安全威脅的不斷演變，CISO的角色也隨之發(fā)生變化。托德·菲茨杰拉德(ToddFitzgerald)將CISO的發(fā)展歷程劃分為六個階段：

• 第一代CISO(1995-2000年)：Katz擔任花旗首位CISO，密碼與登錄安全時代;
• 第二代CISO(2000-2004年)：法規(guī)遵從時代;
• 第三代CISO(2004-2008年)：風(fēng)險導(dǎo)向時代;
• 第四代CISO(2008-2016年)：威脅感知時代(社交/移動/云計算);
• 第五代CISO(2016-2022年)：隱私和數(shù)據(jù)感知時代;
• 第六代CISO(2022年至2027+)：綜合型、業(yè)務(wù)彈性時代。

從最初的技術(shù)導(dǎo)向，CISO的角色逐漸演變成需要具備戰(zhàn)略思維和溝通技巧的綜合型人才。他們不僅需要深刻理解網(wǎng)絡(luò)安全技術(shù)，還需要與公司內(nèi)部的技術(shù)、財務(wù)、審計、法律和合規(guī)部門進行密切合作，并向非技術(shù)部門的高管層清晰地傳達網(wǎng)絡(luò)風(fēng)險，讓安全融入到企業(yè)的整體文化之中。

CISO在崩潰的邊緣迎來重大機遇

根據(jù)德勤的研究，當今的CISO面臨著巨大的壓力和挑戰(zhàn)。一方面，安全漏洞不斷增長、網(wǎng)絡(luò)犯罪活動愈發(fā)猖獗，勒索軟件攻擊、數(shù)據(jù)泄露等事件層出不窮;另一方面，網(wǎng)絡(luò)安全預(yù)算卻不斷縮水，監(jiān)管環(huán)境日益嚴苛，對企業(yè)的信息安全提出了更高的要求。Uber的CISO因未能披露數(shù)據(jù)泄露事件而被定罪，更是標志著新的監(jiān)管法規(guī)下CISO面臨的職業(yè)風(fēng)險正快速飆升。

Cybersecurity Venture 2023年的一項研究估計，目前全球約有3.2萬名CISO。然而，隨著CISO數(shù)量的增加，他們的集體焦慮感也在增加。2024年1月，IANS/Artico對加拿大和美國663名CISO進行的聯(lián)合調(diào)查發(fā)現(xiàn)，75%的CISO打算換工作，高于一年前的64%，對自己的工作和公司感到滿意的CISO數(shù)量也從74%下降至64%。

網(wǎng)絡(luò)安全公司Yass Partners的首席執(zhí)行官Yael Nagler指出，CISO可能會因為不斷增加的責任和壓力而感到焦慮，但同時也面臨著重大職業(yè)發(fā)展機遇。隨著網(wǎng)絡(luò)安全的重要性日益凸顯，CISO將有機會成為企業(yè)高層的重要戰(zhàn)略伙伴，引領(lǐng)組織抵御網(wǎng)絡(luò)威脅，并推動網(wǎng)絡(luò)安全文化來提升業(yè)務(wù)彈性。

第六代CISO的四個重點發(fā)展方向

Gartner的Sam Oyaei在2022年的一份研究報告中宣稱CISO已經(jīng)“精疲力盡”，他認為這一角色需要完全重新定義，從“孤膽英雄”轉(zhuǎn)變?yōu)椤肮蚕盹L(fēng)險管理者”。CISO不再是唯一負責防止網(wǎng)絡(luò)攻擊的人，而是要幫助企業(yè)領(lǐng)導(dǎo)者建立起一套完善的網(wǎng)絡(luò)安全體系，并提高他們對網(wǎng)絡(luò)風(fēng)險的認知和決策能力。

未來，第六代CISO有四個重點發(fā)展方向

• 更加注重戰(zhàn)略和治理：CISO需要制定全面的網(wǎng)絡(luò)安全戰(zhàn)略，并確保組織內(nèi)部各部門都承擔起相應(yīng)的安全責任。
• 強化風(fēng)險管理：CISO需要持續(xù)評估網(wǎng)絡(luò)安全風(fēng)險，并采取有效的應(yīng)對措施。
• 提升溝通和協(xié)作能力：CISO需要與高層管理層和其他業(yè)務(wù)部門保持密切溝通，學(xué)會用業(yè)務(wù)術(shù)語溝通風(fēng)險，提高公司高管的網(wǎng)絡(luò)安全意識。
• 積極擁抱新技術(shù)：CISO需要了解和掌握人工智能、云計算等新技術(shù)，并將其應(yīng)用于網(wǎng)絡(luò)安全實踐中。

正如第一代CISO史蒂夫·卡茨所言，信息安全絕不僅僅是技術(shù)問題，它更是一個影響企業(yè)整體經(jīng)營的商業(yè)風(fēng)險管理問題。展望未來，第六代CISO將扮演更加重要的角色，引領(lǐng)企業(yè)在充滿挑戰(zhàn)的網(wǎng)絡(luò)安全環(huán)境中實現(xiàn)可持續(xù)發(fā)展。

CISO的下一步：取代傳統(tǒng)CIO

云計算的興起對傳統(tǒng)的CIO模式帶來了巨大沖擊。隨著越來越多的企業(yè)將業(yè)務(wù)遷移到云端，IT架構(gòu)發(fā)生了根本性的變化，CIO所掌控的權(quán)力和資源也隨之減少。

一些業(yè)內(nèi)人士認為，SaaS的普及將最終導(dǎo)致CIO/CISO分裂模式的終結(jié)。由于SaaS服務(wù)商已經(jīng)承擔了大部分傳統(tǒng)IT應(yīng)用的支持工作，企業(yè)只需要一個CISO來負責整個組織的安全事務(wù)，包括IT安全和SaaS安全，從而簡化管理架構(gòu)、降低運營成本。

未來，CISO與CIO的關(guān)系將如何演變，還有待進一步觀察。但可以肯定的是，CISO在企業(yè)中的重要性將不斷提升，并將成為不可或缺的角色。

CISO取代CIO成為企業(yè)IT掌舵人的趨勢已經(jīng)開始，例如，今天很多初創(chuàng)公司通常只有一個安全主管，同時負責管理IT和安全事務(wù)。隨著這類公司不斷發(fā)展壯大，這種整合的IT/安全模式將會延續(xù)，企業(yè)架構(gòu)中只會保留一位IT/安全C級別高管。

CIO的最后堡壘可能是筆記本電腦管理，但隨著云辦公和協(xié)同辦公的不斷發(fā)展，以及EDR供應(yīng)商越來越多地承擔管理任務(wù)，一個不承擔安全監(jiān)管責任的CIO還能堅持多久?