近年來，網(wǎng)絡(luò)安全得到了大量關(guān)注，隨之而來的是立法、法規(guī)和更多的審查，這導(dǎo)致CISO現(xiàn)在的職責(zé)超出了保護(hù)企業(yè)的技術(shù)層面。

IANS的一項(xiàng)研究顯示，CISO不僅負(fù)責(zé)信息安全，還經(jīng)常包括技術(shù)風(fēng)險(xiǎn)和合規(guī)等方面。不斷增加的監(jiān)管要求意味著需要更多的董事會(huì)監(jiān)督，CISO必須繼續(xù)將不斷變化的網(wǎng)絡(luò)風(fēng)險(xiǎn)與業(yè)務(wù)環(huán)境的理解相結(jié)合。

“CISO需要與企業(yè)高管、監(jiān)管機(jī)構(gòu)、網(wǎng)絡(luò)保險(xiǎn)提供商和CFO進(jìn)行預(yù)算協(xié)商，并且他們必須精通商業(yè)語言并將其轉(zhuǎn)化為網(wǎng)絡(luò)風(fēng)險(xiǎn)，這本身就是一個(gè)全職角色，”企業(yè)戰(zhàn)略集團(tuán)的名譽(yù)分析師Jon Oltsik說。

同時(shí)，管理日益復(fù)雜的技術(shù)需求也在增加，需要專門的注意和監(jiān)督。“技術(shù)變得越來越大和多樣化，包括開發(fā)新應(yīng)用程序和實(shí)施新型設(shè)備，我們也正處在大規(guī)模AI采用的邊緣，需要一個(gè)真正理解所有這些技術(shù)并能夠在業(yè)務(wù)指導(dǎo)下制定適當(dāng)控制措施的人，這是一個(gè)不同類型的角色?！監(jiān)ltsik告訴記者。

區(qū)分技術(shù)和業(yè)務(wù)風(fēng)險(xiǎn)的擔(dān)憂

范圍只會(huì)不斷擴(kuò)大，到2027年，Gartner預(yù)測45%的CISO職責(zé)將超越網(wǎng)絡(luò)安全，由于增加的監(jiān)管壓力和攻擊面擴(kuò)大推動(dòng)。

為了應(yīng)對(duì)日益增加的職責(zé)，更多企業(yè)可能會(huì)效仿銀行和其他大型企業(yè)，將技術(shù)控制和業(yè)務(wù)風(fēng)險(xiǎn)的職責(zé)區(qū)分開來。

在一種可能的安排中，CISO向CEO匯報(bào)，首席安全技術(shù)官(CSTO)或技術(shù)導(dǎo)向的安全人員向CIO匯報(bào)。

在功能層面，將CSTO置于IT部門內(nèi)，使CIO有機(jī)會(huì)進(jìn)行更多的整合和協(xié)作，并將可觀察性和安全監(jiān)控統(tǒng)一起來。在執(zhí)行層面，需要理解安全漏洞，而CISO可以協(xié)助進(jìn)行戰(zhàn)略業(yè)務(wù)風(fēng)險(xiǎn)考慮。Oltsik表示：“這種分拆可能會(huì)帶來更好的安全監(jiān)督和更成熟的安全文化?！?/p>

然而，劃分職責(zé)和報(bào)告線也會(huì)帶來許多實(shí)際考慮和風(fēng)險(xiǎn)。將CISO置于CIO的管轄范圍之外，可能會(huì)在管理網(wǎng)絡(luò)風(fēng)險(xiǎn)和監(jiān)督技術(shù)之間形成一層隔閡，這也可能加深I(lǐng)T運(yùn)營與安全之間的差異，前者關(guān)注系統(tǒng)的正常運(yùn)行，后者則優(yōu)先考慮系統(tǒng)的安全性。

“當(dāng)然，每個(gè)人都希望系統(tǒng)正常運(yùn)行，不僅僅是CIO的責(zé)任，但安全的工作是確保它們也是安全的，他們可能會(huì)設(shè)置某些門檻，使其運(yùn)行更困難?！監(jiān)ltsik說。

然后是開發(fā)和采用新應(yīng)用程序時(shí)的安全風(fēng)險(xiǎn)問題。如果安全技術(shù)角色由CIO和IT部門負(fù)責(zé)，如果在性能和安全之間存在沖突，可能無法充分考慮安全因素。

“我們之所以處于如此多漏洞的境地，部分原因是軟件開發(fā)人員為了盡快將代碼投入生產(chǎn)，往往在安全方面偷工減料，”他說道，“因此，風(fēng)險(xiǎn)在于，通過將這兩個(gè)角色分開，CISO會(huì)變成一個(gè)沒有操作職責(zé)的象征性人物，而CIO可能會(huì)指示首席安全技術(shù)官不要過多關(guān)注安全問題，因?yàn)檫@會(huì)影響生產(chǎn)力或性能?！?/p>

分拆某些職能能否改善風(fēng)險(xiǎn)管理?

在其他情況下，由網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)技術(shù)、操作和架構(gòu)團(tuán)隊(duì)，而由CISO領(lǐng)導(dǎo)治理、風(fēng)險(xiǎn)和合規(guī)職能是有意義的，7 Rules Cyber咨詢公司的創(chuàng)始人和CISO Chirag Joshi表示。“治理和風(fēng)險(xiǎn)角色可以更多地與董事會(huì)互動(dòng)，展示指標(biāo)和測量、策略和政策?！盝oshi告訴記者。

美國證券交易委員會(huì)的一項(xiàng)要求是提交年度網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃，這通常是治理領(lǐng)導(dǎo)的職責(zé)，他們制定一個(gè)包含控制措施的策略，但需要有人在必要時(shí)對(duì)其進(jìn)行獨(dú)立的功能性支持和挑戰(zhàn)?！霸诓僮骱惋L(fēng)險(xiǎn)職責(zé)之間劃清界限是有益的，因?yàn)檫@種獨(dú)立性更有可能對(duì)風(fēng)險(xiǎn)選擇提出挑戰(zhàn)?！盝oshi說。

通過將CISO角色提升到其他C級(jí)高管的水平，他們成為專注于管理風(fēng)險(xiǎn)的戰(zhàn)略業(yè)務(wù)顧問。不僅僅是回答‘我們?nèi)绾未_保這一點(diǎn)’的問題，而是對(duì)企業(yè)是否應(yīng)該‘這樣做’提出意見，比如采用新應(yīng)用程序或其他安全考慮。

要實(shí)現(xiàn)這一點(diǎn)，CISO需要采用高管的語言，能夠以適當(dāng)?shù)耐顿Y和相應(yīng)的風(fēng)險(xiǎn)控制來解釋問題?！八麄冃枰欠N風(fēng)險(xiǎn)語言，不只是將網(wǎng)絡(luò)風(fēng)險(xiǎn)分為高、中、低，而是解釋為什么你決定按比例投資于某種控制，而不是接受風(fēng)險(xiǎn)。這是一個(gè)更困難的對(duì)話，不像高、中、低風(fēng)險(xiǎn)的對(duì)話那么簡單。”Joshi告訴記者。

為了成功改變重點(diǎn)，CISO需要掌握財(cái)務(wù)和公司戰(zhàn)略，并在這一框架內(nèi)表達(dá)網(wǎng)絡(luò)控制，而不是每季度都帶著報(bào)告和警告出現(xiàn)?！癈ISO需要將其風(fēng)險(xiǎn)分類法納入整體企業(yè)風(fēng)險(xiǎn)分類法中。”Joshi說。

然而，在這種安排下，預(yù)算可能成為爭論的焦點(diǎn)。Joshi解釋說，CIO的預(yù)算往往非常重視網(wǎng)絡(luò)安全，要在不影響資金分配的情況下讓CISO和CIO成為同級(jí)可能會(huì)很困難。

另一個(gè)潛在的摩擦點(diǎn)是應(yīng)用程序的維護(hù)，以及誰對(duì)生命周期結(jié)束的考慮和權(quán)衡成本與潛在漏洞的權(quán)力負(fù)責(zé)?！癈IO需要管理成本，并盡可能長時(shí)間地保持應(yīng)用程序運(yùn)行，但CISO更傾向于遷移到新應(yīng)用程序，以免擔(dān)心遺留漏洞?！盝oshi補(bǔ)充道。

是否需要一個(gè)安全運(yùn)營主管?

在其他情況下，企業(yè)可以效仿標(biāo)準(zhǔn)渣打等大銀行，采用沿三條線分配職責(zé)的模型——操作、風(fēng)險(xiǎn)和審計(jì)。網(wǎng)絡(luò)安全操作主管負(fù)責(zé)實(shí)施控制和系統(tǒng)，更專業(yè)的CISO負(fù)責(zé)風(fēng)險(xiǎn)和合規(guī)，第三個(gè)角色負(fù)責(zé)審計(jì)功能，并可以獨(dú)立審查網(wǎng)絡(luò)安全功能，F(xiàn)TI Consulting澳大利亞網(wǎng)絡(luò)安全主管兼高級(jí)董事總經(jīng)理Wouter Veugelen表示。

“安全運(yùn)營主管負(fù)責(zé)所有的預(yù)防、檢測和響應(yīng)，而CISO專注于治理，制定安全控制政策并檢查合規(guī)性，但他們不能負(fù)責(zé)具體實(shí)施，因?yàn)閷?duì)一個(gè)人來說處理所有這些事情太過繁重了。”Veugelen說。

誰為風(fēng)險(xiǎn)負(fù)責(zé)

然而，分拆安全角色面臨許多挑戰(zhàn)，尤其是在問責(zé)制方面。將責(zé)任分散到多個(gè)角色可能使最終對(duì)整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和結(jié)果負(fù)責(zé)的人不明確。此外，如果將運(yùn)營安全控制與治理和風(fēng)險(xiǎn)管理分開，可能很難確保這兩個(gè)職能之間的適當(dāng)問責(zé)。

為了解決這個(gè)問題，Veugelen建議企業(yè)需要制定明確的政策和指南，明確問責(zé)，以避免不同安全角色和職能之間出現(xiàn)空白或重疊。他還警告說，如果負(fù)責(zé)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的人沒有全部控制權(quán)來減輕風(fēng)險(xiǎn)，他們就不會(huì)擁有所有風(fēng)險(xiǎn)。“最好是讓有預(yù)算和權(quán)力來減輕風(fēng)險(xiǎn)的利益相關(guān)者擁有風(fēng)險(xiǎn)的所有權(quán)。”他說。

同樣，關(guān)于誰負(fù)責(zé)向董事會(huì)報(bào)告風(fēng)險(xiǎn)的問題可能會(huì)產(chǎn)生沖突。在大多數(shù)情況下，CISO向CIO報(bào)告，CIO再向集團(tuán)高管報(bào)告，但這種安排可能不提供自由和坦率風(fēng)險(xiǎn)評(píng)估的選項(xiàng)?！叭绻鸆ISO需要向董事會(huì)報(bào)告風(fēng)險(xiǎn)，但董事會(huì)文件必須經(jīng)過CIO，所報(bào)告的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能會(huì)對(duì)CIO未能維護(hù)的系統(tǒng)描繪出不理想的畫面?！盫eugelen說。

在這種情況下，CISO還需要有一個(gè)直接向風(fēng)險(xiǎn)委員會(huì)報(bào)告的渠道，以便至少能提供關(guān)于CISO風(fēng)險(xiǎn)的平衡報(bào)告，他說。

很多取決于公司的結(jié)構(gòu)和風(fēng)險(xiǎn)的所有權(quán)，但這種安排更適合那些具有更復(fù)雜安全需求和有能力支持獨(dú)立角色的大型機(jī)構(gòu)。

較小的企業(yè)可能缺乏管理多個(gè)信息安全高管所需的流程和結(jié)構(gòu)，這可能會(huì)導(dǎo)致角色之間的問責(zé)出現(xiàn)空白甚至重疊?！按送?，組織內(nèi)支持獨(dú)立安全角色和職能可能會(huì)產(chǎn)生額外成本?！盫eugelen說。