CSO名人堂入選者預(yù)計(jì)未來幾年將承擔(dān)更廣泛的職責(zé)、面臨更多壓力并肩負(fù)更高的責(zé)任。

作為沃爾瑪?shù)膱?zhí)行副總裁兼CISO，Jerry Geisler是該公司的頂級高管。

這一職位，加上公司在網(wǎng)絡(luò)安全項(xiàng)目上的持續(xù)投資，反映了沃爾瑪對“成為一個(gè)網(wǎng)絡(luò)安全公司”的承諾，他表示。

更重要的是，這也突顯了CISO角色的持續(xù)演變。

“過去，安全常常是數(shù)字化領(lǐng)域的事后考慮，然而，到2024年，各企業(yè)正在優(yōu)先考慮構(gòu)建安全的應(yīng)用程序、系統(tǒng)和服務(wù)。在這方面，沃爾瑪作為行業(yè)先驅(qū)表現(xiàn)突出，公司早已重視信息安全。將CISO的職位提升到沃爾瑪?shù)膱?zhí)行副總裁級別，在全球范圍內(nèi)都是罕見的現(xiàn)象?！盙eisler說。

他補(bǔ)充道：“這一積極趨勢突顯了CISO在各行業(yè)中塑造業(yè)務(wù)級決策的重要性日益增加?！?/p>

Geisler是今年10位CSO名人堂入選者之一，他的觀察并非孤立。2024年名人堂的其他成員也認(rèn)為，CISO角色正從其傳統(tǒng)的技術(shù)根源轉(zhuǎn)變?yōu)楦呒墤?zhàn)略性高管職能。隨著這一轉(zhuǎn)變，賦予安全主管的職責(zé)范圍也在不斷擴(kuò)大。

“當(dāng)我剛開始職業(yè)生涯時(shí)，網(wǎng)絡(luò)安全被嵌入在IT中，而IT當(dāng)時(shí)仍然被視為后臺職能。網(wǎng)絡(luò)安全更多地被視為一種保險(xiǎn)，但現(xiàn)在它已經(jīng)演變?yōu)橐环N前臺職能，是一種區(qū)分性優(yōu)勢，并幫助推動業(yè)務(wù)增長。”GE Vernova的全球副總裁兼CISO Teresa Zielinski表示，“今天，CISO的角色正在進(jìn)一步發(fā)展。我們現(xiàn)在看到它演變?yōu)橐粋€(gè)更具戰(zhàn)略性的高管角色，不僅引領(lǐng)網(wǎng)絡(luò)安全，還涵蓋風(fēng)險(xiǎn)和韌性?！?/p>

更多職責(zé)，更多責(zé)任

自1990年代中期以來，首席安全官的工作一直處于變革之中，Zielinski的職業(yè)生涯也反映了這一角色的變化軌跡。

與許多CISO一樣，Zielinski最初在IT領(lǐng)域工作，12年后她于2009年轉(zhuǎn)入網(wǎng)絡(luò)安全領(lǐng)域，當(dāng)時(shí)她被要求領(lǐng)導(dǎo)一個(gè)應(yīng)對安全事件的團(tuán)隊(duì)。

Zielinski很快意識到，網(wǎng)絡(luò)安全不僅僅是防止不良事件發(fā)生，還可以用于支持業(yè)務(wù)目標(biāo)。

她看到，網(wǎng)絡(luò)安全貫穿所有職能，了解驅(qū)動業(yè)務(wù)的流程和技術(shù)，使安全領(lǐng)導(dǎo)者能夠掌握全局，安全團(tuán)隊(duì)不僅熟悉企業(yè)面臨的各種風(fēng)險(xiǎn)、法規(guī)和要求，還通過與IT合作確保產(chǎn)品安全，連接客戶并影響客戶的體驗(yàn)和對公司的信任感。

“網(wǎng)絡(luò)安全必須貫穿每個(gè)職能，彌補(bǔ)差距，確保流程按預(yù)期運(yùn)作，”她說，“在安全領(lǐng)域，你必須了解客戶的需求，了解需要滿足的法規(guī)，并利用這種理解影響你的高管同事。當(dāng)我看到這一點(diǎn)時(shí)，我意識到這個(gè)角色更大，不僅僅是將網(wǎng)絡(luò)安全作為一種保險(xiǎn)，而是主動推動業(yè)務(wù)發(fā)展?！?/p>

她提到，越來越多的企業(yè)正在采用“安全優(yōu)先思維”，作為證明。即在數(shù)字產(chǎn)品的開發(fā)過程中，從一開始就將安全內(nèi)置其中，而非事后考慮——就像汽車生產(chǎn)時(shí)不會在安全性方面馬虎，安全性是其中不可或缺的一部分。

“沒有人會買一輛沒有安全功能的汽車。同樣，數(shù)字產(chǎn)品，尤其是AI和GenAI服務(wù)，也必須具備安全功能?！彼f。

此外，Zielinski預(yù)計(jì)未來會有更多CISO承擔(dān)更廣泛的職責(zé)，并逐步進(jìn)入企業(yè)領(lǐng)導(dǎo)層的最高階層。

更具體地說，她認(rèn)為網(wǎng)絡(luò)安全職責(zé)將與風(fēng)險(xiǎn)和韌性責(zé)任相融合，這是合乎邏輯的，因?yàn)榫W(wǎng)絡(luò)安全、風(fēng)險(xiǎn)管理和韌性建設(shè)都是關(guān)于識別和彌補(bǔ)漏洞，確保企業(yè)不僅能夠在事件中幸存下來，甚至能在面對各種風(fēng)險(xiǎn)時(shí)繼續(xù)發(fā)展壯大。

“CISO和首席風(fēng)險(xiǎn)官將更緊密地合作，或者這兩個(gè)職位可能會合并為一個(gè)，不僅負(fù)責(zé)網(wǎng)絡(luò)安全，還負(fù)責(zé)風(fēng)險(xiǎn)管理和韌性建設(shè)?！盳ielinski補(bǔ)充道。

加拿大國家鐵路公司的CISO Vaughn Hazen也表示，他同樣看到CISO這一職位在承擔(dān)比以往更多的風(fēng)險(xiǎn)管理職責(zé)。

“實(shí)際上，這已經(jīng)本質(zhì)上是一個(gè)風(fēng)險(xiǎn)管理的角色，核心在于管理風(fēng)險(xiǎn)?！彼f。他還指出，日益增多的安全法規(guī)推動了CISO在承擔(dān)更多合規(guī)元素方面的職責(zé)。

他提到，如今的CISO往往負(fù)責(zé)數(shù)據(jù)隱私，并且越來越多的CISO開始承擔(dān)第三方風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)的管理——他預(yù)計(jì)這一趨勢將持續(xù)下去。

這些趨勢加大了CISO的壓力，同時(shí)也提高了他們的責(zé)任感，他補(bǔ)充道。

“你必須清楚了解自己暴露于哪些風(fēng)險(xiǎn)之下，因此你必須理解業(yè)務(wù)及這些風(fēng)險(xiǎn)對業(yè)務(wù)的潛在影響，你還必須理解你所制定的政策、流程和技術(shù)對風(fēng)險(xiǎn)及整個(gè)企業(yè)的影響，并且，你必須能夠?yàn)樽约旱臎Q策進(jìn)行辯護(hù)?！盚azen說道，“你必須培養(yǎng)這樣一種心態(tài)：‘如果我需要在法庭上為我的立場辯護(hù)，我是否會對自己做出的決策感到放心?’并且，答案必須是肯定的?！?/p>

首席網(wǎng)絡(luò)與風(fēng)險(xiǎn)官的崛起

Softbank Investment Advisers的CISO Gary Hayslip也看到了類似的趨勢。

“我現(xiàn)在認(rèn)為這個(gè)角色是利用技術(shù)、人員和流程來管理風(fēng)險(xiǎn)?！彼f，并將這一變化視為首席安全官職位逐漸成熟的一部分。

他補(bǔ)充道，這反過來正在重塑CISO的職責(zé)，并改變這一職位在許多企業(yè)中的性質(zhì)。

他了解到，有些CISO職位負(fù)責(zé)治理、風(fēng)險(xiǎn)和合規(guī)(GRC)，有些負(fù)責(zé)風(fēng)險(xiǎn)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，還有一些負(fù)責(zé)風(fēng)險(xiǎn)和IT。他預(yù)計(jì)未來的職位名稱將反映出這種整合趨勢，CISO將演變?yōu)槭紫W(wǎng)絡(luò)與風(fēng)險(xiǎn)官或首席網(wǎng)絡(luò)與隱私官(這一變化已經(jīng)在少數(shù)企業(yè)中開始出現(xiàn))。

“這種整合將成為常態(tài)?！盚ayslip補(bǔ)充道。

PNC Bank的執(zhí)行副總裁兼CISO Susan Koski也認(rèn)為CISOs將承擔(dān)更多職責(zé)。

“CISOs的職責(zé)范圍非常廣泛，必須從技術(shù)轉(zhuǎn)向法律、市場營銷、溝通、關(guān)系管理和財(cái)務(wù)等領(lǐng)域?！彼f，“這導(dǎo)致越來越多的CISOs被要求承擔(dān)更廣泛的角色，有些甚至成為CIO，另外，包含物理安全和欺詐管理的自然演變也在發(fā)生，某些功能的融合可以實(shí)現(xiàn)最優(yōu)的交付，該職位將繼續(xù)發(fā)展，特別是在身份驗(yàn)證方面——需要適當(dāng)且持續(xù)地驗(yàn)證客戶和員工，并減少對易受釣魚攻擊的憑證的依賴。”

然而，2024年名人堂的成員們表示，所有這些變化并不能替代或超越CISO對技術(shù)的精通和對網(wǎng)絡(luò)安全操作的基礎(chǔ)知識以及不斷發(fā)展的最佳實(shí)踐的深刻理解。

“網(wǎng)絡(luò)安全還是網(wǎng)絡(luò)安全，你仍然需要做基本的網(wǎng)絡(luò)衛(wèi)生工作?！盚ayslip說道。

職位進(jìn)化的驅(qū)動力

許多因素推動了CISO角色的演變，并且未來還會繼續(xù)推動這種演變，而一個(gè)重要的驅(qū)動因素是過去二十多年間數(shù)字化的到來。

“在當(dāng)今的商業(yè)環(huán)境下，安全與運(yùn)營更加緊密地交織在一起。如果你無法做好安全工作，現(xiàn)在對業(yè)務(wù)的影響要比過去顯得更為顯著。”Hayslip表示。

展望未來，Geisler認(rèn)為，技術(shù)環(huán)境的變化將繼續(xù)推動CISO角色的演變。

“在不斷變化的技術(shù)環(huán)境中，CISO角色對企業(yè)至關(guān)重要，并將持續(xù)演變。作為職能領(lǐng)導(dǎo)者，CISO需要應(yīng)對從自動化到GenAI等技術(shù)進(jìn)步，跟隨技術(shù)的發(fā)展方向?！彼f，“雖然AI主導(dǎo)了當(dāng)前的討論，但量子計(jì)算的未來也日益臨近。在未來五到七年內(nèi)，量子計(jì)算有望與當(dāng)前的GenAI平分秋色。數(shù)據(jù)量、處理需求和速度將成為許多CISO關(guān)注的首要問題?！?/p>

其他入選者也提到，AI和量子計(jì)算將塑造未來幾年CISO的工作，進(jìn)一步推動安全與業(yè)務(wù)流程和產(chǎn)品的深度整合。

入選者們還認(rèn)為，日益增多的安全相關(guān)法規(guī)和安全相關(guān)要求(如數(shù)據(jù)隱私法律和標(biāo)準(zhǔn))也將擴(kuò)大CISO的職責(zé)范圍，并提升其角色的重要性和影響力。

他們還相信，CISO面臨的個(gè)人和職業(yè)責(zé)任日益增加，這正在推動CISO角色的變化。

這種責(zé)任感使安全負(fù)責(zé)人得到了所謂的“在高管會議上的席位”，參與董事會會議，并受到公司董事和高管責(zé)任險(xiǎn)(D&O保險(xiǎn))的保障——未來幾年內(nèi)，越來越多的CISO將獲得這些待遇。

此外，CISO的發(fā)言權(quán)和執(zhí)行安全措施的權(quán)力也在不斷增加。

Hayslip表示，這將使越來越多的CISO領(lǐng)導(dǎo)者“像他們應(yīng)有的那樣被視為高管角色?！?/p>