近年來，網(wǎng)絡(luò)安全已成為企業(yè)運營中風(fēng)險最高的方面之一。CISO這一職位，曾經(jīng)只是后臺辦公職能，主要側(cè)重于技術(shù)監(jiān)督，如今已赫然成為高管的焦點。

CISO現(xiàn)在肩負著巨大責任，不僅要保護公司數(shù)據(jù)和資產(chǎn)，還要維護對公司的信任。每一次備受矚目的數(shù)據(jù)泄露事件都會加劇這種壓力，許多CISO發(fā)現(xiàn)自己不得不面對一個令人不安的問題：“如果我們遭遇數(shù)據(jù)泄露，我會丟掉工作嗎?”

數(shù)據(jù)說明了情況：根據(jù)我們與Wakefield Research最近對200名CISO進行的一項調(diào)查，幾乎所有的CISO(99%)都擔心在發(fā)生安全漏洞時自己的工作保障問題，其中77%的受訪者表示他們非?；驑O其擔心。

這種擔憂并非沒有根據(jù)——CISO比大多數(shù)人更清楚網(wǎng)絡(luò)攻擊成功可能帶來的后果，包括經(jīng)濟損失、監(jiān)管罰款、品牌損害以及股東訴訟。隨著網(wǎng)絡(luò)安全復(fù)雜性的增加，風(fēng)險也隨之加劇。

CISO角色的演變

CISO的角色已經(jīng)發(fā)生了巨大變化。如今的CISO不再是單純的守門人，他們是戰(zhàn)略家、風(fēng)險管理者，并且在危機時刻(往往)還是發(fā)言人。他們需要緩解復(fù)雜威脅，確保遵守不斷擴展的法規(guī)清單，并以能引起董事會成員共鳴的商業(yè)術(shù)語解釋網(wǎng)絡(luò)安全策略，而這些董事會成員可能仍然難以完全理解網(wǎng)絡(luò)風(fēng)險的全部影響。

這種擴展的職責范圍使工作變得更加具有挑戰(zhàn)性。他們不僅要保護企業(yè)免受高級威脅的侵害，還要承受證明預(yù)算合理性、證明投資回報率以及平衡安全與用戶體驗的壓力。這種壓力可能令人難以承受，風(fēng)險也似乎關(guān)乎存亡。避免這種命運的巨大壓力讓他們不堪重負，使得這一職位的日常要求更加令人畏懼。

為何數(shù)據(jù)泄露焦慮達到歷史最高點

CISO對工作安全的擔憂不僅僅關(guān)乎個人責任——這也與工作本身日益增長的難度息息相關(guān)。

我們面臨著一個網(wǎng)絡(luò)攻擊更加頻繁且日益復(fù)雜的環(huán)境。網(wǎng)絡(luò)犯罪分子資金更充裕、企業(yè)更嚴密、手段更高明。勒索軟件攻擊已成為威脅行為者的一種有利可圖的商業(yè)模式，且這些攻擊的數(shù)量和嚴重程度都在增加。

隨著許多企業(yè)現(xiàn)在嚴重依賴第三方供應(yīng)商和遠程員工，攻擊面已大幅擴大。物聯(lián)網(wǎng)設(shè)備、云應(yīng)用程序和遠程訪問解決方案都引入了新的漏洞，每個漏洞都需要仔細監(jiān)督。

不幸的現(xiàn)實是，沒有萬無一失的系統(tǒng)。在許多情況下，CISO不得不在預(yù)算、技術(shù)或人才限制下開展工作，這使得“完美”的安全幾乎不可能實現(xiàn)。這就是為什么CISO感到壓力巨大的原因：一次疏忽、一個未發(fā)現(xiàn)的漏洞，以及由此導(dǎo)致的數(shù)據(jù)泄露，可能會讓他們不僅失去信譽，還會丟掉工作。

責任轉(zhuǎn)移

CISO如今感受到的脆弱感因董事會責任模式的轉(zhuǎn)變而加劇。隨著網(wǎng)絡(luò)安全事件越來越頻繁地成為頭版新聞，董事會和高管團隊正在密切關(guān)注。這種增加的審查是一把雙刃劍：一方面，這可能意味著更多的支持和資源，另一方面，這往往意味著CISO處于眾目睽睽之下的困境。

此外，網(wǎng)絡(luò)安全仍然是一個快速發(fā)展的領(lǐng)域，缺乏長期存在的最佳實踐。這是一個需要不斷適應(yīng)的領(lǐng)域，伴隨著一定程度的試錯。當錯誤發(fā)生時——尤其是導(dǎo)致數(shù)據(jù)泄露的錯誤——CISO的角色就會受到嚴格審查。雖然整個企業(yè)都可能在網(wǎng)絡(luò)安全方面發(fā)揮作用，但CISO往往要承擔主要的責任。這種動態(tài)讓許多處于這個職位的人感到不安，而有99%的CISO擔心在發(fā)生數(shù)據(jù)泄露時會失去工作，這一點就清楚地說明了這個問題。

解決工作安全擔憂的根本原因

那么，應(yīng)該怎么辦呢?企業(yè)和CISO都有責任重新調(diào)整期望并解決這些普遍存在的工作安全擔憂的根本原因。

對于企業(yè)而言，一個起點是將網(wǎng)絡(luò)安全從被動防御轉(zhuǎn)變?yōu)橹鲃臃烙?。投資于持續(xù)改進——無論是通過先進的安全技術(shù)、員工培訓(xùn)還是網(wǎng)絡(luò)保險——都是至關(guān)重要的。

僅靠投資是不夠的，董事會和高管團隊必須與CISO合作，建立現(xiàn)實的期望，并理解即使是最好的防御也可能被突破。定期、透明的溝通可以幫助確保在發(fā)生數(shù)據(jù)泄露時，CISO不會感到自己是唯一需要負責的人，并且確保整個企業(yè)都彌漫著一種共同責任的文化。

對于CISO而言，專注于培養(yǎng)韌性至關(guān)重要。這意味著不僅要加強防御，還要建立強大的事件響應(yīng)能力，鼓勵跨職能協(xié)作，并倡導(dǎo)獲得有效完成工作所需的工具和資源。

也許最重要的是，要讓網(wǎng)絡(luò)安全成為各部門的共同責任。讓全體員工參與的教育和培訓(xùn)計劃可以建立一道防線，并有助于減輕人為錯誤的影響——而人為錯誤是攻擊者常見的切入點。

CISO工作安全的未來

前進的道路充滿挑戰(zhàn)，但也充滿機遇。隨著網(wǎng)絡(luò)安全繼續(xù)成為各行各業(yè)企業(yè)的首要任務(wù)，CISO的角色將只會變得更加具有影響力。

我們需要努力營造一種文化，承認安全領(lǐng)導(dǎo)者的重要性，并認識到他們面臨的獨特壓力。構(gòu)建一個環(huán)境，讓CISO可以專注于保護企業(yè)，而不必時刻擔心自己的工作，這不僅有利于處于這個職位的人，也有利于他們服務(wù)的公司。

今天，沒有人能保證一個無數(shù)據(jù)泄露的未來，但通過建立現(xiàn)實的期望、投資于韌性并促進共同責任的文化，我們可以確保CISO不必獨自承擔重壓。對于我們這些從事網(wǎng)絡(luò)安全工作的人來說，這應(yīng)該是我們的共同使命——創(chuàng)建一個行業(yè)，讓安全領(lǐng)導(dǎo)者獲得授權(quán)、支持和重視，因為他們在保護我們安全方面發(fā)揮著至關(guān)重要的作用。