CISO（首席信息安全官）角色經(jīng)常被高管、董事會成員，甚至自己的團隊成員誤解。這些誤解不僅限制了 CISO 的真正潛力，更可能危及整個組織的安全態(tài)勢。以下是關(guān)于CISO的七大誤解：

1.CISO只是"安全人員"

CISO不僅僅是負責更改密碼、應(yīng)用補丁和設(shè)置防火墻的人。如今的CISO通常不太參與日常運營。

他們更關(guān)注大局問題，比如在云中保護工作負載和應(yīng)用程序，以及AI工具。此外，他們有時還會參與并購戰(zhàn)略，評估潛在收購目標的安全狀況，以識別可能影響估值、合規(guī)性或與現(xiàn)有公司業(yè)務(wù)整合的任何風險。

很多人誤認為，CISO的日常工作主要是應(yīng)對事件和了解新興威脅。Liberty Mutual保險公司執(zhí)行副總裁兼CISO Katie Jenkins就有這樣的體會。她更正說，雖然在日常工作中她確實需要處理這樣的工作，但是她的時間也花在主動規(guī)劃、與利益相關(guān)者溝通上，以了解他們的優(yōu)先事項，并開展培訓(xùn)工作，其中也包括自我培訓(xùn)。此外，她補充說，由于網(wǎng)絡(luò)安全領(lǐng)域變化太快，她需要投入時間跟進研究，并與其他CISO進行交流。

專家表示，除了保護基礎(chǔ)設(shè)施外，一個高效的CISO還要專注于保護業(yè)務(wù)。這需要了解安全如何融入業(yè)務(wù)；不僅僅是專注于風險管理，還要確保安全幫助公司發(fā)展而不會創(chuàng)造其他問題。

是時候?qū)ISO視為戰(zhàn)略業(yè)務(wù)領(lǐng)導(dǎo)者，而不僅僅是“技術(shù)執(zhí)行者"。

2.安全純粹是技術(shù)功能

盡管擁有世界上最好的工具和最好的安全堆棧，如果員工仍然隨意點擊釣魚鏈接或重復(fù)使用弱密碼，這一切都將是白費。因此CISO角色正在演變，他們必須扮演多種角色，充當心理學(xué)家、教育者和外交官，以說服人們安全是每個人的工作。

這是因為在通常情況下，沒有人會考慮太多安全問題，直到問題出現(xiàn)。此外，領(lǐng)導(dǎo)層可能不認為安全是企業(yè)文化的一部分。專家表示，一個強大的CISO花在與人合作上的時間應(yīng)該與使用工具的時間一樣多。

安全資源公司LLC.org的CISO Sam Taylor說："我已經(jīng)數(shù)不清有多少次有人認為我的一天都在配置防火墻或修補漏洞。"但是實際上，她工作的約70%是風險管理、溝通，并確保安全在高管層面受到重視。她在董事會會議室花的時間甚至比在安全運營中心花的時間還多。

“領(lǐng)導(dǎo)團隊不關(guān)心技術(shù)術(shù)語；他們關(guān)心的是財務(wù)方面的風險。"她說。當Taylor解釋弱安全態(tài)勢可能會導(dǎo)致數(shù)百萬美元的收入損失、法律費用和監(jiān)管罰款時，他們就會傾聽。

在她看來，CIOS的角色因此已經(jīng)改變，不能與時俱進的CISO很難在組織內(nèi)部產(chǎn)生真正的影響。這樣，她說："一家公司即便擁有市場上最好的安全工具，如果安全不是文化的一部分，數(shù)據(jù)泄露事件仍然會發(fā)生。"

這一切應(yīng)該從高層開始做起。然而，"仍有相當多的董事會和業(yè)務(wù)領(lǐng)導(dǎo)者將網(wǎng)絡(luò)安全視為IT功能而非業(yè)務(wù)風險問題，"MorganFranklin Cyber的Allen說，"我在金融行業(yè)的一位同行指出，他們的董事會期望通過工具和軟件來解決安全威脅，而沒有認識到治理、員工培訓(xùn)和文化變革的重要性。"

許多人認為網(wǎng)絡(luò)安全是一個技術(shù)問題，LexisNexis Risk Solutions的技術(shù)高級副總裁兼全球CISO Flavio Villanustre表示同意。"這遠非事實?，F(xiàn)代CISO負責網(wǎng)絡(luò)安全的所有方面，遠遠超出其技術(shù)組件和影響，"他說。

關(guān)于CISO角色的誤解在特定行業(yè)中尤為明顯。例如，在媒體和電信行業(yè)，安全通常被視為合規(guī)性檢查項或IT功能，而不是業(yè)務(wù)彈性的基本推動者。Allen舉例說，一位數(shù)字媒體機構(gòu)安全高管曾分享，該機構(gòu)領(lǐng)導(dǎo)層專注于監(jiān)管合規(guī)，但忽視了主動安全投資，直到一次嚴重的數(shù)據(jù)泄露事件危及了用戶數(shù)據(jù)。

"在科技公司，安全有時被視為一個工程問題，高管們認為DevOps團隊可以在沒有專門治理的情況下處理安全問題。"Allen指出，"現(xiàn)實是，安全需要融入業(yè)務(wù)戰(zhàn)略，從媒體的知識產(chǎn)權(quán)保護到保護電信網(wǎng)絡(luò)免受國家級威脅。"

3.CISO對網(wǎng)絡(luò)安全擁有完全控制權(quán)

許多高管和董事會認為聘請CISO意味著安全就得到了保障，CISO對安全戰(zhàn)略擁有完全自主權(quán)。事實上，網(wǎng)絡(luò)安全應(yīng)該是全公司的責任，而且安全領(lǐng)導(dǎo)者通常在激進的產(chǎn)品路線圖、緊張的預(yù)算和高管風險容忍度的限制下工作。而當事件發(fā)生時，CISO經(jīng)常被追究責任，即使安全建議已被業(yè)務(wù)降低了優(yōu)先級。

對此MorganFranklin Cyber的Allen表示，沒有跨職能協(xié)作，CISO的影響是有限的。許多CISO在分享他們的倡導(dǎo)安全計劃時，經(jīng)常遇到領(lǐng)導(dǎo)層優(yōu)先考慮便利性或短期財務(wù)收益，而非長期風險降低的阻力。

例如，Allen的一位來自財富500強公司的前客戶告訴他，預(yù)算限制和業(yè)務(wù)風險容忍度經(jīng)常凌駕于安全建議之上。因此，安全領(lǐng)導(dǎo)者必須在艱難的妥協(xié)中前行，當事件發(fā)生時，他們卻可能會被不公平地指責。即使由于業(yè)務(wù)權(quán)衡，他們的建議沒有得到完全實施。

她舉例，一家快速擴張的SaaS公司前CISO曾透露，在領(lǐng)導(dǎo)層優(yōu)先考慮上市速度而非安全編碼實踐的情況下，執(zhí)行更嚴格安全措施就非常困難；而在電信領(lǐng)域，安全團隊可能會就保護關(guān)鍵基礎(chǔ)設(shè)施提供建議，但最終決策受業(yè)務(wù)優(yōu)先事項、監(jiān)管壓力和客戶需求的影響。

4.頭銜中的"C"意味著他們是公司的高管

CISO頭銜中有一個“C（首席）”字母，被誤認為是公司的高管。事實上，大多數(shù)CISO并不是公司的高管，他們的角色和頭銜在不同組織中可能有所不同，并非所有CISO都是傳統(tǒng)C級高管的一部分。

此外，在法律或監(jiān)管環(huán)境中，公司高管通常是由董事會任命并受特定SEC規(guī)則約束的人員。CISO通常不被視為這種意義上的公司高管。

有專家分析，高管和董事受公司的董事和高管保險政策保護。而當一個組織發(fā)生嚴重的網(wǎng)絡(luò)安全事件（如數(shù)據(jù)泄露、系統(tǒng)被黑客入侵等）時，如果CISO沒有適當?shù)姆杀Ｗo或保險保障，可能會面臨個人層面的法律責任和后果。

盡管CISO負責保護組織免受網(wǎng)絡(luò)威脅，但他們無法控制威脅環(huán)境本身，卻可能因安全事件而承擔個人法律責任。正可能因為這個原因，導(dǎo)致CISO平均任期短，范圍在18至26個月之間，遠低于C級高管的五年平均任期。

因此專家認為，對CISO和CISO候選人來說，詢問公司是否會為他們提供單獨的保險政策或其他保障措施，以確保他們在為公司最佳利益行事時不會被起訴至關(guān)重要。

5.CISO可以消除風險

人們有一種不切實際的期望，認為安全領(lǐng)導(dǎo)者應(yīng)該能夠在漏洞發(fā)生前阻止每一次漏洞。漏洞總會發(fā)生。安全專家表示，CISO重要的工作是最小化影響，保持系統(tǒng)彈性，并確保公司在之后迅速恢復(fù)。有效的安全防御不僅依賴于技術(shù)和專業(yè)團隊，還依賴于整個組織的安全意識和參與度

"人們常常認為CISO可以阻止所有攻擊，但這與事實相去甚遠，"網(wǎng)絡(luò)安全咨詢公司RedSecLabs的CEO兼創(chuàng)始人Rafay Baloch認為，安全事件的發(fā)生是時間問題而非可能性問題。

這源于一個重大誤解，即"網(wǎng)絡(luò)安全只由具有網(wǎng)絡(luò)安全職稱的人員完成“。而事實上，整個組織都是第一道防線。Liberty Mutual的Jenkins說，“需要每位員工都'披上斗篷'。”她舉例，Liberty Mutual的負責任防御者計劃要求公司全球4萬名員工"使用他們的培訓(xùn)和直覺，幫助網(wǎng)絡(luò)安全團隊識別并保護公司免受網(wǎng)絡(luò)攻擊。

6.CISO是創(chuàng)新的障礙

業(yè)務(wù)領(lǐng)導(dǎo)者通常將安全視為路障，并認為CISO通過極端風險評估和合規(guī)要求阻止創(chuàng)新。而另一方面，許多CISO堅持認為他們實際上通過確保創(chuàng)新安全來幫助企業(yè)更快前進。

事實上，安全應(yīng)被視為需要每個部門支持的全公司職能，CISO不應(yīng)被視為抵御網(wǎng)絡(luò)威脅的孤獨衛(wèi)士。

安全領(lǐng)導(dǎo)者常常被認為減緩了創(chuàng)新。Allen舉例說，初創(chuàng)公司可能抵制在用戶體驗中引入影響易用性的安全控制，而媒體公司可能反對數(shù)字版權(quán)管理(DRM)執(zhí)行，因為它使內(nèi)容分發(fā)復(fù)雜化。"實際上，CISO并非反對創(chuàng)新；他們是為了確保可持續(xù)增長，通過將安全嵌入數(shù)字轉(zhuǎn)型努力中，而不是后期添加。" Allen說。

在許多行業(yè)，CISO必須平衡風險與業(yè)務(wù)敏捷性、監(jiān)管需求與用戶體驗，以及網(wǎng)絡(luò)安全與企業(yè)創(chuàng)新目標。Allen說："他們的角色超出了技術(shù)監(jiān)督，他們必須是戰(zhàn)略合作伙伴，架起安全、產(chǎn)品開發(fā)和業(yè)務(wù)運營之間的橋梁。"

7.CISO沒有心理健康問題

有一種錯誤的印象，認為CISO可以處理工作壓力。盡管組織全天候全年無休地受到攻擊。人們認為達到CISO級別的網(wǎng)絡(luò)安全人員不必擔心自己的心理健康，Touhill認為這是"一個惡性神話"。

他強烈鼓勵CISO不僅要為安全團隊的心理健康制定計劃，還要有一個優(yōu)秀的副手，以便在自己休假的時候隨時接手工作。他補充說："如果馬拉松永不結(jié)束，你就無法贏得馬拉松。你必須照顧好自己，并時刻關(guān)注自己的心理健康，而不僅僅是你照顧和領(lǐng)導(dǎo)的人。"