作為沃爾瑪?shù)膱?zhí)行副總裁兼CISO,Jerry Geisler是該公司的頂級(jí)高管。
這一職位,加上公司在網(wǎng)絡(luò)安全項(xiàng)目上的持續(xù)投資,反映了沃爾瑪對(duì)“成為一個(gè)網(wǎng)絡(luò)安全公司”的承諾,他表示。
更重要的是,這也突顯了CISO角色的持續(xù)演變。
“過(guò)去,安全常常是數(shù)字化領(lǐng)域的事后考慮,然而,到2024年,各企業(yè)正在優(yōu)先考慮構(gòu)建安全的應(yīng)用程序、系統(tǒng)和服務(wù)。在這方面,沃爾瑪作為行業(yè)先驅(qū)表現(xiàn)突出,公司早已重視信息安全。將CISO的職位提升到沃爾瑪?shù)膱?zhí)行副總裁級(jí)別,在全球范圍內(nèi)都是罕見(jiàn)的現(xiàn)象。”Geisler說(shuō)。
他補(bǔ)充道:“這一積極趨勢(shì)突顯了CISO在各行業(yè)中塑造業(yè)務(wù)級(jí)決策的重要性日益增加。”
Geisler是今年10位CSO名人堂入選者之一,他的觀察并非孤立。2024年名人堂的其他成員也認(rèn)為,CISO角色正從其傳統(tǒng)的技術(shù)根源轉(zhuǎn)變?yōu)楦呒?jí)戰(zhàn)略性高管職能。隨著這一轉(zhuǎn)變,賦予安全主管的職責(zé)范圍也在不斷擴(kuò)大。
“當(dāng)我剛開始職業(yè)生涯時(shí),網(wǎng)絡(luò)安全被嵌入在IT中,而IT當(dāng)時(shí)仍然被視為后臺(tái)職能。網(wǎng)絡(luò)安全更多地被視為一種保險(xiǎn),但現(xiàn)在它已經(jīng)演變?yōu)橐环N前臺(tái)職能,是一種區(qū)分性優(yōu)勢(shì),并幫助推動(dòng)業(yè)務(wù)增長(zhǎng)。”GE Vernova的全球副總裁兼CISO Teresa Zielinski表示,“今天,CISO的角色正在進(jìn)一步發(fā)展。我們現(xiàn)在看到它演變?yōu)橐粋€(gè)更具戰(zhàn)略性的高管角色,不僅引領(lǐng)網(wǎng)絡(luò)安全,還涵蓋風(fēng)險(xiǎn)和韌性。”
更多職責(zé),更多責(zé)任
自1990年代中期以來(lái),首席安全官的工作一直處于變革之中,Zielinski的職業(yè)生涯也反映了這一角色的變化軌跡。
與許多CISO一樣,Zielinski最初在IT領(lǐng)域工作,12年后她于2009年轉(zhuǎn)入網(wǎng)絡(luò)安全領(lǐng)域,當(dāng)時(shí)她被要求領(lǐng)導(dǎo)一個(gè)應(yīng)對(duì)安全事件的團(tuán)隊(duì)。
Zielinski很快意識(shí)到,網(wǎng)絡(luò)安全不僅僅是防止不良事件發(fā)生,還可以用于支持業(yè)務(wù)目標(biāo)。
她看到,網(wǎng)絡(luò)安全貫穿所有職能,了解驅(qū)動(dòng)業(yè)務(wù)的流程和技術(shù),使安全領(lǐng)導(dǎo)者能夠掌握全局,安全團(tuán)隊(duì)不僅熟悉企業(yè)面臨的各種風(fēng)險(xiǎn)、法規(guī)和要求,還通過(guò)與IT合作確保產(chǎn)品安全,連接客戶并影響客戶的體驗(yàn)和對(duì)公司的信任感。
“網(wǎng)絡(luò)安全必須貫穿每個(gè)職能,彌補(bǔ)差距,確保流程按預(yù)期運(yùn)作,”她說(shuō),“在安全領(lǐng)域,你必須了解客戶的需求,了解需要滿足的法規(guī),并利用這種理解影響你的高管同事。當(dāng)我看到這一點(diǎn)時(shí),我意識(shí)到這個(gè)角色更大,不僅僅是將網(wǎng)絡(luò)安全作為一種保險(xiǎn),而是主動(dòng)推動(dòng)業(yè)務(wù)發(fā)展。”
她提到,越來(lái)越多的企業(yè)正在采用“安全優(yōu)先思維”,作為證明。即在數(shù)字產(chǎn)品的開發(fā)過(guò)程中,從一開始就將安全內(nèi)置其中,而非事后考慮——就像汽車生產(chǎn)時(shí)不會(huì)在安全性方面馬虎,安全性是其中不可或缺的一部分。
“沒(méi)有人會(huì)買一輛沒(méi)有安全功能的汽車。同樣,數(shù)字產(chǎn)品,尤其是AI和GenAI服務(wù),也必須具備安全功能。”她說(shuō)。
此外,Zielinski預(yù)計(jì)未來(lái)會(huì)有更多CISO承擔(dān)更廣泛的職責(zé),并逐步進(jìn)入企業(yè)領(lǐng)導(dǎo)層的最高階層。
更具體地說(shuō),她認(rèn)為網(wǎng)絡(luò)安全職責(zé)將與風(fēng)險(xiǎn)和韌性責(zé)任相融合,這是合乎邏輯的,因?yàn)榫W(wǎng)絡(luò)安全、風(fēng)險(xiǎn)管理和韌性建設(shè)都是關(guān)于識(shí)別和彌補(bǔ)漏洞,確保企業(yè)不僅能夠在事件中幸存下來(lái),甚至能在面對(duì)各種風(fēng)險(xiǎn)時(shí)繼續(xù)發(fā)展壯大。
“CISO和首席風(fēng)險(xiǎn)官將更緊密地合作,或者這兩個(gè)職位可能會(huì)合并為一個(gè),不僅負(fù)責(zé)網(wǎng)絡(luò)安全,還負(fù)責(zé)風(fēng)險(xiǎn)管理和韌性建設(shè)。”Zielinski補(bǔ)充道。
加拿大國(guó)家鐵路公司的CISO Vaughn Hazen也表示,他同樣看到CISO這一職位在承擔(dān)比以往更多的風(fēng)險(xiǎn)管理職責(zé)。
“實(shí)際上,這已經(jīng)本質(zhì)上是一個(gè)風(fēng)險(xiǎn)管理的角色,核心在于管理風(fēng)險(xiǎn)。”他說(shuō)。他還指出,日益增多的安全法規(guī)推動(dòng)了CISO在承擔(dān)更多合規(guī)元素方面的職責(zé)。
他提到,如今的CISO往往負(fù)責(zé)數(shù)據(jù)隱私,并且越來(lái)越多的CISO開始承擔(dān)第三方風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)的管理——他預(yù)計(jì)這一趨勢(shì)將持續(xù)下去。
這些趨勢(shì)加大了CISO的壓力,同時(shí)也提高了他們的責(zé)任感,他補(bǔ)充道。
“你必須清楚了解自己暴露于哪些風(fēng)險(xiǎn)之下,因此你必須理解業(yè)務(wù)及這些風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的潛在影響,你還必須理解你所制定的政策、流程和技術(shù)對(duì)風(fēng)險(xiǎn)及整個(gè)企業(yè)的影響,并且,你必須能夠?yàn)樽约旱臎Q策進(jìn)行辯護(hù)。”Hazen說(shuō)道,“你必須培養(yǎng)這樣一種心態(tài):‘如果我需要在法庭上為我的立場(chǎng)辯護(hù),我是否會(huì)對(duì)自己做出的決策感到放心?’并且,答案必須是肯定的。”
首席網(wǎng)絡(luò)與風(fēng)險(xiǎn)官的崛起
Softbank Investment Advisers的CISO Gary Hayslip也看到了類似的趨勢(shì)。
“我現(xiàn)在認(rèn)為這個(gè)角色是利用技術(shù)、人員和流程來(lái)管理風(fēng)險(xiǎn)。”他說(shuō),并將這一變化視為首席安全官職位逐漸成熟的一部分。
他補(bǔ)充道,這反過(guò)來(lái)正在重塑CISO的職責(zé),并改變這一職位在許多企業(yè)中的性質(zhì)。
他了解到,有些CISO職位負(fù)責(zé)治理、風(fēng)險(xiǎn)和合規(guī)(GRC),有些負(fù)責(zé)風(fēng)險(xiǎn)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施,還有一些負(fù)責(zé)風(fēng)險(xiǎn)和IT。他預(yù)計(jì)未來(lái)的職位名稱將反映出這種整合趨勢(shì),CISO將演變?yōu)槭紫W(wǎng)絡(luò)與風(fēng)險(xiǎn)官或首席網(wǎng)絡(luò)與隱私官(這一變化已經(jīng)在少數(shù)企業(yè)中開始出現(xiàn))。
“這種整合將成為常態(tài)。”Hayslip補(bǔ)充道。
PNC Bank的執(zhí)行副總裁兼CISO Susan Koski也認(rèn)為CISOs將承擔(dān)更多職責(zé)。
“CISOs的職責(zé)范圍非常廣泛,必須從技術(shù)轉(zhuǎn)向法律、市場(chǎng)營(yíng)銷、溝通、關(guān)系管理和財(cái)務(wù)等領(lǐng)域。”她說(shuō),“這導(dǎo)致越來(lái)越多的CISOs被要求承擔(dān)更廣泛的角色,有些甚至成為CIO,另外,包含物理安全和欺詐管理的自然演變也在發(fā)生,某些功能的融合可以實(shí)現(xiàn)最優(yōu)的交付,該職位將繼續(xù)發(fā)展,特別是在身份驗(yàn)證方面——需要適當(dāng)且持續(xù)地驗(yàn)證客戶和員工,并減少對(duì)易受釣魚攻擊的憑證的依賴。”
然而,2024年名人堂的成員們表示,所有這些變化并不能替代或超越CISO對(duì)技術(shù)的精通和對(duì)網(wǎng)絡(luò)安全操作的基礎(chǔ)知識(shí)以及不斷發(fā)展的最佳實(shí)踐的深刻理解。
“網(wǎng)絡(luò)安全還是網(wǎng)絡(luò)安全,你仍然需要做基本的網(wǎng)絡(luò)衛(wèi)生工作。”Hayslip說(shuō)道。
職位進(jìn)化的驅(qū)動(dòng)力
許多因素推動(dòng)了CISO角色的演變,并且未來(lái)還會(huì)繼續(xù)推動(dòng)這種演變,而一個(gè)重要的驅(qū)動(dòng)因素是過(guò)去二十多年間數(shù)字化的到來(lái)。
“在當(dāng)今的商業(yè)環(huán)境下,安全與運(yùn)營(yíng)更加緊密地交織在一起。如果你無(wú)法做好安全工作,現(xiàn)在對(duì)業(yè)務(wù)的影響要比過(guò)去顯得更為顯著。”Hayslip表示。
展望未來(lái),Geisler認(rèn)為,技術(shù)環(huán)境的變化將繼續(xù)推動(dòng)CISO角色的演變。
“在不斷變化的技術(shù)環(huán)境中,CISO角色對(duì)企業(yè)至關(guān)重要,并將持續(xù)演變。作為職能領(lǐng)導(dǎo)者,CISO需要應(yīng)對(duì)從自動(dòng)化到GenAI等技術(shù)進(jìn)步,跟隨技術(shù)的發(fā)展方向。”他說(shuō),“雖然AI主導(dǎo)了當(dāng)前的討論,但量子計(jì)算的未來(lái)也日益臨近。在未來(lái)五到七年內(nèi),量子計(jì)算有望與當(dāng)前的GenAI平分秋色。數(shù)據(jù)量、處理需求和速度將成為許多CISO關(guān)注的首要問(wèn)題。”
其他入選者也提到,AI和量子計(jì)算將塑造未來(lái)幾年CISO的工作,進(jìn)一步推動(dòng)安全與業(yè)務(wù)流程和產(chǎn)品的深度整合。
入選者們還認(rèn)為,日益增多的安全相關(guān)法規(guī)和安全相關(guān)要求(如數(shù)據(jù)隱私法律和標(biāo)準(zhǔn))也將擴(kuò)大CISO的職責(zé)范圍,并提升其角色的重要性和影響力。
他們還相信,CISO面臨的個(gè)人和職業(yè)責(zé)任日益增加,這正在推動(dòng)CISO角色的變化。
這種責(zé)任感使安全負(fù)責(zé)人得到了所謂的“在高管會(huì)議上的席位”,參與董事會(huì)會(huì)議,并受到公司董事和高管責(zé)任險(xiǎn)(D&O保險(xiǎn))的保障——未來(lái)幾年內(nèi),越來(lái)越多的CISO將獲得這些待遇。
此外,CISO的發(fā)言權(quán)和執(zhí)行安全措施的權(quán)力也在不斷增加。
Hayslip表示,這將使越來(lái)越多的CISO領(lǐng)導(dǎo)者“像他們應(yīng)有的那樣被視為高管角色。”
企業(yè)網(wǎng)D1net(r5u5c.cn):
國(guó)內(nèi)主流的to B IT門戶,旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。