CISO角色的下一步是什么?

責(zé)任編輯:cres

作者:Mary K. Pratt

2024-10-15 14:12:04

來(lái)源:企業(yè)網(wǎng)D1Net

原創(chuàng)

隨著數(shù)字化轉(zhuǎn)型的深入,CISO角色正在經(jīng)歷顯著的變化,逐漸從技術(shù)專家轉(zhuǎn)型為具備戰(zhàn)略眼光的高管。

CSO名人堂入選者預(yù)計(jì)未來(lái)幾年將承擔(dān)更廣泛的職責(zé)、面臨更多壓力并肩負(fù)更高的責(zé)任。

作為沃爾瑪?shù)膱?zhí)行副總裁兼CISO,Jerry Geisler是該公司的頂級(jí)高管。

這一職位,加上公司在網(wǎng)絡(luò)安全項(xiàng)目上的持續(xù)投資,反映了沃爾瑪對(duì)“成為一個(gè)網(wǎng)絡(luò)安全公司”的承諾,他表示。

更重要的是,這也突顯了CISO角色的持續(xù)演變。

“過(guò)去,安全常常是數(shù)字化領(lǐng)域的事后考慮,然而,到2024年,各企業(yè)正在優(yōu)先考慮構(gòu)建安全的應(yīng)用程序、系統(tǒng)和服務(wù)。在這方面,沃爾瑪作為行業(yè)先驅(qū)表現(xiàn)突出,公司早已重視信息安全。將CISO的職位提升到沃爾瑪?shù)膱?zhí)行副總裁級(jí)別,在全球范圍內(nèi)都是罕見(jiàn)的現(xiàn)象。”Geisler說(shuō)。

他補(bǔ)充道:“這一積極趨勢(shì)突顯了CISO在各行業(yè)中塑造業(yè)務(wù)級(jí)決策的重要性日益增加。”

Geisler是今年10位CSO名人堂入選者之一,他的觀察并非孤立。2024年名人堂的其他成員也認(rèn)為,CISO角色正從其傳統(tǒng)的技術(shù)根源轉(zhuǎn)變?yōu)楦呒?jí)戰(zhàn)略性高管職能。隨著這一轉(zhuǎn)變,賦予安全主管的職責(zé)范圍也在不斷擴(kuò)大。

“當(dāng)我剛開始職業(yè)生涯時(shí),網(wǎng)絡(luò)安全被嵌入在IT中,而IT當(dāng)時(shí)仍然被視為后臺(tái)職能。網(wǎng)絡(luò)安全更多地被視為一種保險(xiǎn),但現(xiàn)在它已經(jīng)演變?yōu)橐环N前臺(tái)職能,是一種區(qū)分性優(yōu)勢(shì),并幫助推動(dòng)業(yè)務(wù)增長(zhǎng)。”GE Vernova的全球副總裁兼CISO Teresa Zielinski表示,“今天,CISO的角色正在進(jìn)一步發(fā)展。我們現(xiàn)在看到它演變?yōu)橐粋€(gè)更具戰(zhàn)略性的高管角色,不僅引領(lǐng)網(wǎng)絡(luò)安全,還涵蓋風(fēng)險(xiǎn)和韌性。”

更多職責(zé),更多責(zé)任

自1990年代中期以來(lái),首席安全官的工作一直處于變革之中,Zielinski的職業(yè)生涯也反映了這一角色的變化軌跡。

與許多CISO一樣,Zielinski最初在IT領(lǐng)域工作,12年后她于2009年轉(zhuǎn)入網(wǎng)絡(luò)安全領(lǐng)域,當(dāng)時(shí)她被要求領(lǐng)導(dǎo)一個(gè)應(yīng)對(duì)安全事件的團(tuán)隊(duì)。

Zielinski很快意識(shí)到,網(wǎng)絡(luò)安全不僅僅是防止不良事件發(fā)生,還可以用于支持業(yè)務(wù)目標(biāo)。

她看到,網(wǎng)絡(luò)安全貫穿所有職能,了解驅(qū)動(dòng)業(yè)務(wù)的流程和技術(shù),使安全領(lǐng)導(dǎo)者能夠掌握全局,安全團(tuán)隊(duì)不僅熟悉企業(yè)面臨的各種風(fēng)險(xiǎn)、法規(guī)和要求,還通過(guò)與IT合作確保產(chǎn)品安全,連接客戶并影響客戶的體驗(yàn)和對(duì)公司的信任感。

“網(wǎng)絡(luò)安全必須貫穿每個(gè)職能,彌補(bǔ)差距,確保流程按預(yù)期運(yùn)作,”她說(shuō),“在安全領(lǐng)域,你必須了解客戶的需求,了解需要滿足的法規(guī),并利用這種理解影響你的高管同事。當(dāng)我看到這一點(diǎn)時(shí),我意識(shí)到這個(gè)角色更大,不僅僅是將網(wǎng)絡(luò)安全作為一種保險(xiǎn),而是主動(dòng)推動(dòng)業(yè)務(wù)發(fā)展。”

她提到,越來(lái)越多的企業(yè)正在采用“安全優(yōu)先思維”,作為證明。即在數(shù)字產(chǎn)品的開發(fā)過(guò)程中,從一開始就將安全內(nèi)置其中,而非事后考慮——就像汽車生產(chǎn)時(shí)不會(huì)在安全性方面馬虎,安全性是其中不可或缺的一部分。

“沒(méi)有人會(huì)買一輛沒(méi)有安全功能的汽車。同樣,數(shù)字產(chǎn)品,尤其是AI和GenAI服務(wù),也必須具備安全功能。”她說(shuō)。

此外,Zielinski預(yù)計(jì)未來(lái)會(huì)有更多CISO承擔(dān)更廣泛的職責(zé),并逐步進(jìn)入企業(yè)領(lǐng)導(dǎo)層的最高階層。

更具體地說(shuō),她認(rèn)為網(wǎng)絡(luò)安全職責(zé)將與風(fēng)險(xiǎn)和韌性責(zé)任相融合,這是合乎邏輯的,因?yàn)榫W(wǎng)絡(luò)安全、風(fēng)險(xiǎn)管理和韌性建設(shè)都是關(guān)于識(shí)別和彌補(bǔ)漏洞,確保企業(yè)不僅能夠在事件中幸存下來(lái),甚至能在面對(duì)各種風(fēng)險(xiǎn)時(shí)繼續(xù)發(fā)展壯大。

“CISO和首席風(fēng)險(xiǎn)官將更緊密地合作,或者這兩個(gè)職位可能會(huì)合并為一個(gè),不僅負(fù)責(zé)網(wǎng)絡(luò)安全,還負(fù)責(zé)風(fēng)險(xiǎn)管理和韌性建設(shè)。”Zielinski補(bǔ)充道。

加拿大國(guó)家鐵路公司的CISO Vaughn Hazen也表示,他同樣看到CISO這一職位在承擔(dān)比以往更多的風(fēng)險(xiǎn)管理職責(zé)。

“實(shí)際上,這已經(jīng)本質(zhì)上是一個(gè)風(fēng)險(xiǎn)管理的角色,核心在于管理風(fēng)險(xiǎn)。”他說(shuō)。他還指出,日益增多的安全法規(guī)推動(dòng)了CISO在承擔(dān)更多合規(guī)元素方面的職責(zé)。

他提到,如今的CISO往往負(fù)責(zé)數(shù)據(jù)隱私,并且越來(lái)越多的CISO開始承擔(dān)第三方風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)的管理——他預(yù)計(jì)這一趨勢(shì)將持續(xù)下去。

這些趨勢(shì)加大了CISO的壓力,同時(shí)也提高了他們的責(zé)任感,他補(bǔ)充道。

“你必須清楚了解自己暴露于哪些風(fēng)險(xiǎn)之下,因此你必須理解業(yè)務(wù)及這些風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的潛在影響,你還必須理解你所制定的政策、流程和技術(shù)對(duì)風(fēng)險(xiǎn)及整個(gè)企業(yè)的影響,并且,你必須能夠?yàn)樽约旱臎Q策進(jìn)行辯護(hù)。”Hazen說(shuō)道,“你必須培養(yǎng)這樣一種心態(tài):‘如果我需要在法庭上為我的立場(chǎng)辯護(hù),我是否會(huì)對(duì)自己做出的決策感到放心?’并且,答案必須是肯定的。”

首席網(wǎng)絡(luò)與風(fēng)險(xiǎn)官的崛起

Softbank Investment Advisers的CISO Gary Hayslip也看到了類似的趨勢(shì)。

“我現(xiàn)在認(rèn)為這個(gè)角色是利用技術(shù)、人員和流程來(lái)管理風(fēng)險(xiǎn)。”他說(shuō),并將這一變化視為首席安全官職位逐漸成熟的一部分。

他補(bǔ)充道,這反過(guò)來(lái)正在重塑CISO的職責(zé),并改變這一職位在許多企業(yè)中的性質(zhì)。

他了解到,有些CISO職位負(fù)責(zé)治理、風(fēng)險(xiǎn)和合規(guī)(GRC),有些負(fù)責(zé)風(fēng)險(xiǎn)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施,還有一些負(fù)責(zé)風(fēng)險(xiǎn)和IT。他預(yù)計(jì)未來(lái)的職位名稱將反映出這種整合趨勢(shì),CISO將演變?yōu)槭紫W(wǎng)絡(luò)與風(fēng)險(xiǎn)官或首席網(wǎng)絡(luò)與隱私官(這一變化已經(jīng)在少數(shù)企業(yè)中開始出現(xiàn))。

“這種整合將成為常態(tài)。”Hayslip補(bǔ)充道。

PNC Bank的執(zhí)行副總裁兼CISO Susan Koski也認(rèn)為CISOs將承擔(dān)更多職責(zé)。

“CISOs的職責(zé)范圍非常廣泛,必須從技術(shù)轉(zhuǎn)向法律、市場(chǎng)營(yíng)銷、溝通、關(guān)系管理和財(cái)務(wù)等領(lǐng)域。”她說(shuō),“這導(dǎo)致越來(lái)越多的CISOs被要求承擔(dān)更廣泛的角色,有些甚至成為CIO,另外,包含物理安全和欺詐管理的自然演變也在發(fā)生,某些功能的融合可以實(shí)現(xiàn)最優(yōu)的交付,該職位將繼續(xù)發(fā)展,特別是在身份驗(yàn)證方面——需要適當(dāng)且持續(xù)地驗(yàn)證客戶和員工,并減少對(duì)易受釣魚攻擊的憑證的依賴。”

然而,2024年名人堂的成員們表示,所有這些變化并不能替代或超越CISO對(duì)技術(shù)的精通和對(duì)網(wǎng)絡(luò)安全操作的基礎(chǔ)知識(shí)以及不斷發(fā)展的最佳實(shí)踐的深刻理解。

“網(wǎng)絡(luò)安全還是網(wǎng)絡(luò)安全,你仍然需要做基本的網(wǎng)絡(luò)衛(wèi)生工作。”Hayslip說(shuō)道。

職位進(jìn)化的驅(qū)動(dòng)力

許多因素推動(dòng)了CISO角色的演變,并且未來(lái)還會(huì)繼續(xù)推動(dòng)這種演變,而一個(gè)重要的驅(qū)動(dòng)因素是過(guò)去二十多年間數(shù)字化的到來(lái)。

“在當(dāng)今的商業(yè)環(huán)境下,安全與運(yùn)營(yíng)更加緊密地交織在一起。如果你無(wú)法做好安全工作,現(xiàn)在對(duì)業(yè)務(wù)的影響要比過(guò)去顯得更為顯著。”Hayslip表示。

展望未來(lái),Geisler認(rèn)為,技術(shù)環(huán)境的變化將繼續(xù)推動(dòng)CISO角色的演變。

“在不斷變化的技術(shù)環(huán)境中,CISO角色對(duì)企業(yè)至關(guān)重要,并將持續(xù)演變。作為職能領(lǐng)導(dǎo)者,CISO需要應(yīng)對(duì)從自動(dòng)化到GenAI等技術(shù)進(jìn)步,跟隨技術(shù)的發(fā)展方向。”他說(shuō),“雖然AI主導(dǎo)了當(dāng)前的討論,但量子計(jì)算的未來(lái)也日益臨近。在未來(lái)五到七年內(nèi),量子計(jì)算有望與當(dāng)前的GenAI平分秋色。數(shù)據(jù)量、處理需求和速度將成為許多CISO關(guān)注的首要問(wèn)題。”

其他入選者也提到,AI和量子計(jì)算將塑造未來(lái)幾年CISO的工作,進(jìn)一步推動(dòng)安全與業(yè)務(wù)流程和產(chǎn)品的深度整合。

入選者們還認(rèn)為,日益增多的安全相關(guān)法規(guī)和安全相關(guān)要求(如數(shù)據(jù)隱私法律和標(biāo)準(zhǔn))也將擴(kuò)大CISO的職責(zé)范圍,并提升其角色的重要性和影響力。

他們還相信,CISO面臨的個(gè)人和職業(yè)責(zé)任日益增加,這正在推動(dòng)CISO角色的變化。

這種責(zé)任感使安全負(fù)責(zé)人得到了所謂的“在高管會(huì)議上的席位”,參與董事會(huì)會(huì)議,并受到公司董事和高管責(zé)任險(xiǎn)(D&O保險(xiǎn))的保障——未來(lái)幾年內(nèi),越來(lái)越多的CISO將獲得這些待遇。

此外,CISO的發(fā)言權(quán)和執(zhí)行安全措施的權(quán)力也在不斷增加。

Hayslip表示,這將使越來(lái)越多的CISO領(lǐng)導(dǎo)者“像他們應(yīng)有的那樣被視為高管角色。”

企業(yè)網(wǎng)D1net(r5u5c.cn):

國(guó)內(nèi)主流的to B IT門戶,旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。

版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)