CISO当下面临的顶级网络安全挑战 以及未来的角色发展需求

　　1995年，首席信息安全官(CISO)首次作为C级高管登上历史舞台，自此之后，便开启了艰难的“上位”之路。

　　根据Heidrick & Struggles的数据显示，如今，全球超过一半的CISO向CIO、CTO、或其他高级工程管理人员汇报，只有8%直接向CEO汇报。

　　但也有迹象表明，随着网络威胁愈发普遍和严峻，CISO职务正变得越来越受重视，并发挥着更大的领导作用。鉴于复杂的威胁行为者正以企业运营和财务利益为目标，近90%的CISO表示，他们已经在董事会获得了一定程度的话语权，要么定期向委员会报告，要么向整个董事会报告。

　　NS1公司CISO Ryan Davis总结道，“归根结底，CISO的地位取决于企业对安全的重视程度。”

　　如果一个公司重视安全，那么CISO往往会在领导层和整个公司中获得更多的重视和话语权。相反地，如果安全部门的存在只是为了检查行业合规性，那么CISO就会沦为一个无足轻重的角色，缺乏可见性或权威。

　　困扰CISO的问题

　　在这种情况下，C级高管们对安全问题重视不足，一旦出现任何类型的网络安全事件，将统统归咎于CISO。

　　也难怪大多数CISO都表示，他们正遭受着与工作相关的压力和倦怠。

　　如今，CISO正面临着人才短缺和员工保留问题，软件供应链攻击带来的日益复杂的网络威胁，以及地缘政治紧张格局带来的诸多安全挑战。

　　ISACA新加坡主席兼OT-ISAC执行委员会主席Steven Sim表示，“让我夜不能寐的风险是，随着威胁行为者能力不断提升，他们可以悄无声息地在目标网络中潜伏很长一段时间，并从中窃取机密数据。”

　　复杂的威胁行为者也是LinQuest公司CISO Kemal Piskin最担忧的问题。随着安全部门开始依赖人工智能等技术来帮助检测和防止网络攻击，网络犯罪分子也在利用同样的技术发动攻击和逃避检测。

　　此外，远程工作对CISO来说同样是福也是祸。根据ISC进行的一项调查显示，网络安全专业人士希望居家办公，这可能会对人才短缺问题起到积极影响。但网络/远程工作者对信息系统管理员无疑是一项艰巨的挑战。

　　在理想的情况下，所有远程工作人员都应该在网络意识方面受过良好的教育，并使用零信任框架和其他安全最佳实践。但事实上，家庭网络和个人设备的真正安全性是未知的。这无疑增加了网络攻击的风险。

　　Piskin表示，“黑客可以通过很多入侵尝试进入你的系统。但CISO只有一次机会阻止他们。”

　　提升CISO的角色

　　许多CISO将其当前的角色视为技术和业务的混合体。Piskin解释称，“我的大部分时间并非花在担心安全事件上，而是在担心如何在安全的情况下运行业务。”

　　作为领导团队的一部分，参与有关业务运营的对话是许多CISO希望看到自己的角色继续演进的方式。

　　Insight Enterprises副总裁兼CISO Jason Rader表示，“我希望看到跨组织的安全功能被区别定义。就像公司中的每个人都对保持业务运行负有一定责任一样，CISO也应该推进类似的安全方法。每个人都应该在确保公司安全方面发挥着重要作用。一个人为失误就可能成为恶意行为者的敲门砖，暴露出可能引发灾难性后果的缺陷。因此，每个人都需要在安全方面扮演一个角色，体验到自身的责任感。”

　　然而，安全问题长期以来一直处于封闭状态，想要改变这种心态不可能一蹴而就。即便在公司中，CISO已经身处高度可见性的位置，并且真正成为领导团队的一部分，拥有充足的话语权，该角色还是要持续发展，以帮助公司跟上威胁形势。

　　美国证券交易委员会(SEC)和监管机构正愈发重视网络安全专业知识的重要性，这也将影响CISO角色的变化。

　　Rader认为，“CISO当然还有很长的路要走。一切都不会一蹴而就，需要不断的努力和坚持。但要相信，努力带来的回报可能是巨大的。”