CISO 角色的演变与挑战

关键要点

• CISO角色正在迅速成熟，从单纯的安全官演变为商业决策中的重要人物。
• 与高层建立信任关系，使安全成为商业核心。
• 安全工作需要与业务目标紧密结合，转变为一个促进者而非阻碍者。
• 在市场波动和裁员频发的背景下，CISO面临着新的安全挑战。

在过去几年里，CISO（首席信息安全官）的角色经历了戏剧性的变化。如今，
已经从单纯的安全官转变为广受尊重的商业领导者，参与战略规划和敏感的决策过程，并在董事会中表达意见和观点。这一演变要求许多CISO变化视角，在展示技术能力与被视为安全专家之间找到平衡，同时表明他们理解网络风险如何影响业务。

建立信任与高层（）的关系，是奠定未来对安全作为商业关注点的理解与兴趣的基础。CISO不应过于关注技术术语，而是要展示安全对组织的影响，识别可能阻碍战略目标的因素，提出缓解选项，并指导高层如何提供帮助。

CISO领导演变的几个核心原因包括：

影响因素 | 描述
—|—
网络攻击的影响 | 网络攻击对商业效率、产出与连续性的影响使企业领导者意识到安全必须被视为商业关注，而非IT预算中的一个小部分。
数字化转型 | 随着数字化转型和现代工作环境的变化，用户不再被局限于本地网络。远程工作与云迁移虽然简化了业务流程，却也带来了许多安全挑战，增加了CISO的责任。
统一的安全角色 | 现代CISO在企业中发挥统一作用，确保员工将安全视为优先事项，并激励他们在团队中成为安全倡导者。

过去，CISO常常被视为“不”的代言人，他们被认为是孤立在象牙塔中的职能部门。随着安全的重要性不断上升，CISO再也不能被这样看待，他们需要建立信任，在理解威胁环境及其影响与将“不”变成“是”之间找到平衡，让整个组织达成共识。

现代CISO必须与业务领导者合作，建立一个全面的安全战略，目标是为整个组织创造价值。作为专注于网络安全的风险投资公司YLVentures的CISO，我建议我们的创始人创建能够快速提供业务价值的安全解决方案，弥补商业与技术之间的差距。我们需要更好、更现代的安全方案，以确保在当今的信息化环境中，安全从潜在的阻碍变为真正的推动力。

在制定安全战略时，“是什么事件让我们夜不能寐”的问法并未触及核心问题。更好的问题是：组织最重要的资产和流程是什么？这让CISO能够专注于围绕这些“皇冠珠宝”构建安全战略，并与业务目标直接相关。市场波动不仅影响安全战略，也影响其他诸多流程，因此CISO必须始终专注于展现他们为组织及各个团队所持有的价值。

CISO知道，在最佳时期，安全仍然只占组织整体IT预算的一小部分。随着市场的低迷，扩大安全专业人士的数量已成为一种奢望。前瞻性的CISO必须迅速意识到，与其扩大团队，不如加倍努力解决商业延迟，专注于自动化，并考虑精益的商业导向方法，以实现更大的影响。

随着市场的波动，裁员已成为许多公司面临的严峻现实。这种来源于2021年高峰的显著转变带来了不小的安全担忧。根据行业及市场的影响，裁员可能导致更多的不确定性、不满的员工，并最终增加风险。组织需要讨论内部威胁如何转化为潜在的商业与安全风险，并在发生事件之前如何应对安全问题。

CISO领导的演变将继续挑战安全与业务之间的旧有界限，