CISO的角色正在发生变化，CISO们能跟上吗？

从左到右：Dan Creed、Cindi Carter、Russ Trainor、Pete Nicoletti 
和Felipe García Vivanco 在拉斯维加斯

由于快速的数字化转型，首席信息安全官 (CISO) 的角色在过去十年中不断扩大。现在，CISO们必须更加以业务为导向，承担更多职责，同时与董事会成员、员工和客户等进行更有效的沟通，否则将面临更严重的安全故障风险。

在拉斯维加斯举行的 CPX 2024 一场内容丰富的新闻采访中，来自世界各地的 CISO 和副总裁 (VP) 们进行了一场小组讨论：数字化转型、“背锅”压力和缺乏安全意识如何迫使CISO们的职位发生本质变化——总的来说，即从技术化变为商业化与高度社交化。

他们认为，如今，组织机构中有效的 CISO 与有效的安全文化之间的差距，不仅在于减少漏洞与制定策略，更在于更加柔性的沟通技巧。事实上，那些在前者领域兢兢业业但缺乏后者技巧的安全领导者最终会让他们的组织面临更大的潜在风险。

“你想知道会有什么风险？” 旅行公司 Allegiant 的 CISO Dan Creed 在回答 Dark Reading 的问题时回应道：“去问问 SolarWinds 吧！”

IDC 网络安全产品项目副总裁 Frank Dickson 在 3 月 6 日举行的另一场 CPX 新闻发布会上表示：“过去 10 年来，CISO 的角色一直在变化，我们从未真正停下来注意到这一点。”

多年前，该职位是在网络风险焦点相对较窄的情况下创建的，这些焦点至今仍然存在，但其规模已经扩大，这首先要归因于企业攻击面的扩大。过去，典型的攻击行为利用的是企业源代码中存在的漏洞——例如当年针对Target、Ashley Madison 的黑客攻击事件。如今，尤其是新冠疫情爆发以来，员工的电子邮件、电话和其他设备对组织构成了更大风险。随着信息安全责任成为一项集体责任，CISO 开始被迫走出自己的孤岛。

Frank Dickson 向媒体介绍了 IDC 的新报告

数字化转型还使 IT 从孤立角落直接进入了业务主线。正如 Dickson 所指出的那样，“明年全球 2000 强的总收入中约有 40% 将由数字产品和服务驱动。这将改变 IT 的本质，即从成本制定者转变为某种创造收入的途径。如果你认真思考一下这个过程，就会发现 CISO 的角色正在从根本上发生改变。” 当今的公司越将 IT 视为业务驱动力，就越需要 CISO 不仅预防和减轻网络风险，还要让其更多地与开发人员、销售人员和客户会面，就业务决策向董事会提供建议。

CPX 上公布的 IDC 调查反映 CISO 正越来越多地面向业务负责。在接受调查的 847 名网络安全领导者中，10% 的人认为 CISO 最重要的工作是领导力和团队建设技能，8% 的人认为是业务管理技能。实际的网络安全意识教育以及 IT 架构和工程技能等几乎没有获得更多选票，各占 12%。

CISO们兼具商业能力不是一句空谈——实际情况需要他们这样做。“如果不与业务部门建立良好的关系，后果是，你的公司会形成一种文化，‘好吧，这不是我的责任。’ 就像 SolarWinds 和 MGM 一样。他们只是致电安全技术支持要求重置 MFA，根本没有理解或意识到自身对安全意识的缺乏会造成更加严重的后果，”Creed 解释道。

Creed 论点中的微妙之处非常重要——这也得到了圆桌会议上其他人的响应。他们强调，防止员工出现安全漏洞不仅仅是传播意识的问题，当员工与安全团队的关系不健康或者安全工作太费力时，即使是知识渊博的员工也会忽视安全。

Check Point 的区域 CISO Pete Nicoletti 表示：“有人说安全应该透明。我认为不仅如此，还应更进一步：安全应该促进业务并使其发展得更快。”这呼应了现代 CISO 的理念演变。他以 VPN 为例，传统 CISO 就像老式 VPN 一样会拖慢业务发展：“VPN 会让我的电子邮件卡顿多长时间：两秒，还是 10 秒？VPN 注册需要多长时间？当带来 22 秒的卡顿后还需要进一步身份验证时，员工们还会愿意和这样的VPN一起工作吗？因此，问题的关键在于，要尝试使安全尽可能透明的同时，更加易于使用。要开始选择能够真正加快流程的安全工具，让您拥有更多竞争优势。”

“我最早推动的一些举措正是如此，”Creed 附议道。“让我们摆脱 VPN，使用笔记本电脑实现永远在线的状态。员工只需打开电脑，启动电源，连接进入网络，最后通过安全堆栈返回。现在我们的下一个目标是为转向无密码打好基础。”

如果与员工交谈并为他们提供更轻松的安全保障还不够，CISO 还可以尝试其他激励措施。“我们实际上有关于安全文化的 KPI 指标。我们已经做好准备，我们将开始真正影响奖金池，如果您的部门做得更好，它会让您的奖金池高于一般水平，但如果你不这样做，那么你的奖金就会受到影响，”Creed 解释道。

接下来是董事会。

在调查中，IDC 向 CISO 们和与其共事的CIO们询问了 CISO 们实际在做些什么，比如他们是否专注于战略架构，或者这项工作本质上是否只是战术性的，结果发现答案存在不小的差异，这表明即使是 CISO 最亲密的CXO伙伴，其意见也并不完全一致。

Creed 回忆起最近一个案例，“我们订购了一些新的 737 飞机。这是我们的第一批网联飞机。董事会没有让我参与早期的讨论，于是它后来演变成了一场救火演习，所有新的网联飞机都有网络安全要求——事实上，如果你没有获得美国联邦航空局批准并备案的网络安全计划，你这些飞机就得不到适航认证。您认为董事会第一次开会讨论‘扩大机队’这条战略路径时，会可能考虑让网络安全部门的人参与其中吗？”

“所以你必须教育他们，并向他们解释：这就是为什么我们要在会议桌上占有一席之地。在为企业制定的每一个战略决策中，都涉及风险。你越多地让我们参与其中，我们就可以更好地保护企业，并提前发现风险，而不是火灾发生后。”

为此，Denver Broncos 信息技术高级副总裁 Russ Trainor 在接受 Dark Reading 采访时提出了一个简单的建议：

“有时我会将数据泄露的新闻转发给我的首席财务官：这是我们泄露的数据，这是对应的损失，”他说。“这些东西往往更能击中要害。”

* 本文为晨雨编译，原文地址：https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。