专业化可以解决企业和国家安全日益增加的网络安全风险；以及 CISO 的心理健康甚至身体自由。但这并不容易。

网络安全领导力的专业化长期以来一直在讨论，但从未付诸行动。时代在变。CISO 的角色已经扩大，并且对于个体公司和国家安全都变得至关重要。对个人心理健康的威胁不断升级，首席信息安全官可能因公司安全失败而被追究刑事责任。

2013 年，美国国家研究委员会 (NRC) 发布了《国家网络安全劳动力专业化？》决策标准。NRC的结论是否定的：网络安全的动态性太强，无法建立需求基线；所需的知识和能力过于广泛，无法实现专业化；在网络安全技能短缺的时代，专业化可能会带来额外的进入壁垒。

两年之内，Martin Zinaich（坦帕市首席信息安全官）在另一篇题为“信息安全与东方航空公司 401 航班有什么共同点？”的论文中提倡专业化：“[专业化]的最大好处”，他写道， “来自将该领域提升到商业领域，企业意识到、更好地理解信息安全的作用，并且能够将信息安全融入到业务流程的适当级别......当当前的临时方法与整体方法交换时方法，有利于企业、行业、消费者和国家。”

齐奈奇的观点在今天仍然与十年前一样相关和准确，但 NRC 的观点占了上风。现在是详细重新审视这些论点的时候了。

现在专业化的原因

与直觉相反的是，支持专业机构的主要论点之一是网络安全的复杂性迅速增加（过去用来避免专业化的复杂性相同），以及其领导人暴露和脆弱的地位。CISO 使用和保护的应用程序更加复杂并且包含更多错误。对手在利用这些漏洞方面更加老练、更加激进。犯罪团伙组织得更好，而精英国家黑客则试图窃取知识产权和国家安全信息，在民众中制造不和，并扰乱关键行业。

虽然网络安全领导者必须防御这些外部对抗性威胁，但他们也受到来自内部的有效攻击。他们资源不足，必须依赖往往不足并带来新漏洞的安全工具，往往没有足够的权力承担责任，被迫投入稀疏的资源来遵守复杂的国家和国际法规，而这些法规对提高安全性几乎没有作用或根本没有作用。安全，一旦出现问题，很容易成为替罪羊。现在，随着美国证券交易委员会新的、令人困惑的披露规则，如果他们犯了错误，他们将面临刑事责任，甚至入狱。

Keeper Security 首席执行官兼联合创始人 Darren Guccione 评论道：“CISO 处于独特的地位，面临着潜在的法律后果，包括民事或刑事责任。”

网络安全专业机构可以服务于三个基本目的。首先，通过游说（供应商提供更好的工具，政府提供更现实和可实现的法规）。其次，通过支持成员（以获得更多的公司权力和资源），并为面临公司替罪羊或联邦指控的成员辩护，这些成员只不过是犯了一个错误。第三，通过提高标准和实践来提高网络安全的总体水平。

英国特许信息安全协会 (CIISec) 首席执行官阿曼达·芬奇 (Amanda Finch) 表示：“水涨船高，网络安全行业专业水平的提高只会是一件好事。医疗保健、会计、法律、银行等主要行业都有标准机构。这些确实改变了这些部门，使他们能够以商定的服务标准进行自治。这有助于保护客户并为员工队伍提供结构。美国的网络安全也必须效仿。”

HiddenLayer 首席安全和信任官 Malcolm Harkins 对此表示同意。“这应该很久以前就发生了，”他补充道。他认为，专业化不仅是为了提高安全从业人员的素质，也是为了保护专业人员的诚信。他指出，在过去几年中，企业责任和监管要求有所增加，而预算却持平或减少。 

“我认识的许多首席信息安全官都了解他们的‘注意义务’并以这种方式行事——不幸的是，有时，他们会因为不‘遵守’增加风险而不是适当管理风险的管理方法而冒着失业的风险……我们不能不再把罐子踢到路上了。是时候通过建立更多的责任来采取行动，是时候领导和规范 CISO 的角色来管理需要管理的风险了。”

专业机构的愿望清单

网络安全专业化会产生许多自然结果（例如提高标准、简化招聘以及规范未来领导者的职业道路）。然而，专业机构可以取得更多成就：倡导更好的监管和改进产品，并为暴露的成员提供安全网。

规压组

大多数首席信息安全官都承认监管的必要性，但却受到监管的限制。政府在制定规则方面进展缓慢。法规通常是满足政治对手、不扰乱大企业和国家安全游说之间的妥协——它们通常是对历史的反应，而不是对未来的承诺（考虑一下人工智能的到来如何引发了对新法规的突然热潮）一项没有人真正理解的新技术。

美国证券交易委员会的披露规则就是不良监管的一个很好的例子。目的很明确并且基本上可以接受，但措辞和潜在的制裁令人担忧。“重大网络安全事件”是什么意思？入狱是对真正错误的合理惩罚吗？ 

“CISO 应该有安全港的概念吗？” ReversingLabs 首席信托官 Sasa Zdjelar 问道。医学界有这个概念。“如果医生一切都正确，他仍然可能会失去病人，但会得到医疗界的一些保护。”法律界也有类似的保护。

在网络安全专业机构的支持下更有可能建立安全港，其运作方式与医疗和法律专业相同。专业机构可以帮助政府制定更好的法规，并保护CISO免受不良法规的影响。

责任保险

与（但不限于）不良法规相关的可能是专业机构向个人提供的实际支持。这可以采取多种形式——但例子可以是为会员谈判甚至资助个人责任保险。如果发生刑事指控，此类支持可能包括法律支持。 

例如，由全国数万名最有资格的网络安全专业人员组成的非当事人意见陈述可能会产生什么影响？

Zdjelar 表示，这样的法庭之友陈述可以说：“这位CISO没有做错任何事。他或她以最佳实践和真诚行事。他或她的行为是透明的，这次起诉是不公平和不公正的。因此，网络安全专业委员会将以其nn万美元的责任保护伞政策进行法律辩护。”

产品压力组

“专业机构可以设定最低的产品要求，”齐奈奇建议。“它可以游说或建立一个网络保险商实验室（实际上存在，但没有人知道），并用此类验证来标记产品和服务。”

独立的产品评估实验室将突出安全产品的弱点和失败。供应商将被迫改进他们的产品，否则将面临专业机构成员的大规模冷落。

不专业化的原因

尽管有这么多的优势和讨论，但我们在美国网络安全专业化方面并没有比15年前更接近，了解其原因很重要。

复杂

“成立专业机构并不是解决问题的方法。此类机构通常具有很高的进入壁垒，并且不考虑具有重大风险但没有资源的地方（中型市场和小型企业）。最后，他们适应起来很慢，这就是流程/委员会的本质。”

他的偏好是“与现有CISO机构进行交叉合作，通过中小型企业可以获得的在线认证，以及与代表CIO和CDO的实体进行合作。”

惯性

英国信息安全研究所成立已有17年，齐奈奇呼吁美国专业化也有10年。人们对网络安全专业机构的想法不断进行讨论和支持，但在美国没有明显的进展。部分原因可能是 CISO 的复杂性和不断变化的角色造成的，包括跨国公司必须在多个司法管辖区开展业务。部分原因可能是因为大量拥有 CISO 的小公司认为自己在公司内部或外部几乎没有影响力。这可能是由多种影响因素造成的。但它们都累积成一个压倒一切的物理定律：惯性。

克服惰性可能是网络安全劳动力专业化的最大障碍。在政府之外 — — 坦率地说，政府应该置身于这一进程之外 — — 没有任何现有机构有足够的意愿和实力来克服这种惯性并推动这一进程。

潜在的职业模式——专业工程模型

DoControl 联合创始人兼首席风险官 Omri Weinberg 建议将专业工程许可模式视为网络安全职业的基础。“在美国大多数州以及世界其他地区，某些更高责任领域需要PE许可证或同等证书，例如批准建筑物或桥梁结构的计划、监督环境影响研究和报告，甚至教学大学水平的工程学。”

他认为该模型具有可满足网络安全专业需求的特征。“[PE 模型] 既有广泛的多学科组成部分，也有其认证过程的特定重点领域。PE 必须展示跨多个工程学科的基础知识以及对其特定重点领域的专家级理解。”

此外，获得许可证的要求可以很容易地转化为网络安全：相关的正规教育，通过一般考试，获得许可的人的四年指导，指导后的重点考试，以及“关于道德和社会影响的具体培训”以及许可证持有者所承担的责任。”

为了进一步论证，他补充道，“在大多数大学中，工程学已经与计算机科学/信息系统相邻；因此，将工程许可模式扩展到网络安全是有意义的，而像医学或法律从业者这样的模式可能不太适合，特别是在早期阶段和该领域的初学者。”

医疗/法律专业

齐奈奇十年前就提出以医学职业作为职业化的蓝图。他不接受“太复杂”的论点。当时他注意到佩尔中心发表的一篇论文（专业化网络安全：通向通用标准和地位的途径）称，美国医学专业委员会拥有 24 个普通证书和 125 个子专业证书。“就深度和广度而言，信息安全似乎并不比其他专业职业更复杂，”Zinaich 评论道。

哈金斯还建议从医疗（和法律）专业开始。“归根结底，我始终相信 CISO 对股东、客户和社会负有‘谨慎义务’，具体取决于谁受到网络风险的影响。在医疗保健领域，“注意义务”是指医疗保健提供者有责任确保他们的行为符合其所照顾的个人的最大利益，胜任工作，并且不做任何可能对他人造成伤害的事情。在法律背景下，如果您的行为也不符合客户的利益且不符合法律，您可能会被取消律师资格并被取消执业律师资格。”

除了维持和提升专业水平之外，这些模式还有更多优势。首先，它们是由该领域的专家而不是政府或政府机构运营的。其次，它们不是禁止性的。客户无需聘请专业机构的合格成员：患者可以选择使用营养师、草药师、针灸师或顺势疗法医生，而不是医生；原告和被告可以自己代表自己，也可以由不合格的朋友代表。 

那么，公司可以仅根据申请人的知识或简历的实力来选择聘用 CISO，而不是正式机构的认可会员资格。

兹杰拉尔将法律职业视为灵感的源泉。“每个州都有自己的律师协会，这是一个自我管理的私人组织，而不是政府组织。该律师协会的合格成员决定谁可以成为新的合格律师。如果现有成员的行为方式不符合最佳实践或不尊重职业，他们将取消他们的资格或取消他们在该州执业的能力。”

这里的关键可比较要素是，首先，专业机构是非政府的——是专业人士为专业人士制定标准。其次，每个州都有自己的律师协会，使该机构具有管辖权。这一点很重要，因为每个州都有自己的法律，就像网络安全一样，不同的司法管辖区（州和国际）有不同的安全法规。

仍然存在一些问题，使得与法律或医学专业的直接联系变得不可能。网络安全是动态的且变化迅速。法律的变化要慢得多。 

在医学界，可以说有两个要素：人体和药物。第一个变化很小：进化是一个缓慢的过程。随着每种新药的发布，药物的变化更加迅速。该模型类似于网络安全，其中人体解剖学与 IT 基础设施相关，而医学与网络攻击和网络防御相关。

快速的技术变革降低了学历的价值。例如，云技术的迅速兴起引起了对云合格工程师的争夺，但实际上并没有出现这种情况，因为所有正式培训都早于云概念出现。对于人工智能来说，同样的情况很可能发生——或者已经发生了。技术总会进步，而正规的学术培训将难以跟上步伐。

“对我来说，”兹杰拉尔说，“专业化并不等同于大学学位或某种正规教育。但我认为它应该展示知识。该机构表示，‘你需要证明自己在这些领域拥有熟练的知识。并让具有相同知识的积极实践者确认您被观察到实际应用这些技能，例如，x时间段。进入专业团体将通过冠军或认可者。我认为网络安全专业机构更类似于大学学位带来的专业化。” 

英国特许信息安全研究所

Steve Benton 是 Anomali 威胁研究副总裁，也是英国特许信息安全研究所 (CIISec) 的研究员。该研究所成立于2006年，“旨在解决如何识别合格的信息安全从业者的问题”。2018 年 12 月，英国女王伊丽莎白二世授予该公司皇家公司章程。

Benton 说：“这个机构的成立是为了维持从分析师到 CISO 的所有层级的专业发展的整体方法。作为一名研究员，我可以证明该研究所（约 35,000 名会员）的推动力和影响力。它在整体方法中做了正确的事情，我将其作为美国 CISO 专业发展的典范。”

芬奇补充道：“我们已经看到英国网络安全行业标准机构的成功。它为安全行业提供了发言权，并为其他志同道合的专业人士提供了交流的社区。我们还与我们的会员合作制定了关键举措，例如章程和技能框架，这些举措为行业设定了基准，并全面改进了流程和实践。”

Gareth Lindahl-Wise（总部位于加利福尼亚州 Ontinue 的英国伦敦首席信息安全官）也倡导 CIISec 类型模型。“如果我作为个人或机构招聘人员赞成或要求加入这样一个机构作为选择标准，那么临界质量将在更短的时间内形成。对招聘人员的好处是显而易见的，可以接触到比我自己的网络更广泛的值得信赖和有保证的人才库。”

扩大政府法规所带来的专业化程度不断加深

我们专业化的最终选择是什么也不做，让当前流程继续下去。这是政府通过法律排除政府认为的不良行为而不是鼓励从业者所理解的良好行为来随意实施专业标准。 

政府行动缓慢。他们有自己的优先事项（经济和国家安全，这两者都可能导致规则应用中的明显矛盾）。他们对威胁的了解比对公司在实施威胁缓解措施时遇到的实际问题更了解。

政府法规常常造成混乱和困难。SEC 披露规则（诚然仅适用于上市公司）就是一个例子。需要披露；但什么、何时以及为什么没有得到充分的定义或解释。如果 CISO 对要求的善意理解与 SEC 不够明确的意见不一致，则可能会导致刑事责任。 

政府推动专业化的可能性将不利于网络安全行业。事实上，这种可能性实际上是支持由从业者主导的专业机构的另一个论点——它可以帮助政府机构更好地了解网络安全的操作复杂性，并在需要时制定更好的法规。

概括

大多数（非排他）观点认为，网络安全专业机构早就应该成立，这将使网络安全和网络安全从业者受益。英国CIISec的成功表明这是可以做到的。但问题依然存在——最重要的是谁来定义该行业支持的“良好实践”？

NRC 十多年前强调的复杂性正在增加。但需求也是如此。CISO 的角色和职责正在扩大。用更少的资源做更多的事情，同时满足维持企业盈利能力而不承担监管失败的责任这一往往相互矛盾的要求的压力越来越大。CISO 的角色需要支持，CISO 的责任需要捍卫。这些最好由非政府独立专业机构提供。

通过我们的讨论可以追踪到一条潜在的途径：一个主要以美国医学和法律专业为蓝本的组织，但其准入更多地基于同行评审和可证明的当前专业知识，而不是基于正规教育。这与现有的整体网络安全文化产生共鸣。

然而，最大的障碍仍然存在：习惯随着时间的推移变得越来越棘手。很难想象政府之外的任何单一能源来源有足够的力量来克服这种惯性。Guccione说：“专业化可以帮助澄清网络安全专业人员的角色、责任和预期能力，从而减少模糊性和潜在的责任。然而，对于已经在动态威胁环境中航行的行业来说，施加此类要求的艰巨任务可能是不切实际的。”