CISO 是网络安全、业务连续性、法规遵从性、数据科学、人工智能等的傀儡，而且经常是替罪羊……等等。但往事已去？你能坚持下去吗？

2025年CISO的角色

CISO 的职责描述从来都不是单一的——该角色取决于每家公司、其成熟度、规模和资源以及各个董事会的风险承受能力。尽管如此，CISO 的主要职能已从最初的 IT 系统技术防御不断扩展到更广泛的目的，即在面临网络攻击时管理业务风险并确保业务盈利。

CISO 不再仅仅是技术专家，而是一个万事通，还必须了解企业管理、企业财务、法规的法律含义、个人隐私概念、公司员工心理、地缘政治的影响、人工智能的潜力…… 而且这个清单还在不断增加。

有时，CISO 确实负有职责——例如隐私和法规，以及日益严重的人工智能——但现在 CISO 还承担着向其他公司领导提供安全建议的咨询责任。因此，除了这一不断扩大的角色之外，CISO 还必须是一位专业的沟通者，能够与其他领导讨论业务问题，与安全和 IT 团队讨论技术问题。尽管如此，CISO 往往肩负着没有权力但有责任的责任。

2025年，只有细节可能会发生变化。

2025 年的主要压力因素

2025 年，CISO 面临的三大压力（但不是唯一）可能增加：日益混乱的监管雷区；人工智能不可预测的增长和使用；以及多模态 gen-AI 推动的社会工程学预期激增。每个主题都在Cyber Insights 2025专题中进行了深入讨论。

法规

法规问题越来越严重。首席信息安全官不仅要负责确保公司遵守安全相关法规，而且越来越成为特定角色法规的目标。特别是，SEC 开始要求首席信息安全官对未能遵守 SEC 法规（这些法规实际上是机构对法律的解释）承担个人和刑事责任。

然而，2024 年 6 月 28 日，高等法院裁定，公司可以在司法系统中挑战机构裁决；削弱了机构主导的监管执法的整体概念。

Mandy Andress，Elastic 首席信息安全官

其影响仍在进行中——我们只是还不知道它会如何发展——而新保守的小政府管理模式则使情况更加复杂。人们的看法各不相同。Elastic 的 CISO Mandy Andress只是认为，这将导致机构执法面临的挑战增加。“我预计会有更多公司感到有能力审查和挑战未来的机构监管，”她表示。

CYE 创始人兼首席执行官 Reuven Aronashvili 认为，对事件报告的影响可能会蔓延。“CIRCIA 要求及时报告网络事件，这可能会受到更严格的审查和法律纠纷，”他说。“我们可以期待看到 CISO 与法律部门的同事更加紧密地合作。”

但总体而言，随着尘埃落定，人们越来越相信它不会发生太大变化（除了法院拥有最终决定权）。“这可能不会在未来一年对 CISO 产生太大影响，但从长远来看，我们预计将看到更多的网络监管，例如 2023 年底推出的 SEC 网络安全规则，它将得到广泛执行，” MetricStream联席首席执行官 Gaurav Kapoor 表示。

布兰克罗马律师事务所合伙人莎朗·克莱恩补充道：“虽然我们确实预计这可能会在歧视等领域给予更多的回旋余地，但我们并不认为网络安全方面的监管裁决会受到法院或原告律师的削弱。”

尚不清楚的是，各机构是否会继续让 CISO 为报告失误承担个人责任，以及这对 CISO 未来的作用会产生什么影响。这会说服组织增加对 CISO 的支持吗？还是 CISO 的替罪羊成分会增加？

该组织使用的人工智能

人工智能现已渗透到商业的方方面面，首席信息安全官越来越需要了解如何在内部安全地使用它，以及如何防止其对组织产生对抗性用途。

Lenny Zeltser，SANS 研究所研究员兼 Axonius 首席信息安全官

在内部，“2025 年，组织将继续尝试使用 AI，以了解其价值所在，”SANS 研究所研究员兼Axonius首席信息安全官 Lenny Zeltser 表示。“安全和 IT 领导者应该准备好帮助评估和采用各种不成熟的 AI 产品。我们需要理解一系列 AI 技术，并了解内部利益相关者的期望，这样我们才能为做出明智的风险与回报决策做出贡献。鉴于技术变化如此之快，我们应该准备好进行实验并确定如何衡量项目成果，以决定哪种方法最有效。”

简而言之，首席信息安全官需要迅速成为人工智能专家。Abnormal Security首席信息官 Mike Britton 警告称：“首席信息安全官必须熟悉这些技术带来的潜在好处和风险，并有能力领导有关其对安全影响的讨论。”

这一要求不仅是为了确保公司内部的 AI 成功，也是为了防止 AI 失败。“首席信息安全官还必须能够识别通过使用基于业务生产力的 AI 解决方案泄露敏感信息的渠道（即用于训练 AI 模型的敏感信息），以便实施适当的控制，”Klein 补充道。

仅依靠孤立的网络安全岗位无法实现这一点。这将需要公司内所有部门的深入合作，从希望使用自己的 AI 工具的部门到 IT、人力资源、财务和法律部门，以实现更广泛的影响。具有讽刺意味的是，旨在实现人类行为自动化的 AI 的到来将需要整个组织的 CISO 提高沟通能力和软技能。

社会工程学

从外部来看，恶意行为者越来越多地使用人工智能来简化他们的工作并增加攻击效果。能够生成恶意软件的人工智能模型的质量和数量将会增加（请参阅WhiteRabbitNeo了解现有示例）。社会工程攻击的规模和复杂性将大幅增加。首席信息安全官将越来越多地使用基于人工智能的工具来检测基于人工智能的攻击。

但这种情况有一个问题。我们只是用新技术来对抗新技术。攻击者和防御者之间异步、多对一战争的根本性质没有改变；而且，至少目前，攻击几乎没有变化（只是更多、更好）。

从根本上讲，首席信息安全官需要使用人工智能来提升对高级攻击的防御能力。这将给首席信息安全官的预算和工作量带来压力；但真正的赢家将是提供人工智能辅助防御控制的新行业。

我们从未降低过社会工程攻击的严重性。这些是大多数攻击的基石——而且几乎没有迹象表明新技术会改变现状。

权力与责任

毫无疑问，CISO 的作用正在不断扩大。一个大问题是 CISO 的权力是否能与其责任同步。一种方法可能是将该职位提升到董事会级别。如果不行，董事会可以增加安全预算，以认识到安全日益增长的重要性。

董事会席位

Resilience安全高级副总裁 Mike McNerney 表示：“我们绝对应该看到更多 CISO 积极参与董事会对话。也就是说，要想被认真考虑担任董事会职务，CISO 需要不仅仅是技术专家，还需要具备更广泛的重要业务技能。”

Resilience 安全高级副总裁 Mike McNerney

坦率地说，如今成功的 CISO 已经做到了这一点——那么为什么不直接将更多 CISO 选入董事会呢？McNerney 确实看到了其中的优势：“董事会中更积极、更有胆识的 CISO 将确保这些考虑 [以风险为中心的业务成果] 不是事后才考虑的事情，而是战略规划的核心部分。”

克莱恩的回答简洁明了，但他认为企业的反应性超过了此举的价值。“是的，公司董事会应该有更多的首席信息安全官，但这不太可能发生，因为长期以来人们认为安全是必要之恶，而不是明智的商业行为。”

安德烈斯承认这一价值，但也认为进展会很缓慢：“在 CISO 为董事会带来的价值方面，仍然存在知识差距，因此在我们看到董事会中的安全代表性显著增加之前，仍有一些工作要做来弥合这一差距。”

Beyond Blue 董事总经理、英国国防部前网络主管 David Ferbrache 也对大规模提拔董事会成员表示怀疑。“我们仍然不太可能看到 CISO 加入公司董事会，但他们将被要求定期向董事会汇报网络弹性。大多数董事会将求助于外部顾问，以增强他们对网络风险的了解，并提供独立的挑战和观点。非执行董事也将带来来自其他（可能受到更严格监管的）行业的观点。”

但已经有迹象表明，越来越多的人支持将 CISO 提升至董事会。“我们相信，随着 CISO 继续被视为商业领袖，并在某些情况下向 CEO 汇报，我们肯定会看到更多 CISO 进入董事会，”Kapoor 评论道。“他们领导着身处前线的团队，最了解组织的风险所在。”

AuthenticID首席数字官兼 CISO Chris Borkenhagen补充道：“我们应该看到更多 CISO 占据董事会席位。网络安全不再仅仅是 IT 问题；它是一个影响从运营到声誉等各个方面的基本业务问题……董事会中的 CISO 意味着采取更明智、更主动的方式来管理组织风险，这一趋势应该会在 2025 年继续下去。”

然而，值得注意的是，并非所有 CISO 都希望成为董事会成员。DomainTools的CISO Daniel Schwalbe 评论道： “CISO 已经忙得不可开交，因此他们接受董事会邀请的意愿可能很小。”

CISO 是否应该参与讨论仍是一个悬而未决的问题。一些公司正在发生这种情况，而且在 2025 年，这种情况可能会增加。但是，不会出现突然的大规模迁移。对于 CISO 来说，重要的是要在讨论中发出声音，而不是必须坐在讨论桌上。

增加预算？

无论 CISO 公开谈论公司安全预算如何，几乎没有人会拒绝增加预算。攻击在增加，攻击面在扩大，监管更加繁重，人工智能让一切变得复杂。然而，问题是他们能否获得预算。

Aronashvili 认为，由于威胁不断增加，2025 年的预算将会增加。“我们看到勒索软件、供应链漏洞和内部威胁激增，而且随着混合工作、物联网和多云环境扩大我们的攻击面，我们不能停滞不前。”

安德烈斯认为预算将保持不变，这实际上会让生活变得更加困难。“对于 CISO 来说，面对不断快速演变的威胁形势，这意味着要利用自动化并找到效率，以在相同的预算内提供相同水平的计划有效性。”

Splunk的首席信息安全官 Michael Fanning也认为预算将会增加，这可能是受到人工智能新需求的推动。“有了这些更大的预算，首席信息安全官可以采用人工智能等尖端工具来更好地检测威胁，采用自动事件响应系统来更快地做出反应，采用安全编排平台来简化运营。这些升级可以帮助企业在日益复杂的攻击中保持领先地位，从而更容易发现威胁并更快地做出反应。”

Ferbrache 认为，总体安全预算将会增加，但会分配给不同的部门，而不是直接交给 CISO。“安全预算的重新分配将标志着向联合安全责任的转变，以及‘左移’，即在设计中嵌入安全性和弹性。安全性将不再局限于单个部门；相反，它将嵌入所有企业部门。”

Kapoor 预计会有所增长，但前提是 CISO 愿意并能够证明有效的投资回报率。“风险量化等技术可以用货币形式显示投资的影响。预算已经连续几年增加，如果没有证据表明项目正在产生积极影响，我们就不能指望预算会增加。”

麦克纳尼简单地说，重要的不是资金规模，而是如何使用它。“我预计安全预算将在 2025 年增加，但我更关心的是把钱用在正确的地方，而不是简单地增加资金。”

简而言之，这是一个好坏参半的结果。2025 年预算可能会略有增加，但不会像 CISO 所希望的那样多，也不足以应对安全复杂性的增加。同时，任何增加都需要 CISO 提供更有力的理由。

韧性：2015 年的新焦点

安全的目标明显转向“弹性”。这是有道理的。越来越多的人认为，控制措施可以阻止攻击，但不能保证安全，这意味着在遭到入侵后幸存下来才是最终目标。弹性不是安全的替代品，而是安全的补充。

GuidePoint Security 首席信息安全官 Gary Brickhouse 表示：“对于事件而言，‘这不是是否会发生的问题，而是何时发生的问题’。任何组织都必须具备强大的恢复能力。首席信息安全官必须确定优先事项，并确保恢复计划到位、与业务战略保持一致并定期进行测试。虽然对于那些已经制定了强大计划的成熟组织中的首席信息安全官来说，这可能不是优先事项，但由于威胁形势不断扩大，它仍将列在优先事项清单上。”

GuidePoint Security 首席信息安全官 Gary Brickhouse

McNerney 的公司名为“Resilence”，他解释道：“我们将韧性定义为不仅能抵御攻击，还能快速恢复并最大程度减少业务中断的能力。这在概念上类似于健康不仅需要避免疾病，还需要能够恢复。”

从某种意义上说，恢复力是对响应方面的关注度增加，而响应又是安全方面的一个方面。“随着 CISO 角色的发展，在网络事件发生时确保运营连续性也将成为优先事项，”Britton 说。“快速恢复需要建立强大的事件响应框架并促进跨职能协作。”

这反过来又可能需要额外的投资，并对安全预算提出更高的要求。“首席信息安全官将优先考虑业务连续性和灾难恢复计划方面的努力和资金，包括对恢复技术的投资，”Klein 评论道。业务连续性的王牌——IT 镜像，可能很有效，但成本高昂。

然而，并非所有人都认为“弹性”只是炒作。“这一概念涉及通过适当的备份、勒索软件准备和响应流程为不可避免的攻击做好准备，”Centric Consulting 网络安全高级经理 Brandyn Fisher 解释道。“虽然它看起来是新的，但实际上是对现有安全基础的重新包装。”

即使目的并不新颖，人们也越来越认识到并关注安全的这一方面。“到 2025 年，首席信息安全官将倾向于这种弹性概念，将其嵌入到安全战略的各个方面——从持续监控和人工智能驱动的检测到定期评估和加强系统漏洞，”Borkenhagen 说。“目标是让弹性成为组织 DNA 的固有组成部分，”他补充道。

“CISO 的职责将越来越多地涉及恢复和弹性规划，”Ferbrache 表示。“特别是在金融等停机会带来巨大成本的行业，CISO 将在确保组织能够快速从数字中断中恢复以最大限度地减少财务损失和保障业务连续性方面发挥关键作用。”

Kyndryl全球安全与弹性主管 Kris Lovejoy非常认同这一概念。她声称：“安全领域越来越多人呼吁将重点从网络安全转移到网络弹性，并提议将 CISO 角色演变为‘网络弹性官’，其职责是管理所有网络风险，包括但不限于网络安全。”“这种转变是由不断发展的数字环境推动的：物联网扩展、混合云使用、生成性人工智能和高度互联互通，这使组织更容易受到网络威胁和破坏。”

Praxis Security Labs 首席执行官兼创始人 Kai Roer 阐述了这一概念。“关于韧性的讨论是战略性的，首先要问，我们为什么要投资安全，当我们找到答案时，为了确保我们能够度过另一天，以便我们明天也能做生意，风险管理要求我们需要管理风险，这不仅仅是建造更高的墙和更深的护城河。在现代风险环境中，专注于度过另一天，你的方法必须是务实和长期的。”