打破对CISO角色的七大误解

CISO（首席信息安全官）角色经常被高管、董事会成员，甚至自己的团队成员误解。这些误解不仅限制了 CISO 的真正潜力，更可能危及整个组织的安全态势。以下是关于CISO的七大误解：

CISO不仅仅是负责更改密码、应用补丁和设置防火墙的人。如今的CISO通常不太参与日常运营。

他们更关注大局问题，比如在云中保护工作负载和应用程序，以及AI工具。此外，他们有时还会参与并购战略，评估潜在收购目标的安全状况，以识别可能影响估值、合规性或与现有公司业务整合的任何风险。

很多人误认为，CISO的日常工作主要是应对事件和了解新兴威胁。Liberty Mutual保险公司执行副总裁兼CISO Katie Jenkins就有这样的体会。她更正说，虽然在日常工作中她确实需要处理这样的工作，但是她的时间也花在主动规划、与利益相关者沟通上，以了解他们的优先事项，并开展培训工作，其中也包括自我培训。此外，她补充说，由于网络安全领域变化太快，她需要投入时间跟进研究，并与其他CISO进行交流。

专家表示，除了保护基础设施外，一个高效的CISO还要专注于保护业务。这需要了解安全如何融入业务；不仅仅是专注于风险管理，还要确保安全帮助公司发展而不会创造其他问题。

是时候将CISO视为战略业务领导者，而不仅仅是“技术执行者"。

尽管拥有世界上最好的工具和最好的安全堆栈，如果员工仍然随意点击钓鱼链接或重复使用弱密码，这一切都将是白费。因此CISO角色正在演变，他们必须扮演多种角色，充当心理学家、教育者和外交官，以说服人们安全是每个人的工作。

这是因为在通常情况下，没有人会考虑太多安全问题，直到问题出现。此外，领导层可能不认为安全是企业文化的一部分。专家表示，一个强大的CISO花在与人合作上的时间应该与使用工具的时间一样多。

安全资源公司LLC.org的CISO Sam Taylor说："我已经数不清有多少次有人认为我的一天都在配置防火墙或修补漏洞。"但是实际上，她工作的约70%是风险管理、沟通，并确保安全在高管层面受到重视。她在董事会会议室花的时间甚至比在安全运营中心花的时间还多。

“领导团队不关心技术术语；他们关心的是财务方面的风险。"她说。当Taylor解释弱安全态势可能会导致数百万美元的收入损失、法律费用和监管罚款时，他们就会倾听。

在她看来，CIOS的角色因此已经改变，不能与时俱进的CISO很难在组织内部产生真正的影响。这样，她说："一家公司即便拥有市场上最好的安全工具，如果安全不是文化的一部分，数据泄露事件仍然会发生。"

这一切应该从高层开始做起。然而，"仍有相当多的董事会和业务领导者将网络安全视为IT功能而非业务风险问题，"MorganFranklin Cyber的Allen说，"我在金融行业的一位同行指出，他们的董事会期望通过工具和软件来解决安全威胁，而没有认识到治理、员工培训和文化变革的重要性。"

许多人认为网络安全是一个技术问题，LexisNexis Risk Solutions的技术高级副总裁兼全球CISO Flavio Villanustre表示同意。"这远非事实。现代CISO负责网络安全的所有方面，远远超出其技术组件和影响，"他说。

关于CISO角色的误解在特定行业中尤为明显。例如，在媒体和电信行业，安全通常被视为合规性检查项或IT功能，而不是业务弹性的基本推动者。Allen举例说，一位数字媒体机构安全高管曾分享，该机构领导层专注于监管合规，但忽视了主动安全投资，直到一次严重的数据泄露事件危及了用户数据。

"在科技公司，安全有时被视为一个工程问题，高管们认为DevOps团队可以在没有专门治理的情况下处理安全问题。"Allen指出，"现实是，安全需要融入业务战略，从媒体的知识产权保护到保护电信网络免受国家级威胁。"

许多高管和董事会认为聘请CISO意味着安全就得到了保障，CISO对安全战略拥有完全自主权。事实上，网络安全应该是全公司的责任，而且安全领导者通常在激进的产品路线图、紧张的预算和高管风险容忍度的限制下工作。而当事件发生时，CISO经常被追究责任，即使安全建议已被业务降低了优先级。

对此MorganFranklin Cyber的Allen表示，没有跨职能协作，CISO的影响是有限的。许多CISO在分享他们的倡导安全计划时，经常遇到领导层优先考虑便利性或短期财务收益，而非长期风险降低的阻力。

例如，Allen的一位来自财富500强公司的前客户告诉他，预算限制和业务风险容忍度经常凌驾于安全建议之上。因此，安全领导者必须在艰难的妥协中前行，当事件发生时，他们却可能会被不公平地指责。即使由于业务权衡，他们的建议没有得到完全实施。

她举例，一家快速扩张的SaaS公司前CISO曾透露，在领导层优先考虑上市速度而非安全编码实践的情况下，执行更严格安全措施就非常困难；而在电信领域，安全团队可能会就保护关键基础设施提供建议，但最终决策受业务优先事项、监管压力和客户需求的影响。

CISO头衔中有一个“C（首席）”字母，被误认为是公司的高管。事实上，大多数CISO并不是公司的高管，他们的角色和头衔在不同组织中可能有所不同，并非所有CISO都是传统C级高管的一部分。

此外，在法律或监管环境中，公司高管通常是由董事会任命并受特定SEC规则约束的人员。CISO通常不被视为这种意义上的公司高管。

有专家分析，高管和董事受公司的董事和高管保险政策保护。而当一个组织发生严重的网络安全事件（如数据泄露、系统被黑客入侵等）时，如果CISO没有适当的法律保护或保险保障，可能会面临个人层面的法律责任和后果。

尽管CISO负责保护组织免受网络威胁，但他们无法控制威胁环境本身，却可能因安全事件而承担个人法律责任。正可能因为这个原因，导致CISO平均任期短，范围在18至26个月之间，远低于C级高管的五年平均任期。

因此专家认为，对CISO和CISO候选人来说，询问公司是否会为他们提供单独的保险政策或其他保障措施，以确保他们在为公司最佳利益行事时不会被起诉至关重要。

人们有一种不切实际的期望，认为安全领导者应该能够在漏洞发生前阻止每一次漏洞。漏洞总会发生。安全专家表示，CISO重要的工作是最小化影响，保持系统弹性，并确保公司在之后迅速恢复。有效的安全防御不仅依赖于技术和专业团队，还依赖于整个组织的安全意识和参与度

"人们常常认为CISO可以阻止所有攻击，但这与事实相去甚远，"网络安全咨询公司RedSecLabs的CEO兼创始人Rafay Baloch认为，安全事件的发生是时间问题而非可能性问题。

这源于一个重大误解，即"网络安全只由具有网络安全职称的人员完成“。而事实上，整个组织都是第一道防线。Liberty Mutual的Jenkins说，“需要每位员工都'披上斗篷'。”她举例，Liberty Mutual的负责任防御者计划要求公司全球4万名员工"使用他们的培训和直觉，帮助网络安全团队识别并保护公司免受网络攻击。

业务领导者通常将安全视为路障，并认为CISO通过极端风险评估和合规要求阻止创新。而另一方面，许多CISO坚持认为他们实际上通过确保创新安全来帮助企业更快前进。

事实上，安全应被视为需要每个部门支持的全公司职能，CISO不应被视为抵御网络威胁的孤独卫士。

安全领导者常常被认为减缓了创新。Allen举例说，初创公司可能抵制在用户体验中引入影响易用性的安全控制，而媒体公司可能反对数字版权管理(DRM)执行，因为它使内容分发复杂化。"实际上，CISO并非反对创新；他们是为了确保可持续增长，通过将安全嵌入数字转型努力中，而不是后期添加。" Allen说。

在许多行业，CISO必须平衡风险与业务敏捷性、监管需求与用户体验，以及网络安全与企业创新目标。Allen说："他们的角色超出了技术监督，他们必须是战略合作伙伴，架起安全、产品开发和业务运营之间的桥梁。"

有一种错误的印象，认为CISO可以处理工作压力。尽管组织全天候全年无休地受到攻击。人们认为达到CISO级别的网络安全人员不必担心自己的心理健康，Touhill认为这是"一个恶性神话"。

他强烈鼓励CISO不仅要为安全团队的心理健康制定计划，还要有一个优秀的副手，以便在自己休假的时候随时接手工作。他补充说："如果马拉松永不结束，你就无法赢得马拉松。你必须照顾好自己，并时刻关注自己的心理健康，而不仅仅是你照顾和领导的人。"