自90年代末出現(xiàn)伊始，***信息安全官(CISO)就是個充滿技術性的工作。CISO可能位于***信息官(CIO)之下，得向CIO報告;可能擁有多種多樣的背景，比如系統(tǒng)或網(wǎng)絡管理員，甚至安全運營中心(SOC)安全分析員。幾乎所有CISO都是男性，要么有計算機科學從業(yè)經(jīng)驗，要么是軍方高級管理人員。

[[151507]]

但是，最近幾年，隨著勞動力多元化和商業(yè)利益與安全愈趨緊密的聯(lián)系，這一關于CISO的傳統(tǒng)看法也發(fā)生了改變。

于是，今時今日，來自各種背景的男女CISO們在CISO的舞臺上各展神通，貢獻著各自的技術與經(jīng)驗。他們可能不全是注冊信息系統(tǒng)安全師(CISSP)，但他們知道怎樣溝通，怎樣管理，怎樣為信息安全構建業(yè)務用例。

這些下一代CISO中的某些人來自那些你可能不會與信息安全聯(lián)系起來的領域，比如心理學、社會學和法律。

不過，這一工作并不好做，盡管薪水豐厚。CISO的職責在不斷增加，工作時間很長，且任何安全事件處理上稍有不慎通常就意味著被解雇。

“CISO的角色一直在進化，現(xiàn)在對CISO的期待是要既懂安全，又精通技術，還有商業(yè)意識。”英國皮爾斯出版社(Pearson)安全運營中心主管貝基·平卡德說，“合適的CISO是資源武器庫中對付網(wǎng)絡安全問題的***武器。”

互聯(lián)網(wǎng)安全軟件廠商Websense信息安全和戰(zhàn)略官尼爾·撒克認為，公司企業(yè)應從其它行業(yè)中尋找CISO。

“新CISO產(chǎn)生于與已經(jīng)陷入風險的本業(yè)務領域不同的其他領域。”他告訴CSO在線網(wǎng)站說，“出自審計和合規(guī)背景的人會更少，但對法規(guī)、管理和風險更深的理解在展示對這一領域的懂行上是很重要的必備技能點。”

“傳統(tǒng)CISO路線或許依然走的是將技術、咨詢和顧問技巧看做是該角色的有力背景支持。”

董事會的支持仍然是個問題

思科去年年度安全報告表明CISO與自身安全團隊步調(diào)不一致，其他研究也發(fā)現(xiàn)了有關供應鏈和事件響應能力的嚴重問題。與此同時，像IT主導的報告層級和讓董事會予以支持等老問題還在持續(xù)惡化——揭示出CISO這項工作仍有許多挑戰(zhàn)。

英國Arriva公交公司CISO尼克·韋爾斯說，某些公司依然將CISO視為“純粹的IT角色”，“不應該插手其他業(yè)務”。他承認自己***的挑戰(zhàn)就是“在財務方面向公司展現(xiàn)信息安全和良好風險管理的價值”。

撒克稱與董事會的割裂對大多數(shù)CISO而言仍是嚴重問題。

2020年的CISO將更多地融入業(yè)務環(huán)節(jié)，面向業(yè)務關系。他們將在被賦予公司所有權和責任方面更加拉近與公司資產(chǎn)的距離。

尼爾·撒克——互聯(lián)網(wǎng)安全軟件廠商Websense信息安全和戰(zhàn)略官

“與董事會更緊密的協(xié)作是亟需做出的改變。討論商業(yè)風險，讓商業(yè)威脅需求定期在董事會上提出。“

“CISO的角色也應做出改變，要將事件和風險分擔囊括進來。很多公司大范圍分配數(shù)據(jù)和風險所有權卻極少賦予這些所有人權力，也不委派給他們足夠的責任。”

撒克補充道：由于新的全球數(shù)據(jù)保護法律和從網(wǎng)絡到數(shù)據(jù)安全的預算改變，未來的安全經(jīng)理人不得不更多地咨詢數(shù)據(jù)保護和法律團隊。

“當前的挑戰(zhàn)是CISO角色的復雜性和在達到合規(guī)及法律要求的同時及時處置事件的能力。復雜性還被第三方風險——今天的CISO不得不承擔的公共監(jiān)護人角色，愈加加重了。這是份與眾不同的工作。”

空中交通管理公司NATS的CISO安德魯·羅斯相信，未來的CISO們將不得不更加關注商業(yè)策略。

“CISO的角色正變得更為側重業(yè)務。我的角色職責就是施加影響、管理利益相關者、定位和溝通。我的工作不太會是決策、做風險評估或了解市場上***的技術解決方案。”

“我要做的就是讓董事會的視線看往正確的方向，以便他們同意將金錢和資源投進去，并認識到這么做的好處。我不覺得自己是唯一一個處于這種層面的CISO，我想將來更多的CISO將不得不做這么做。”

‘遠見’CISO正在崛起

皮爾森的平卡德同意這一觀點，并補充道，公司企業(yè)應該尋求一種安全上的‘遠見’。

“未來幾年，公司企業(yè)將找尋經(jīng)驗、領導力、金融知識、商業(yè)洞見和安全技術的合理組合。他們將需要一個能將必要的‘老式’方法和在數(shù)字時代脫穎而出所必須的創(chuàng)新思維結合在一起的前向式遠見家。”

與此同寺，信息安全顧問菲爾·克拉克內(nèi)爾認為，CISO的角色可能發(fā)展到與***風險官(CRO)的關聯(lián)起來。

“CISO將成為CRO的下屬角色，退回到專注技術而讓CRO去考慮更大范圍的商業(yè)風險。”克拉克內(nèi)爾補充道，由于人工智能實時警報的出現(xiàn)，這一角色甚至可能發(fā)展為“部分人工部分機器”。

撒克表示，與業(yè)務保持一致的安全官的出現(xiàn)可能催生出網(wǎng)絡安全戰(zhàn)略官(CSSO)這一角色。

“2020年的CISO將更多地融入業(yè)務環(huán)節(jié)，面向業(yè)務關系。他們將在被賦予公司所有權和責任方面更加拉近與公司資產(chǎn)的距離，將負責提供有意義的指標來衡量董事會層面的風險敞口。”

“關鍵風險指標將是成功的重要度量，當前很多公司部署的基于威脅的戰(zhàn)術性策略將被移除。”

2020的***

羅斯稱，當前和未來的CISO應利用內(nèi)部培訓來深化自身職業(yè)發(fā)展，更多地了解公司業(yè)務。

“內(nèi)部管理培訓非常好，有點像迷你MBA。你會被要求運營一個虛擬的公司，參加金融和市場營銷教育課程……這就是CISO如今得知道的金砂。”

“他們的成為更全面的商業(yè)通才。如果不這樣，就會被取代，被裁員。因為如果CISO參加董事會會議卻大談特談技術、病毒和TCP/IP數(shù)據(jù)包，下次他們就不用來了。”

韋爾斯敦促潛在的CISO：“學點商業(yè)，提升你的能力，像個技術團隊和業(yè)務部門之間的解釋器/翻譯一樣工作。要能從諸如敞口、聲譽影響、金融風險之類的業(yè)務上解釋技術風險。”