作為C級管理層的核心成員，CSO們似乎一直面臨著巨大的壓力。他們經常加班過度，工作量巨大，卻往往得不到應有的賞識。更糟糕的是，他們很可能成為背鍋俠，這已經成為網安行業的普遍觀點。許多CSO表示曾經遭遇過具有破壞性的網絡攻擊，這使得他們長期保持緊繃狀態，難以得到充分的休息。因此，與其他C級管理層相比，CSO們的離職率不斷升高，工作周期明顯縮短。

網絡安全的重要性正在不斷提升，這已經成為行業的共識。全球各地的網絡安全法規越來越嚴格，這使得CSO的價值不斷攀升，并且越來越多地向董事會報告，而不僅僅是向CEO/CIO匯報。在企業中，他們已經成為關鍵的吹哨人，有時甚至擁有否決業務決策的權力。無論是日益完善的法規還是威脅日益嚴重的網絡攻擊，都使得CSO們在董事會中擁有更大的發言權，成為戰略家和領導者。

上述兩種角色也讓CSO處于走鋼絲的境地，這是他們面臨的持續挑戰。他們需要在快速發展的業務中發揮作用，同時還要對業務成功指標負責，并保護企業的實際安全效果之間尋找平衡。換句話說，CSO既要向董事會證明安全團隊的價值，又要彌補由于人員短缺而導致的安全漏洞，并找到新的方法來減輕風險。這并不是一件容易的事情。

盡管董事會和CEO愈發重視與依賴CSO在網絡安全領域的意見，但是依舊存在以下問題：

• CSO與董事會的目標一致性逐漸提升，但仍存在不對稱。大多數CSO認為董事會或監管機構更關心合規性而不是最佳的安全實踐。資金不足成為削減企業安全投入的最佳利用，其次是未能支撐業務發展。
• 成為C級管理層的一員后，要求量化安全產生的價值就愈發明顯，給安全團隊帶來巨大壓力，當然也能成為申請明年預算的理由之一。
• 勒索攻擊正在成為CSO們的重要壓力點，Splunk發布的報告中指出，90%的CSO都表示其組織在2021年至少經歷了一次破壞性攻擊；超過八成企業支付了贖金，超過一半的企業支付了10萬美元以上的贖金。
• 沒有協作就沒有安全，安全并非單獨的個人，而是和IT、開發、云團隊等之間的協作對于提升組織安全力和恢復力至關重要，但是超過6成的受訪者認為團隊協作不盡如人意。

“用錢量化安全”

“董事會真正想要的是風險量化，他們想要用美元和分來衡量安全”，這大概是絕大部分CSO們的看法。因此在向董事會匯報工作時，不少CSO往往會體現安全的“投資回報率”。Splunk報告數據顯示：

• 26%的CSO表示，他們會分享安全測試的結果，向董事會指出最佳的干預點，以此體現在網絡安全領域的能力。
• 27%的CSO表示，他們優先報告安全投資的回報率，指出哪些干預措施和資金已經起到關鍵作用，為直接對話CFO并獲得對未來投資的支持鋪平道路。
• 25%的CSO表示，通過購買網絡保險可以證明其他安全投資的合理性。

86%的CSO認為，他們最大的責任是確保其管理機構/董事會看助安全投資的價值。正如交通領域的一位CSO所說：“董事會真正想要的是風險量化，他們想要用美元和分來衡量安全。”

但事實上，只有20%的董事會將“安全投資的回報率”作為成功的衡量標準。在對安全方面的投資并沒有那么高的回報率要求，但是在資金不足的情況下，安全依舊還是最容易被削減預算的部門。顯然，CSO與董事會之間的認知存在偏差，是導致CSO們離職率高的核心原因之一。

CSO與董事會對于企業安全建設成功的指標也存在明顯不一致。首先是合規性與安全性畫上等號，這是CSO們最難接受的地方。作為網絡安全行業專業人士，CSO更關注整體網絡安全能力建設的最佳實踐，而不是是否滿足了合規，但對于非專業的董事會來說并非如此。其中的原因可能是“合規監管要求越來越嚴格，并逐漸成為企業經營的紅線”。

另外，還有高層人員更喜歡用數字定義安全，并非我們想象中的數字化安全，而是通過一些數字來定義安全的價值。某CSO吐槽道，我們公司的董事會喜歡數字，但網絡安全的問題在于，很難得出一個數字來說明我們做得好還是壞。

因此，無論是CSO還是董事會成員們，是時候拉齊一下彼此的進度，確保雙方的目標保持一致才能更好地繼續做好安全工作。隨著全球網絡安全法規日漸完善，對于擴大CSO的影響有著巨大幫助，一旦企業出現嚴重安全事故，CEO也要對此負責，公司的品牌價值、股價、業務都有可能遭受嚴重影響。這將有利于CSO們建立企業的安全文化，雖然改變文化的過程還需要大量的時間，但起碼這已經是一個非常良好的開端：提高員工安全意識，也要提高董事會成員的安全意識。

CSO角色持續變化

毫無疑問，CSO正逐漸成為企業內部的重要吹哨人。對于企業安全負責人來說，當面對將業務置于風險之中的行為，如果是出于故意忽視安全最佳實踐和合規要求，他們不但有權一票否決，而且有責任成為最后的防線。實際上，這也與CSO的個人利益密切相關。幾乎所有的網絡安全法規都明確要求，在發生重大安全事件時，CSO或安全負責人需要承擔相應責任。

因此，大多數CSO都視吹哨行為為一種趨勢。有82%的受訪CSO表示，若他們的組織故意忽視安全最佳實踐和合規要求，他們會考慮擔任吹哨人的角色。這反映了他們對于職業道德的堅守，以及從組織安全失誤中吸取的教訓。隨著全球網絡安全法規的不斷完善，CSO不僅是企業安全的守護者，更是在安全事件中的直接責任人，一旦出現問題，可能面臨法律責任，甚至刑事處罰。因此，不少CSO都保持著與法律顧問的緊密聯系，以便在必要時獲得專業建議。

當然，CSO角色的轉變不僅限于法規層面，技術和管理層面的變化同樣深刻。不可否認，當今的CSO面臨的挑戰比20年前要大得多。技術環境的迅速變化要求安全領導者不斷更新知識，學習最新技術。無論是云計算、區塊鏈、人工智能還是機器學習，每一種新工具、新方法或新框架的采用，都需要精心的配置、部署和保護。這些挑戰，加之企業環境的復雜性日增，給CSO帶來了前所未有的難題，而且很多問題缺乏現成的解決方案。

特別是人工智能和自動化技術的廣泛應用，帶來了深遠的安全影響。通用型服務如ChatGPT，以及其他垂直領域的成熟或發展中產品，都是人工智能和自動化技術在安全領域應用加速的例證。這意味著CSO需要關注這些新技術將如何影響他們的工作。

這只是眾多挑戰中的一個例子。網絡安全行業對CSO的要求日益嚴苛。在具備專業網絡安全能力和商業洞察力的基礎上，CSO還需要理解企業的商業模式和戰略，確保網絡安全與企業戰略相協調，以提升企業的生產力和盈利能力。此外，CSO還需掌握數據分析、風險管理和業務戰略等更廣泛的技能。

CSO的角色已不再僅限于技術安全，他們正變成業務推動者。網絡安全領域正在經歷一場變革，而對CSO而言，最大的變革是他們必須成為全方位的戰士，不僅精通自己的專業領域，還要深入了解公司的其他部分，如營銷、銷售、工程、產品、設計、數據等。企業高層希望CSO不僅精通這些領域，在溝通時能夠使用業務語言，并在決策時考慮到業務相關目標。

領導力對CSO而言至關重要。網絡安全不再是一個孤立的領域，CSO需要與技術部門、非技術部門甚至客戶進行有效溝通。商業能力、敬業精神和卓越的溝通技巧，這些能力的綜合運用，將使我們在安全領域迎接更大挑戰成為可能。

與其他領導層相比，CSO面臨的一個獨特挑戰是，網絡安全是一個對負反饋反應迅速的領域。對于企業來說，晚一年采用新興技術可能不會立即帶來變化，競爭劣勢可能幾年后才顯現。但網絡安全不同，如果CSO延遲采用新興安全措施，可能會立即面臨安全事故；如果延遲滿足法規要求，監管機構也不會因為反應慢而寬容。網絡安全領域的這一現狀要求CSO必須在規定時間內采取相應措施，這是一個無法回避的現實。

考驗網絡安全韌性的時代

在數字化轉型的今天，企業面臨著法律法規的合規化需求，尤其是在強監管行業如金融領域。相關的數據保護條例已經成為企業安全建設的最低標準，是每個企業必須遵守和投入的基本內容。另一方面，從網絡攻擊的角度看，黑客的技術始終比廠商的技術更為先進，而且黑客更容易采用更新的技術進行網絡攻擊。

因此，企業內部需不斷強化韌性，以應對不斷更新的網絡安全風險。建立韌性文化是一項艱巨的任務，但卻是CSO們不得不去完成的一項任務。在數字韌性的合作上需要有一個基礎性的從規劃和產品現代化到業務和產品戰略的全面布局。為此，不少CSO認為安全應該成為現代化過程的一個不可分割的部分，借助重構韌性可以講安全整合嵌入至軟件開發生命周期中。

更強大、更安全、更具韌性的安全體系需要全村人的努力，這就意味著，CSO們必須具備更強大的組織間協作的能力，尤其是雨IT、運維等部門之間的親密合作變得至關重要。

在這樣的背景下，等待CSO們的挑戰將會變得更加明顯。CSO不光需要學習與安全相關的專業技能，還有大量的管理能力、社交能力、人脈資源、視野眼界、自身包裝等，都是CSO們必須要經歷或掌握的。

這里簡單列舉一些CSO必備技能。

1、技術功底

信息安全是一個融合了多個學科的信息技術子類，涵蓋了網絡、數據庫、操作系統、IDC機房、中間件、密碼學、社會工程等多個領域。各個領域的信息技術均需要有所掌握，否則很容易出現外行領導內行的情況，輕則欺上瞞下，重則出現嚴重安全事故。

2、組建安全團隊

安全是一項綜合性的戰斗，沒有人能夠獨當一面，企業的安全運營，涉及安全隱患的發現、安全缺陷的整改、安全事件的監測、響應與處置。都需要有專業的人來對應做專業的事，才能實現有效的協同。

CSO組建團隊之后，還需要對團隊進行培養與帶領。信息安全團隊內的組織架構一般要覆蓋幾個模塊：安全意識教育、安全策略與規劃、體系與流程建設、必要的業務安全、技術防護、攻防滲透、審計和檢查、事件響應、運營與優化等。

3、業務協同

溝通是CSO必備基本與核心技能之一。CSO找到信息安全工作的核心客戶、核心干系人，及時、有效與核心客戶、干系人達成一致，讓核心客戶、核心干系人支持信息安全工作，CSO的工作已經成功了一半；反之則會重重阻礙。很多技術出身的安全人員擔任管理崗位后，往往沒有特別好的業績輸出，其實就是輸在和客戶、干系人的溝通管理上。

4、全局安全建設

作為CSO，應該對自己企業、所處行業的業務有足夠的認識與理解，業務模式是什么？靠什么賺錢？錢是怎么花出去的？業務的架構是什么樣子？核心的業務能力是什么？支持這些業務開展的業務核心流程是哪些？支持性的業務流程與職能有哪些？業務職責分工？關鍵業務人員、團隊？支撐核心業務的系統有哪些？技術團隊關鍵人員？

5、資源獲取

獲取必要的資源是CSO的重點工作之一，不同的企業環境下可能還是核心工作。資源包括人、財、物、政策、內部支持者、供應商、合作商資源。如何說服老板加大對安全的資源投入，也是一項重要能力，同時也是一門藝術。

無論是國內還是國外，對于CSO的要求正在不斷豐富。CSO們，以及想要成為CSO的網安從業者們，做好準備，加油吧。雖然挑戰越來越多，但與之相對應的是，CSO話語權也越來越多。很多時候，責任和權利往往是對等的。