CSO名人堂入選者預計未來幾年將承擔更廣泛的職責、面臨更多壓力并肩負更高的責任。

作為沃爾瑪?shù)膱?zhí)行副總裁兼CISO，Jerry Geisler是該公司的頂級高管。

這一職位，加上公司在網(wǎng)絡(luò)安全項目上的持續(xù)投資，反映了沃爾瑪對“成為一個網(wǎng)絡(luò)安全公司”的承諾，他表示。

更重要的是，這也突顯了CISO角色的持續(xù)演變。

“過去，安全常常是數(shù)字化領(lǐng)域的事后考慮，然而，到2024年，各企業(yè)正在優(yōu)先考慮構(gòu)建安全的應(yīng)用程序、系統(tǒng)和服務(wù)。在這方面，沃爾瑪作為行業(yè)先驅(qū)表現(xiàn)突出，公司早已重視信息安全。將CISO的職位提升到沃爾瑪?shù)膱?zhí)行副總裁級別，在全球范圍內(nèi)都是罕見的現(xiàn)象。”Geisler說。

他補充道：“這一積極趨勢突顯了CISO在各行業(yè)中塑造業(yè)務(wù)級決策的重要性日益增加。”

Geisler是今年10位CSO名人堂入選者之一，他的觀察并非孤立。2024年名人堂的其他成員也認為，CISO角色正從其傳統(tǒng)的技術(shù)根源轉(zhuǎn)變?yōu)楦呒墤?zhàn)略性高管職能。隨著這一轉(zhuǎn)變，賦予安全主管的職責范圍也在不斷擴大。

“當我剛開始職業(yè)生涯時，網(wǎng)絡(luò)安全被嵌入在IT中，而IT當時仍然被視為后臺職能。網(wǎng)絡(luò)安全更多地被視為一種保險，但現(xiàn)在它已經(jīng)演變?yōu)橐环N前臺職能，是一種區(qū)分性優(yōu)勢，并幫助推動業(yè)務(wù)增長。”GE Vernova的全球副總裁兼CISO Teresa Zielinski表示，“今天，CISO的角色正在進一步發(fā)展。我們現(xiàn)在看到它演變?yōu)橐粋€更具戰(zhàn)略性的高管角色，不僅引領(lǐng)網(wǎng)絡(luò)安全，還涵蓋風險和韌性。”

更多職責，更多責任

自1990年代中期以來，首席安全官的工作一直處于變革之中，Zielinski的職業(yè)生涯也反映了這一角色的變化軌跡。

與許多CISO一樣，Zielinski最初在IT領(lǐng)域工作，12年后她于2009年轉(zhuǎn)入網(wǎng)絡(luò)安全領(lǐng)域，當時她被要求領(lǐng)導一個應(yīng)對安全事件的團隊。

Zielinski很快意識到，網(wǎng)絡(luò)安全不僅僅是防止不良事件發(fā)生，還可以用于支持業(yè)務(wù)目標。

她看到，網(wǎng)絡(luò)安全貫穿所有職能，了解驅(qū)動業(yè)務(wù)的流程和技術(shù)，使安全領(lǐng)導者能夠掌握全局，安全團隊不僅熟悉企業(yè)面臨的各種風險、法規(guī)和要求，還通過與IT合作確保產(chǎn)品安全，連接客戶并影響客戶的體驗和對公司的信任感。

“網(wǎng)絡(luò)安全必須貫穿每個職能，彌補差距，確保流程按預期運作，”她說，“在安全領(lǐng)域，你必須了解客戶的需求，了解需要滿足的法規(guī)，并利用這種理解影響你的高管同事。當我看到這一點時，我意識到這個角色更大，不僅僅是將網(wǎng)絡(luò)安全作為一種保險，而是主動推動業(yè)務(wù)發(fā)展。”

她提到，越來越多的企業(yè)正在采用“安全優(yōu)先思維”，作為證明。即在數(shù)字產(chǎn)品的開發(fā)過程中，從一開始就將安全內(nèi)置其中，而非事后考慮——就像汽車生產(chǎn)時不會在安全性方面馬虎，安全性是其中不可或缺的一部分。

“沒有人會買一輛沒有安全功能的汽車。同樣，數(shù)字產(chǎn)品，尤其是AI和GenAI服務(wù)，也必須具備安全功能。”她說。

此外，Zielinski預計未來會有更多CISO承擔更廣泛的職責，并逐步進入企業(yè)領(lǐng)導層的最高階層。

更具體地說，她認為網(wǎng)絡(luò)安全職責將與風險和韌性責任相融合，這是合乎邏輯的，因為網(wǎng)絡(luò)安全、風險管理和韌性建設(shè)都是關(guān)于識別和彌補漏洞，確保企業(yè)不僅能夠在事件中幸存下來，甚至能在面對各種風險時繼續(xù)發(fā)展壯大。

“CISO和首席風險官將更緊密地合作，或者這兩個職位可能會合并為一個，不僅負責網(wǎng)絡(luò)安全，還負責風險管理和韌性建設(shè)。”Zielinski補充道。

加拿大國家鐵路公司的CISO Vaughn Hazen也表示，他同樣看到CISO這一職位在承擔比以往更多的風險管理職責。

“實際上，這已經(jīng)本質(zhì)上是一個風險管理的角色，核心在于管理風險。”他說。他還指出，日益增多的安全法規(guī)推動了CISO在承擔更多合規(guī)元素方面的職責。

他提到，如今的CISO往往負責數(shù)據(jù)隱私，并且越來越多的CISO開始承擔第三方風險和供應(yīng)鏈風險的管理——他預計這一趨勢將持續(xù)下去。

這些趨勢加大了CISO的壓力，同時也提高了他們的責任感，他補充道。

“你必須清楚了解自己暴露于哪些風險之下，因此你必須理解業(yè)務(wù)及這些風險對業(yè)務(wù)的潛在影響，你還必須理解你所制定的政策、流程和技術(shù)對風險及整個企業(yè)的影響，并且，你必須能夠為自己的決策進行辯護。”Hazen說道，“你必須培養(yǎng)這樣一種心態(tài)：‘如果我需要在法庭上為我的立場辯護，我是否會對自己做出的決策感到放心?’并且，答案必須是肯定的。”

首席網(wǎng)絡(luò)與風險官的崛起

Softbank Investment Advisers的CISO Gary Hayslip也看到了類似的趨勢。

“我現(xiàn)在認為這個角色是利用技術(shù)、人員和流程來管理風險。”他說，并將這一變化視為首席安全官職位逐漸成熟的一部分。

他補充道，這反過來正在重塑CISO的職責，并改變這一職位在許多企業(yè)中的性質(zhì)。

他了解到，有些CISO職位負責治理、風險和合規(guī)(GRC)，有些負責風險和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，還有一些負責風險和IT。他預計未來的職位名稱將反映出這種整合趨勢，CISO將演變?yōu)槭紫W(wǎng)絡(luò)與風險官或首席網(wǎng)絡(luò)與隱私官(這一變化已經(jīng)在少數(shù)企業(yè)中開始出現(xiàn))。

“這種整合將成為常態(tài)。”Hayslip補充道。

PNC Bank的執(zhí)行副總裁兼CISO Susan Koski也認為CISOs將承擔更多職責。

“CISOs的職責范圍非常廣泛，必須從技術(shù)轉(zhuǎn)向法律、市場營銷、溝通、關(guān)系管理和財務(wù)等領(lǐng)域。”她說，“這導致越來越多的CISOs被要求承擔更廣泛的角色，有些甚至成為CIO，另外，包含物理安全和欺詐管理的自然演變也在發(fā)生，某些功能的融合可以實現(xiàn)最優(yōu)的交付，該職位將繼續(xù)發(fā)展，特別是在身份驗證方面——需要適當且持續(xù)地驗證客戶和員工，并減少對易受釣魚攻擊的憑證的依賴。”

然而，2024年名人堂的成員們表示，所有這些變化并不能替代或超越CISO對技術(shù)的精通和對網(wǎng)絡(luò)安全操作的基礎(chǔ)知識以及不斷發(fā)展的最佳實踐的深刻理解。

“網(wǎng)絡(luò)安全還是網(wǎng)絡(luò)安全，你仍然需要做基本的網(wǎng)絡(luò)衛(wèi)生工作。”Hayslip說道。

職位進化的驅(qū)動力

許多因素推動了CISO角色的演變，并且未來還會繼續(xù)推動這種演變，而一個重要的驅(qū)動因素是過去二十多年間數(shù)字化的到來。

“在當今的商業(yè)環(huán)境下，安全與運營更加緊密地交織在一起。如果你無法做好安全工作，現(xiàn)在對業(yè)務(wù)的影響要比過去顯得更為顯著。”Hayslip表示。

展望未來，Geisler認為，技術(shù)環(huán)境的變化將繼續(xù)推動CISO角色的演變。

“在不斷變化的技術(shù)環(huán)境中，CISO角色對企業(yè)至關(guān)重要，并將持續(xù)演變。作為職能領(lǐng)導者，CISO需要應(yīng)對從自動化到GenAI等技術(shù)進步，跟隨技術(shù)的發(fā)展方向。”他說，“雖然AI主導了當前的討論，但量子計算的未來也日益臨近。在未來五到七年內(nèi)，量子計算有望與當前的GenAI平分秋色。數(shù)據(jù)量、處理需求和速度將成為許多CISO關(guān)注的首要問題。”

其他入選者也提到，AI和量子計算將塑造未來幾年CISO的工作，進一步推動安全與業(yè)務(wù)流程和產(chǎn)品的深度整合。

入選者們還認為，日益增多的安全相關(guān)法規(guī)和安全相關(guān)要求(如數(shù)據(jù)隱私法律和標準)也將擴大CISO的職責范圍，并提升其角色的重要性和影響力。

他們還相信，CISO面臨的個人和職業(yè)責任日益增加，這正在推動CISO角色的變化。

這種責任感使安全負責人得到了所謂的“在高管會議上的席位”，參與董事會會議，并受到公司董事和高管責任險(D&O保險)的保障——未來幾年內(nèi)，越來越多的CISO將獲得這些待遇。

此外，CISO的發(fā)言權(quán)和執(zhí)行安全措施的權(quán)力也在不斷增加。

Hayslip表示，這將使越來越多的CISO領(lǐng)導者“像他們應(yīng)有的那樣被視為高管角色。”