CISO（首席信息安全官）角色經常被高管、董事會成員，甚至自己的團隊成員誤解。這些誤解不僅限制了 CISO 的真正潛力，更可能危及整個組織的安全態勢。以下是關于CISO的七大誤解：

1.CISO只是"安全人員"

CISO不僅僅是負責更改密碼、應用補丁和設置防火墻的人。如今的CISO通常不太參與日常運營。

他們更關注大局問題，比如在云中保護工作負載和應用程序，以及AI工具。此外，他們有時還會參與并購戰略，評估潛在收購目標的安全狀況，以識別可能影響估值、合規性或與現有公司業務整合的任何風險。

很多人誤認為，CISO的日常工作主要是應對事件和了解新興威脅。Liberty Mutual保險公司執行副總裁兼CISO Katie Jenkins就有這樣的體會。她更正說，雖然在日常工作中她確實需要處理這樣的工作，但是她的時間也花在主動規劃、與利益相關者溝通上，以了解他們的優先事項，并開展培訓工作，其中也包括自我培訓。此外，她補充說，由于網絡安全領域變化太快，她需要投入時間跟進研究，并與其他CISO進行交流。

專家表示，除了保護基礎設施外，一個高效的CISO還要專注于保護業務。這需要了解安全如何融入業務；不僅僅是專注于風險管理，還要確保安全幫助公司發展而不會創造其他問題。

是時候將CISO視為戰略業務領導者，而不僅僅是“技術執行者"。

2.安全純粹是技術功能

盡管擁有世界上最好的工具和最好的安全堆棧，如果員工仍然隨意點擊釣魚鏈接或重復使用弱密碼，這一切都將是白費。因此CISO角色正在演變，他們必須扮演多種角色，充當心理學家、教育者和外交官，以說服人們安全是每個人的工作。

這是因為在通常情況下，沒有人會考慮太多安全問題，直到問題出現。此外，領導層可能不認為安全是企業文化的一部分。專家表示，一個強大的CISO花在與人合作上的時間應該與使用工具的時間一樣多。

安全資源公司LLC.org的CISO Sam Taylor說："我已經數不清有多少次有人認為我的一天都在配置防火墻或修補漏洞。"但是實際上，她工作的約70%是風險管理、溝通，并確保安全在高管層面受到重視。她在董事會會議室花的時間甚至比在安全運營中心花的時間還多。

“領導團隊不關心技術術語；他們關心的是財務方面的風險。"她說。當Taylor解釋弱安全態勢可能會導致數百萬美元的收入損失、法律費用和監管罰款時，他們就會傾聽。

在她看來，CIOS的角色因此已經改變，不能與時俱進的CISO很難在組織內部產生真正的影響。這樣，她說："一家公司即便擁有市場上最好的安全工具，如果安全不是文化的一部分，數據泄露事件仍然會發生。"

這一切應該從高層開始做起。然而，"仍有相當多的董事會和業務領導者將網絡安全視為IT功能而非業務風險問題，"MorganFranklin Cyber的Allen說，"我在金融行業的一位同行指出，他們的董事會期望通過工具和軟件來解決安全威脅，而沒有認識到治理、員工培訓和文化變革的重要性。"

許多人認為網絡安全是一個技術問題，LexisNexis Risk Solutions的技術高級副總裁兼全球CISO Flavio Villanustre表示同意。"這遠非事實。現代CISO負責網絡安全的所有方面，遠遠超出其技術組件和影響，"他說。

關于CISO角色的誤解在特定行業中尤為明顯。例如，在媒體和電信行業，安全通常被視為合規性檢查項或IT功能，而不是業務彈性的基本推動者。Allen舉例說，一位數字媒體機構安全高管曾分享，該機構領導層專注于監管合規，但忽視了主動安全投資，直到一次嚴重的數據泄露事件危及了用戶數據。

"在科技公司，安全有時被視為一個工程問題，高管們認為DevOps團隊可以在沒有專門治理的情況下處理安全問題。"Allen指出，"現實是，安全需要融入業務戰略，從媒體的知識產權保護到保護電信網絡免受國家級威脅。"

3.CISO對網絡安全擁有完全控制權

許多高管和董事會認為聘請CISO意味著安全就得到了保障，CISO對安全戰略擁有完全自主權。事實上，網絡安全應該是全公司的責任，而且安全領導者通常在激進的產品路線圖、緊張的預算和高管風險容忍度的限制下工作。而當事件發生時，CISO經常被追究責任，即使安全建議已被業務降低了優先級。

對此MorganFranklin Cyber的Allen表示，沒有跨職能協作，CISO的影響是有限的。許多CISO在分享他們的倡導安全計劃時，經常遇到領導層優先考慮便利性或短期財務收益，而非長期風險降低的阻力。

例如，Allen的一位來自財富500強公司的前客戶告訴他，預算限制和業務風險容忍度經常凌駕于安全建議之上。因此，安全領導者必須在艱難的妥協中前行，當事件發生時，他們卻可能會被不公平地指責。即使由于業務權衡，他們的建議沒有得到完全實施。

她舉例，一家快速擴張的SaaS公司前CISO曾透露，在領導層優先考慮上市速度而非安全編碼實踐的情況下，執行更嚴格安全措施就非常困難；而在電信領域，安全團隊可能會就保護關鍵基礎設施提供建議，但最終決策受業務優先事項、監管壓力和客戶需求的影響。

4.頭銜中的"C"意味著他們是公司的高管

CISO頭銜中有一個“C（首席）”字母，被誤認為是公司的高管。事實上，大多數CISO并不是公司的高管，他們的角色和頭銜在不同組織中可能有所不同，并非所有CISO都是傳統C級高管的一部分。

此外，在法律或監管環境中，公司高管通常是由董事會任命并受特定SEC規則約束的人員。CISO通常不被視為這種意義上的公司高管。

有專家分析，高管和董事受公司的董事和高管保險政策保護。而當一個組織發生嚴重的網絡安全事件（如數據泄露、系統被黑客入侵等）時，如果CISO沒有適當的法律保護或保險保障，可能會面臨個人層面的法律責任和后果。

盡管CISO負責保護組織免受網絡威脅，但他們無法控制威脅環境本身，卻可能因安全事件而承擔個人法律責任。正可能因為這個原因，導致CISO平均任期短，范圍在18至26個月之間，遠低于C級高管的五年平均任期。

因此專家認為，對CISO和CISO候選人來說，詢問公司是否會為他們提供單獨的保險政策或其他保障措施，以確保他們在為公司最佳利益行事時不會被起訴至關重要。

5.CISO可以消除風險

人們有一種不切實際的期望，認為安全領導者應該能夠在漏洞發生前阻止每一次漏洞。漏洞總會發生。安全專家表示，CISO重要的工作是最小化影響，保持系統彈性，并確保公司在之后迅速恢復。有效的安全防御不僅依賴于技術和專業團隊，還依賴于整個組織的安全意識和參與度

"人們常常認為CISO可以阻止所有攻擊，但這與事實相去甚遠，"網絡安全咨詢公司RedSecLabs的CEO兼創始人Rafay Baloch認為，安全事件的發生是時間問題而非可能性問題。

這源于一個重大誤解，即"網絡安全只由具有網絡安全職稱的人員完成“。而事實上，整個組織都是第一道防線。Liberty Mutual的Jenkins說，“需要每位員工都'披上斗篷'。”她舉例，Liberty Mutual的負責任防御者計劃要求公司全球4萬名員工"使用他們的培訓和直覺，幫助網絡安全團隊識別并保護公司免受網絡攻擊。

6.CISO是創新的障礙

業務領導者通常將安全視為路障，并認為CISO通過極端風險評估和合規要求阻止創新。而另一方面，許多CISO堅持認為他們實際上通過確保創新安全來幫助企業更快前進。

事實上，安全應被視為需要每個部門支持的全公司職能，CISO不應被視為抵御網絡威脅的孤獨衛士。

安全領導者常常被認為減緩了創新。Allen舉例說，初創公司可能抵制在用戶體驗中引入影響易用性的安全控制，而媒體公司可能反對數字版權管理(DRM)執行，因為它使內容分發復雜化。"實際上，CISO并非反對創新；他們是為了確保可持續增長，通過將安全嵌入數字轉型努力中，而不是后期添加。" Allen說。

在許多行業，CISO必須平衡風險與業務敏捷性、監管需求與用戶體驗，以及網絡安全與企業創新目標。Allen說："他們的角色超出了技術監督，他們必須是戰略合作伙伴，架起安全、產品開發和業務運營之間的橋梁。"

7.CISO沒有心理健康問題

有一種錯誤的印象，認為CISO可以處理工作壓力。盡管組織全天候全年無休地受到攻擊。人們認為達到CISO級別的網絡安全人員不必擔心自己的心理健康，Touhill認為這是"一個惡性神話"。

他強烈鼓勵CISO不僅要為安全團隊的心理健康制定計劃，還要有一個優秀的副手，以便在自己休假的時候隨時接手工作。他補充說："如果馬拉松永不結束，你就無法贏得馬拉松。你必須照顧好自己，并時刻關注自己的心理健康，而不僅僅是你照顧和領導的人。"