CISO 的角色正在发生变化。 CISO 自己能跟上吗？

由于快速的数字化转型，首席信息安全官 (CISO) 的角色在过去十年中不断扩大。现在，首席信息安全官必须更加以​​业务为导向，担任更多职务，并与董事会成员、员工和客户等进行有效沟通，否则将面临严重安全故障的风险。

在拉斯维加斯举行的 CPX 2024 上举行的一场内容广泛的新闻问答中，由国际组织的 CISO 和副总裁 (VP) 组成的小组讨论了数字化转型、底线压力和缺乏安全意识如何迫使企业性质发生转变。他们的职位——广义上来说，从技术性到商业性，再到高度社交性。

他们认为，如今，有效的 CISO 与组织中有效的安全文化之间的区别不仅在于软沟通技能，还在于减少漏洞和定义策略。事实上，那些在后者中蓬勃发展但缺乏前者的安全领导者最终会让他们的组织面临重大漏洞。

“你问过后果吗？” Allegiant Travel Company 的 CISO Dan Creed 在回答 Dark Reading 的问题时反问道。 “问问 SolarWinds 会有什么后果。他们有密码政策，实习生不遵守密码政策，看看后果。”

数字化转型如何改变 CISO

IDC 网络安全产品项目副总裁 Frank Dickson 在 10 月 6 日举行的另一场 CPX 新闻发布会上表示：“过去 XNUMX 年来，CISO 的角色发生了变化，我们从未真正停下来注意到这一点。”

多年前，该职位是在相对狭窄的网络风险焦点的情况下创建的，这一点至今仍然存在。但它的规模已经扩大，这首先要归功于企业攻击面的扩大。过去，典型的违规行为需要企业资源存在漏洞——例如 Target、Ashley Madison 等。如今，特别是自新冠疫情以来， 员工的电子邮件、电话和其他设备 相反，这对组织来说是最大的风险。随着信息安全的责任已成为一项集体责任，CISO 被迫走出自己的孤岛。

Frank Dickson 向媒体介绍了 IDC 的新报告；资料来源：CPX

数字化转型还使 IT 从孤立的角落直接进入业务线。正如迪克森指出的那样，“明年 [Global] 40 强的总收入中约有 2000% 将由数字产品和服务驱动。因此，这将改变 IT 的性质，从成本制定者转变为创收者。如果你考虑一下它的作用，就会从根本上改变 CISO 的角色。”当今的公司越将 IT 视为业务驱动力，就越需要整合更多的 CISO，不仅要预防和减轻网络风险，还要就业务决策向董事会提供建议，并与开发人员、销售人员和客户会面。

CPX 上公布的 IDC 调查反映了 CISO 越来越多地面向业务的职责。在接受调查的 847 名网络安全领导者中，10% 的人认为 CISO 最重要的工作是领导力和团队建设技能，8% 的人认为是业务管理技能。实际的网络安全意识和理解以及 IT 架构和工程技能几乎没有获得更多选票，各占 12%。

CISO 如何让员工做得更好

不仅仅是 CISO 应该 兼任商人——他们需要这样做。 “不建立这些关系的后果是，你在公司会形成一种文化：‘好吧，这不是我的责任。’”比如 SolarWinds 和米高梅。他们只是通过致电帮助台来重置 MFA，尽管他们不理解或意识到没有安全意识的后果，”Creed 解释道。

克里德的论点中的微妙之处——得到了圆桌会议上其他人的响应——很重要。他们强调，防止员工出现安全漏洞不仅仅是传播意识的问题，因为当他们与安全团队的关系不健康或者卫生工作太费力时，即使是知识渊博的员工也会忽视安全。

“[他们说]安全应该被隐藏。我更进一步：安全性应该促进业务发展并使其更快。”Check Point 现场 CISO Pete Nicoletti 说道，呼应了现代 CISO 的不断发展的理念。他以 VPN 为例，说明传统上有限的、老式的 CISO 会拖慢业务发展。 “这会让我的电子邮件保留多长时间：两秒，还是 10 秒？ VPN 注册需要多长时间？ [员工]是否会因为需要 22 秒和身份验证而解决这个问题？ [它是关于]尝试使这些尽可能透明且易于使用。开始选择能够真正加快流程的工具，让您拥有竞争优势。”

“我最早推动的一些举措正是如此，”克里德附和道。 “让我们摆脱 VPN，使用笔记本电脑实现始终在线的状态，打开它，启动，然后连接到我们的网络，然后通过我们的安全堆栈返回。下一个目标是我们现在正在为转向无密码奠定基础。”

如果与员工交谈并为他们提供更轻松的安全保障还不够，CISO 还可以尝试其他激励措施。 “我们实际上有围绕安全文化的 KPI 指标。我们已经做好准备，我们将开始真正影响奖金池，如果您的部门做得更好，它会将您的奖金池增加到高于正常水平[。 。 .] 如果你不这样做，那么你的奖金就会受到影响，”克里德解释道。

CISO 如何与其他高管更好地合作

然后是董事会。

在调查中，IDC 向 CISO 及其同事询问了 CISO 实际做什么，比如他们是否专注于战略架构，或者这项工作本质上是否是战术性的，结果发现答案存在不小的差异，这表明即使是 CISO最亲密的 C 级合作伙伴并不完全意见一致。

Creed 最近回忆起这样的一个案例，“我们订购了一些新的 737 飞机。这是我们的第一架电子连接飞机。 [董事会]没有让我参与早期的对话，然后它就变成了一场消防演习，所有新的电子连接飞机都有网络安全要求——事实上，如果你没有获得批准并接受的网络安全计划如果美国联邦航空管理局 (FAA) 备案，您将失去这些飞机的适航认证。您认为，当董事会第一次开始谈论‘我们将扩大机队’这条道路时，他们是否认为这可能会带来安全隐患？”

“所以你必须教育他们，并向他们解释：这就是为什么我们需要在谈判桌上占有一席之地。为企业制定的每一个战略决策都涉及风险。 [。 。 .] 你越多 让我们坐在那张桌子的座位上，我们可以更好地保护企业并在风险发生时而不是一旦发生火灾就权衡风险，”他说。

为此，丹佛野马队信息技术高级副总裁 Russ Trainor 在接受 Dark Reading 采访时提出了一个简单的建议：

“有时我会将泄露的消息转发给我的首席财务官：这是有多少数据被泄露，这是我们认为损失的成本，”他说。 “这些事情往往击中要害。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up