在網(wǎng)絡(luò)安全領(lǐng)域，首席信息安全官(CISO)的角色正經(jīng)歷著從單純的技術(shù)專(zhuān)家向戰(zhàn)略型商業(yè)伙伴的轉(zhuǎn)變。隨著網(wǎng)絡(luò)威脅日益復(fù)雜，以及云計(jì)算等新興技術(shù)的興起，CISO的重要性將進(jìn)一步提升，甚至有望取代首席信息官(CIO)成為企業(yè)IT掌舵人。

CISO的誕生與演變

1995年，史上第一位CISO在花旗銀行誕生。當(dāng)時(shí)，網(wǎng)絡(luò)安全還處于萌芽階段，信息安全漏洞頻發(fā)。為了應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，花旗銀行設(shè)立了CISO職位，并任命史蒂夫·卡茨(Steve Katz)擔(dān)任該職。

卡茨被譽(yù)為“網(wǎng)絡(luò)安全之父”。他最初的主要職責(zé)是幫助銀行建立強(qiáng)大的網(wǎng)絡(luò)安全部門(mén)，并與國(guó)際主要銀行客戶(hù)合作，降低網(wǎng)絡(luò)攻擊造成的損失。

隨著網(wǎng)絡(luò)安全威脅的不斷演變，CISO的角色也隨之發(fā)生變化。托德·菲茨杰拉德(ToddFitzgerald)將CISO的發(fā)展歷程劃分為六個(gè)階段：

• 第一代CISO(1995-2000年)：Katz擔(dān)任花旗首位CISO，密碼與登錄安全時(shí)代;
• 第二代CISO(2000-2004年)：法規(guī)遵從時(shí)代;
• 第三代CISO(2004-2008年)：風(fēng)險(xiǎn)導(dǎo)向時(shí)代;
• 第四代CISO(2008-2016年)：威脅感知時(shí)代(社交/移動(dòng)/云計(jì)算);
• 第五代CISO(2016-2022年)：隱私和數(shù)據(jù)感知時(shí)代;
• 第六代CISO(2022年至2027+)：綜合型、業(yè)務(wù)彈性時(shí)代。

從最初的技術(shù)導(dǎo)向，CISO的角色逐漸演變成需要具備戰(zhàn)略思維和溝通技巧的綜合型人才。他們不僅需要深刻理解網(wǎng)絡(luò)安全技術(shù)，還需要與公司內(nèi)部的技術(shù)、財(cái)務(wù)、審計(jì)、法律和合規(guī)部門(mén)進(jìn)行密切合作，并向非技術(shù)部門(mén)的高管層清晰地傳達(dá)網(wǎng)絡(luò)風(fēng)險(xiǎn)，讓安全融入到企業(yè)的整體文化之中。

CISO在崩潰的邊緣迎來(lái)重大機(jī)遇

根據(jù)德勤的研究，當(dāng)今的CISO面臨著巨大的壓力和挑戰(zhàn)。一方面，安全漏洞不斷增長(zhǎng)、網(wǎng)絡(luò)犯罪活動(dòng)愈發(fā)猖獗，勒索軟件攻擊、數(shù)據(jù)泄露等事件層出不窮;另一方面，網(wǎng)絡(luò)安全預(yù)算卻不斷縮水，監(jiān)管環(huán)境日益嚴(yán)苛，對(duì)企業(yè)的信息安全提出了更高的要求。Uber的CISO因未能披露數(shù)據(jù)泄露事件而被定罪，更是標(biāo)志著新的監(jiān)管法規(guī)下CISO面臨的職業(yè)風(fēng)險(xiǎn)正快速飆升。

Cybersecurity Venture 2023年的一項(xiàng)研究估計(jì)，目前全球約有3.2萬(wàn)名CISO。然而，隨著CISO數(shù)量的增加，他們的集體焦慮感也在增加。2024年1月，IANS/Artico對(duì)加拿大和美國(guó)663名CISO進(jìn)行的聯(lián)合調(diào)查發(fā)現(xiàn)，75%的CISO打算換工作，高于一年前的64%，對(duì)自己的工作和公司感到滿(mǎn)意的CISO數(shù)量也從74%下降至64%。

網(wǎng)絡(luò)安全公司Yass Partners的首席執(zhí)行官Yael Nagler指出，CISO可能會(huì)因?yàn)椴粩嘣黾拥呢?zé)任和壓力而感到焦慮，但同時(shí)也面臨著重大職業(yè)發(fā)展機(jī)遇。隨著網(wǎng)絡(luò)安全的重要性日益凸顯，CISO將有機(jī)會(huì)成為企業(yè)高層的重要戰(zhàn)略伙伴，引領(lǐng)組織抵御網(wǎng)絡(luò)威脅，并推動(dòng)網(wǎng)絡(luò)安全文化來(lái)提升業(yè)務(wù)彈性。

第六代CISO的四個(gè)重點(diǎn)發(fā)展方向

Gartner的Sam Oyaei在2022年的一份研究報(bào)告中宣稱(chēng)CISO已經(jīng)“精疲力盡”，他認(rèn)為這一角色需要完全重新定義，從“孤膽英雄”轉(zhuǎn)變?yōu)椤肮蚕盹L(fēng)險(xiǎn)管理者”。CISO不再是唯一負(fù)責(zé)防止網(wǎng)絡(luò)攻擊的人，而是要幫助企業(yè)領(lǐng)導(dǎo)者建立起一套完善的網(wǎng)絡(luò)安全體系，并提高他們對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)知和決策能力。

未來(lái)，第六代CISO有四個(gè)重點(diǎn)發(fā)展方向

• 更加注重戰(zhàn)略和治理：CISO需要制定全面的網(wǎng)絡(luò)安全戰(zhàn)略，并確保組織內(nèi)部各部門(mén)都承擔(dān)起相應(yīng)的安全責(zé)任。
• 強(qiáng)化風(fēng)險(xiǎn)管理：CISO需要持續(xù)評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并采取有效的應(yīng)對(duì)措施。
• 提升溝通和協(xié)作能力：CISO需要與高層管理層和其他業(yè)務(wù)部門(mén)保持密切溝通，學(xué)會(huì)用業(yè)務(wù)術(shù)語(yǔ)溝通風(fēng)險(xiǎn)，提高公司高管的網(wǎng)絡(luò)安全意識(shí)。
• 積極擁抱新技術(shù)：CISO需要了解和掌握人工智能、云計(jì)算等新技術(shù)，并將其應(yīng)用于網(wǎng)絡(luò)安全實(shí)踐中。

正如第一代CISO史蒂夫·卡茨所言，信息安全絕不僅僅是技術(shù)問(wèn)題，它更是一個(gè)影響企業(yè)整體經(jīng)營(yíng)的商業(yè)風(fēng)險(xiǎn)管理問(wèn)題。展望未來(lái)，第六代CISO將扮演更加重要的角色，引領(lǐng)企業(yè)在充滿(mǎn)挑戰(zhàn)的網(wǎng)絡(luò)安全環(huán)境中實(shí)現(xiàn)可持續(xù)發(fā)展。

CISO的下一步：取代傳統(tǒng)CIO

云計(jì)算的興起對(duì)傳統(tǒng)的CIO模式帶來(lái)了巨大沖擊。隨著越來(lái)越多的企業(yè)將業(yè)務(wù)遷移到云端，IT架構(gòu)發(fā)生了根本性的變化，CIO所掌控的權(quán)力和資源也隨之減少。

一些業(yè)內(nèi)人士認(rèn)為，SaaS的普及將最終導(dǎo)致CIO/CISO分裂模式的終結(jié)。由于SaaS服務(wù)商已經(jīng)承擔(dān)了大部分傳統(tǒng)IT應(yīng)用的支持工作，企業(yè)只需要一個(gè)CISO來(lái)負(fù)責(zé)整個(gè)組織的安全事務(wù)，包括IT安全和SaaS安全，從而簡(jiǎn)化管理架構(gòu)、降低運(yùn)營(yíng)成本。

未來(lái)，CISO與CIO的關(guān)系將如何演變，還有待進(jìn)一步觀察。但可以肯定的是，CISO在企業(yè)中的重要性將不斷提升，并將成為不可或缺的角色。

CISO取代CIO成為企業(yè)IT掌舵人的趨勢(shì)已經(jīng)開(kāi)始，例如，今天很多初創(chuàng)公司通常只有一個(gè)安全主管，同時(shí)負(fù)責(zé)管理IT和安全事務(wù)。隨著這類(lèi)公司不斷發(fā)展壯大，這種整合的IT/安全模式將會(huì)延續(xù)，企業(yè)架構(gòu)中只會(huì)保留一位IT/安全C級(jí)別高管。

CIO的最后堡壘可能是筆記本電腦管理，但隨著云辦公和協(xié)同辦公的不斷發(fā)展，以及EDR供應(yīng)商越來(lái)越多地承擔(dān)管理任務(wù)，一個(gè)不承擔(dān)安全監(jiān)管責(zé)任的CIO還能堅(jiān)持多久?