近年來，網(wǎng)絡安全得到了大量關注，隨之而來的是立法、法規(guī)和更多的審查，這導致CISO現(xiàn)在的職責超出了保護企業(yè)的技術層面。

IANS的一項研究顯示，CISO不僅負責信息安全，還經(jīng)常包括技術風險和合規(guī)等方面。不斷增加的監(jiān)管要求意味著需要更多的董事會監(jiān)督，CISO必須繼續(xù)將不斷變化的網(wǎng)絡風險與業(yè)務環(huán)境的理解相結合。

“CISO需要與企業(yè)高管、監(jiān)管機構、網(wǎng)絡保險提供商和CFO進行預算協(xié)商，并且他們必須精通商業(yè)語言并將其轉化為網(wǎng)絡風險，這本身就是一個全職角色，”企業(yè)戰(zhàn)略集團的名譽分析師Jon Oltsik說。

同時，管理日益復雜的技術需求也在增加，需要專門的注意和監(jiān)督。“技術變得越來越大和多樣化，包括開發(fā)新應用程序和實施新型設備，我們也正處在大規(guī)模AI采用的邊緣，需要一個真正理解所有這些技術并能夠在業(yè)務指導下制定適當控制措施的人，這是一個不同類型的角色?！監(jiān)ltsik告訴記者。

區(qū)分技術和業(yè)務風險的擔憂

范圍只會不斷擴大，到2027年，Gartner預測45%的CISO職責將超越網(wǎng)絡安全，由于增加的監(jiān)管壓力和攻擊面擴大推動。

為了應對日益增加的職責，更多企業(yè)可能會效仿銀行和其他大型企業(yè)，將技術控制和業(yè)務風險的職責區(qū)分開來。

在一種可能的安排中，CISO向CEO匯報，首席安全技術官(CSTO)或技術導向的安全人員向CIO匯報。

在功能層面，將CSTO置于IT部門內，使CIO有機會進行更多的整合和協(xié)作，并將可觀察性和安全監(jiān)控統(tǒng)一起來。在執(zhí)行層面，需要理解安全漏洞，而CISO可以協(xié)助進行戰(zhàn)略業(yè)務風險考慮。Oltsik表示：“這種分拆可能會帶來更好的安全監(jiān)督和更成熟的安全文化。”

然而，劃分職責和報告線也會帶來許多實際考慮和風險。將CISO置于CIO的管轄范圍之外，可能會在管理網(wǎng)絡風險和監(jiān)督技術之間形成一層隔閡，這也可能加深IT運營與安全之間的差異，前者關注系統(tǒng)的正常運行，后者則優(yōu)先考慮系統(tǒng)的安全性。

“當然，每個人都希望系統(tǒng)正常運行，不僅僅是CIO的責任，但安全的工作是確保它們也是安全的，他們可能會設置某些門檻，使其運行更困難?！監(jiān)ltsik說。

然后是開發(fā)和采用新應用程序時的安全風險問題。如果安全技術角色由CIO和IT部門負責，如果在性能和安全之間存在沖突，可能無法充分考慮安全因素。

“我們之所以處于如此多漏洞的境地，部分原因是軟件開發(fā)人員為了盡快將代碼投入生產(chǎn)，往往在安全方面偷工減料，”他說道，“因此，風險在于，通過將這兩個角色分開，CISO會變成一個沒有操作職責的象征性人物，而CIO可能會指示首席安全技術官不要過多關注安全問題，因為這會影響生產(chǎn)力或性能?！?/p>

分拆某些職能能否改善風險管理?

在其他情況下，由網(wǎng)絡安全主管領導技術、操作和架構團隊，而由CISO領導治理、風險和合規(guī)職能是有意義的，7 Rules Cyber咨詢公司的創(chuàng)始人和CISO Chirag Joshi表示?！爸卫砗惋L險角色可以更多地與董事會互動，展示指標和測量、策略和政策?！盝oshi告訴記者。

美國證券交易委員會的一項要求是提交年度網(wǎng)絡風險管理計劃，這通常是治理領導的職責，他們制定一個包含控制措施的策略，但需要有人在必要時對其進行獨立的功能性支持和挑戰(zhàn)。“在操作和風險職責之間劃清界限是有益的，因為這種獨立性更有可能對風險選擇提出挑戰(zhàn)?！盝oshi說。

通過將CISO角色提升到其他C級高管的水平，他們成為專注于管理風險的戰(zhàn)略業(yè)務顧問。不僅僅是回答‘我們如何確保這一點’的問題，而是對企業(yè)是否應該‘這樣做’提出意見，比如采用新應用程序或其他安全考慮。

要實現(xiàn)這一點，CISO需要采用高管的語言，能夠以適當?shù)耐顿Y和相應的風險控制來解釋問題。“他們需要那種風險語言，不只是將網(wǎng)絡風險分為高、中、低，而是解釋為什么你決定按比例投資于某種控制，而不是接受風險。這是一個更困難的對話，不像高、中、低風險的對話那么簡單?！盝oshi告訴記者。

為了成功改變重點，CISO需要掌握財務和公司戰(zhàn)略，并在這一框架內表達網(wǎng)絡控制，而不是每季度都帶著報告和警告出現(xiàn)。“CISO需要將其風險分類法納入整體企業(yè)風險分類法中?！盝oshi說。

然而，在這種安排下，預算可能成為爭論的焦點。Joshi解釋說，CIO的預算往往非常重視網(wǎng)絡安全，要在不影響資金分配的情況下讓CISO和CIO成為同級可能會很困難。

另一個潛在的摩擦點是應用程序的維護，以及誰對生命周期結束的考慮和權衡成本與潛在漏洞的權力負責?！癈IO需要管理成本，并盡可能長時間地保持應用程序運行，但CISO更傾向于遷移到新應用程序，以免擔心遺留漏洞?！盝oshi補充道。

是否需要一個安全運營主管?

在其他情況下，企業(yè)可以效仿標準渣打等大銀行，采用沿三條線分配職責的模型——操作、風險和審計。網(wǎng)絡安全操作主管負責實施控制和系統(tǒng)，更專業(yè)的CISO負責風險和合規(guī)，第三個角色負責審計功能，并可以獨立審查網(wǎng)絡安全功能，F(xiàn)TI Consulting澳大利亞網(wǎng)絡安全主管兼高級董事總經(jīng)理Wouter Veugelen表示。

“安全運營主管負責所有的預防、檢測和響應，而CISO專注于治理，制定安全控制政策并檢查合規(guī)性，但他們不能負責具體實施，因為對一個人來說處理所有這些事情太過繁重了?！盫eugelen說。

誰為風險負責

然而，分拆安全角色面臨許多挑戰(zhàn)，尤其是在問責制方面。將責任分散到多個角色可能使最終對整體網(wǎng)絡安全風險管理和結果負責的人不明確。此外，如果將運營安全控制與治理和風險管理分開，可能很難確保這兩個職能之間的適當問責。

為了解決這個問題，Veugelen建議企業(yè)需要制定明確的政策和指南，明確問責，以避免不同安全角色和職能之間出現(xiàn)空白或重疊。他還警告說，如果負責網(wǎng)絡安全風險的人沒有全部控制權來減輕風險，他們就不會擁有所有風險?！白詈檬亲層蓄A算和權力來減輕風險的利益相關者擁有風險的所有權?！彼f。

同樣，關于誰負責向董事會報告風險的問題可能會產(chǎn)生沖突。在大多數(shù)情況下，CISO向CIO報告，CIO再向集團高管報告，但這種安排可能不提供自由和坦率風險評估的選項?！叭绻鸆ISO需要向董事會報告風險，但董事會文件必須經(jīng)過CIO，所報告的網(wǎng)絡安全風險可能會對CIO未能維護的系統(tǒng)描繪出不理想的畫面?！盫eugelen說。

在這種情況下，CISO還需要有一個直接向風險委員會報告的渠道，以便至少能提供關于CISO風險的平衡報告，他說。

很多取決于公司的結構和風險的所有權，但這種安排更適合那些具有更復雜安全需求和有能力支持獨立角色的大型機構。

較小的企業(yè)可能缺乏管理多個信息安全高管所需的流程和結構，這可能會導致角色之間的問責出現(xiàn)空白甚至重疊?！按送猓M織內支持獨立安全角色和職能可能會產(chǎn)生額外成本。”Veugelen說。