CSO名人堂入選者預計未來幾年將承擔更廣泛的職責、面臨更多壓力并肩負更高的責任。

作為沃爾瑪的執(zhí)行副總裁兼CISO，Jerry Geisler是該公司的頂級高管。

這一職位，加上公司在網絡安全項目上的持續(xù)投資，反映了沃爾瑪對“成為一個網絡安全公司”的承諾，他表示。

更重要的是，這也突顯了CISO角色的持續(xù)演變。

“過去，安全常常是數字化領域的事后考慮，然而，到2024年，各企業(yè)正在優(yōu)先考慮構建安全的應用程序、系統和服務。在這方面，沃爾瑪作為行業(yè)先驅表現突出，公司早已重視信息安全。將CISO的職位提升到沃爾瑪的執(zhí)行副總裁級別，在全球范圍內都是罕見的現象。”Geisler說。

他補充道：“這一積極趨勢突顯了CISO在各行業(yè)中塑造業(yè)務級決策的重要性日益增加。”

Geisler是今年10位CSO名人堂入選者之一，他的觀察并非孤立。2024年名人堂的其他成員也認為，CISO角色正從其傳統的技術根源轉變?yōu)楦呒墤?zhàn)略性高管職能。隨著這一轉變，賦予安全主管的職責范圍也在不斷擴大。

“當我剛開始職業(yè)生涯時，網絡安全被嵌入在IT中，而IT當時仍然被視為后臺職能。網絡安全更多地被視為一種保險，但現在它已經演變?yōu)橐环N前臺職能，是一種區(qū)分性優(yōu)勢，并幫助推動業(yè)務增長?！盙E Vernova的全球副總裁兼CISO Teresa Zielinski表示，“今天，CISO的角色正在進一步發(fā)展。我們現在看到它演變?yōu)橐粋€更具戰(zhàn)略性的高管角色，不僅引領網絡安全，還涵蓋風險和韌性?！?/p>

更多職責，更多責任

自1990年代中期以來，首席安全官的工作一直處于變革之中，Zielinski的職業(yè)生涯也反映了這一角色的變化軌跡。

與許多CISO一樣，Zielinski最初在IT領域工作，12年后她于2009年轉入網絡安全領域，當時她被要求領導一個應對安全事件的團隊。

Zielinski很快意識到，網絡安全不僅僅是防止不良事件發(fā)生，還可以用于支持業(yè)務目標。

她看到，網絡安全貫穿所有職能，了解驅動業(yè)務的流程和技術，使安全領導者能夠掌握全局，安全團隊不僅熟悉企業(yè)面臨的各種風險、法規(guī)和要求，還通過與IT合作確保產品安全，連接客戶并影響客戶的體驗和對公司的信任感。

“網絡安全必須貫穿每個職能，彌補差距，確保流程按預期運作，”她說，“在安全領域，你必須了解客戶的需求，了解需要滿足的法規(guī)，并利用這種理解影響你的高管同事。當我看到這一點時，我意識到這個角色更大，不僅僅是將網絡安全作為一種保險，而是主動推動業(yè)務發(fā)展?！?/p>

她提到，越來越多的企業(yè)正在采用“安全優(yōu)先思維”，作為證明。即在數字產品的開發(fā)過程中，從一開始就將安全內置其中，而非事后考慮——就像汽車生產時不會在安全性方面馬虎，安全性是其中不可或缺的一部分。

“沒有人會買一輛沒有安全功能的汽車。同樣，數字產品，尤其是AI和GenAI服務，也必須具備安全功能。”她說。

此外，Zielinski預計未來會有更多CISO承擔更廣泛的職責，并逐步進入企業(yè)領導層的最高階層。

更具體地說，她認為網絡安全職責將與風險和韌性責任相融合，這是合乎邏輯的，因為網絡安全、風險管理和韌性建設都是關于識別和彌補漏洞，確保企業(yè)不僅能夠在事件中幸存下來，甚至能在面對各種風險時繼續(xù)發(fā)展壯大。

“CISO和首席風險官將更緊密地合作，或者這兩個職位可能會合并為一個，不僅負責網絡安全，還負責風險管理和韌性建設?！盳ielinski補充道。

加拿大國家鐵路公司的CISO Vaughn Hazen也表示，他同樣看到CISO這一職位在承擔比以往更多的風險管理職責。

“實際上，這已經本質上是一個風險管理的角色，核心在于管理風險?！彼f。他還指出，日益增多的安全法規(guī)推動了CISO在承擔更多合規(guī)元素方面的職責。

他提到，如今的CISO往往負責數據隱私，并且越來越多的CISO開始承擔第三方風險和供應鏈風險的管理——他預計這一趨勢將持續(xù)下去。

這些趨勢加大了CISO的壓力，同時也提高了他們的責任感，他補充道。

“你必須清楚了解自己暴露于哪些風險之下，因此你必須理解業(yè)務及這些風險對業(yè)務的潛在影響，你還必須理解你所制定的政策、流程和技術對風險及整個企業(yè)的影響，并且，你必須能夠為自己的決策進行辯護?！盚azen說道，“你必須培養(yǎng)這樣一種心態(tài)：‘如果我需要在法庭上為我的立場辯護，我是否會對自己做出的決策感到放心?’并且，答案必須是肯定的?！?/p>

首席網絡與風險官的崛起

Softbank Investment Advisers的CISO Gary Hayslip也看到了類似的趨勢。

“我現在認為這個角色是利用技術、人員和流程來管理風險?！彼f，并將這一變化視為首席安全官職位逐漸成熟的一部分。

他補充道，這反過來正在重塑CISO的職責，并改變這一職位在許多企業(yè)中的性質。

他了解到，有些CISO職位負責治理、風險和合規(guī)(GRC)，有些負責風險和網絡基礎設施，還有一些負責風險和IT。他預計未來的職位名稱將反映出這種整合趨勢，CISO將演變?yōu)槭紫W絡與風險官或首席網絡與隱私官(這一變化已經在少數企業(yè)中開始出現)。

“這種整合將成為常態(tài)?！盚ayslip補充道。

PNC Bank的執(zhí)行副總裁兼CISO Susan Koski也認為CISOs將承擔更多職責。

“CISOs的職責范圍非常廣泛，必須從技術轉向法律、市場營銷、溝通、關系管理和財務等領域?！彼f，“這導致越來越多的CISOs被要求承擔更廣泛的角色，有些甚至成為CIO，另外，包含物理安全和欺詐管理的自然演變也在發(fā)生，某些功能的融合可以實現最優(yōu)的交付，該職位將繼續(xù)發(fā)展，特別是在身份驗證方面——需要適當且持續(xù)地驗證客戶和員工，并減少對易受釣魚攻擊的憑證的依賴?！?/p>

然而，2024年名人堂的成員們表示，所有這些變化并不能替代或超越CISO對技術的精通和對網絡安全操作的基礎知識以及不斷發(fā)展的最佳實踐的深刻理解。

“網絡安全還是網絡安全，你仍然需要做基本的網絡衛(wèi)生工作?！盚ayslip說道。

職位進化的驅動力

許多因素推動了CISO角色的演變，并且未來還會繼續(xù)推動這種演變，而一個重要的驅動因素是過去二十多年間數字化的到來。

“在當今的商業(yè)環(huán)境下，安全與運營更加緊密地交織在一起。如果你無法做好安全工作，現在對業(yè)務的影響要比過去顯得更為顯著。”Hayslip表示。

展望未來，Geisler認為，技術環(huán)境的變化將繼續(xù)推動CISO角色的演變。

“在不斷變化的技術環(huán)境中，CISO角色對企業(yè)至關重要，并將持續(xù)演變。作為職能領導者，CISO需要應對從自動化到GenAI等技術進步，跟隨技術的發(fā)展方向?！彼f，“雖然AI主導了當前的討論，但量子計算的未來也日益臨近。在未來五到七年內，量子計算有望與當前的GenAI平分秋色。數據量、處理需求和速度將成為許多CISO關注的首要問題。”

其他入選者也提到，AI和量子計算將塑造未來幾年CISO的工作，進一步推動安全與業(yè)務流程和產品的深度整合。

入選者們還認為，日益增多的安全相關法規(guī)和安全相關要求(如數據隱私法律和標準)也將擴大CISO的職責范圍，并提升其角色的重要性和影響力。

他們還相信，CISO面臨的個人和職業(yè)責任日益增加，這正在推動CISO角色的變化。

這種責任感使安全負責人得到了所謂的“在高管會議上的席位”，參與董事會會議，并受到公司董事和高管責任險(D&O保險)的保障——未來幾年內，越來越多的CISO將獲得這些待遇。

此外，CISO的發(fā)言權和執(zhí)行安全措施的權力也在不斷增加。

Hayslip表示，這將使越來越多的CISO領導者“像他們應有的那樣被視為高管角色?！?/p>