近年來(lái)，網(wǎng)絡(luò)安全已成為企業(yè)運(yùn)營(yíng)中風(fēng)險(xiǎn)最高的方面之一。CISO這一職位，曾經(jīng)只是后臺(tái)辦公職能，主要側(cè)重于技術(shù)監(jiān)督，如今已赫然成為高管的焦點(diǎn)。

CISO現(xiàn)在肩負(fù)著巨大責(zé)任，不僅要保護(hù)公司數(shù)據(jù)和資產(chǎn)，還要維護(hù)對(duì)公司的信任。每一次備受矚目的數(shù)據(jù)泄露事件都會(huì)加劇這種壓力，許多CISO發(fā)現(xiàn)自己不得不面對(duì)一個(gè)令人不安的問(wèn)題：“如果我們?cè)庥鰯?shù)據(jù)泄露，我會(huì)丟掉工作嗎?”

數(shù)據(jù)說(shuō)明了情況：根據(jù)我們與Wakefield Research最近對(duì)200名CISO進(jìn)行的一項(xiàng)調(diào)查，幾乎所有的CISO(99%)都擔(dān)心在發(fā)生安全漏洞時(shí)自己的工作保障問(wèn)題，其中77%的受訪者表示他們非常或極其擔(dān)心。

這種擔(dān)憂并非沒(méi)有根據(jù)——CISO比大多數(shù)人更清楚網(wǎng)絡(luò)攻擊成功可能帶來(lái)的后果，包括經(jīng)濟(jì)損失、監(jiān)管罰款、品牌損害以及股東訴訟。隨著網(wǎng)絡(luò)安全復(fù)雜性的增加，風(fēng)險(xiǎn)也隨之加劇。

CISO角色的演變

CISO的角色已經(jīng)發(fā)生了巨大變化。如今的CISO不再是單純的守門(mén)人，他們是戰(zhàn)略家、風(fēng)險(xiǎn)管理者，并且在危機(jī)時(shí)刻(往往)還是發(fā)言人。他們需要緩解復(fù)雜威脅，確保遵守不斷擴(kuò)展的法規(guī)清單，并以能引起董事會(huì)成員共鳴的商業(yè)術(shù)語(yǔ)解釋網(wǎng)絡(luò)安全策略，而這些董事會(huì)成員可能仍然難以完全理解網(wǎng)絡(luò)風(fēng)險(xiǎn)的全部影響。

這種擴(kuò)展的職責(zé)范圍使工作變得更加具有挑戰(zhàn)性。他們不僅要保護(hù)企業(yè)免受高級(jí)威脅的侵害，還要承受證明預(yù)算合理性、證明投資回報(bào)率以及平衡安全與用戶體驗(yàn)的壓力。這種壓力可能令人難以承受，風(fēng)險(xiǎn)也似乎關(guān)乎存亡。避免這種命運(yùn)的巨大壓力讓他們不堪重負(fù)，使得這一職位的日常要求更加令人畏懼。

為何數(shù)據(jù)泄露焦慮達(dá)到歷史最高點(diǎn)

CISO對(duì)工作安全的擔(dān)憂不僅僅關(guān)乎個(gè)人責(zé)任——這也與工作本身日益增長(zhǎng)的難度息息相關(guān)。

我們面臨著一個(gè)網(wǎng)絡(luò)攻擊更加頻繁且日益復(fù)雜的環(huán)境。網(wǎng)絡(luò)犯罪分子資金更充裕、企業(yè)更嚴(yán)密、手段更高明。勒索軟件攻擊已成為威脅行為者的一種有利可圖的商業(yè)模式，且這些攻擊的數(shù)量和嚴(yán)重程度都在增加。

隨著許多企業(yè)現(xiàn)在嚴(yán)重依賴第三方供應(yīng)商和遠(yuǎn)程員工，攻擊面已大幅擴(kuò)大。物聯(lián)網(wǎng)設(shè)備、云應(yīng)用程序和遠(yuǎn)程訪問(wèn)解決方案都引入了新的漏洞，每個(gè)漏洞都需要仔細(xì)監(jiān)督。

不幸的現(xiàn)實(shí)是，沒(méi)有萬(wàn)無(wú)一失的系統(tǒng)。在許多情況下，CISO不得不在預(yù)算、技術(shù)或人才限制下開(kāi)展工作，這使得“完美”的安全幾乎不可能實(shí)現(xiàn)。這就是為什么CISO感到壓力巨大的原因：一次疏忽、一個(gè)未發(fā)現(xiàn)的漏洞，以及由此導(dǎo)致的數(shù)據(jù)泄露，可能會(huì)讓他們不僅失去信譽(yù)，還會(huì)丟掉工作。

責(zé)任轉(zhuǎn)移

CISO如今感受到的脆弱感因董事會(huì)責(zé)任模式的轉(zhuǎn)變而加劇。隨著網(wǎng)絡(luò)安全事件越來(lái)越頻繁地成為頭版新聞，董事會(huì)和高管團(tuán)隊(duì)正在密切關(guān)注。這種增加的審查是一把雙刃劍：一方面，這可能意味著更多的支持和資源，另一方面，這往往意味著CISO處于眾目睽睽之下的困境。

此外，網(wǎng)絡(luò)安全仍然是一個(gè)快速發(fā)展的領(lǐng)域，缺乏長(zhǎng)期存在的最佳實(shí)踐。這是一個(gè)需要不斷適應(yīng)的領(lǐng)域，伴隨著一定程度的試錯(cuò)。當(dāng)錯(cuò)誤發(fā)生時(shí)——尤其是導(dǎo)致數(shù)據(jù)泄露的錯(cuò)誤——CISO的角色就會(huì)受到嚴(yán)格審查。雖然整個(gè)企業(yè)都可能在網(wǎng)絡(luò)安全方面發(fā)揮作用，但CISO往往要承擔(dān)主要的責(zé)任。這種動(dòng)態(tài)讓許多處于這個(gè)職位的人感到不安，而有99%的CISO擔(dān)心在發(fā)生數(shù)據(jù)泄露時(shí)會(huì)失去工作，這一點(diǎn)就清楚地說(shuō)明了這個(gè)問(wèn)題。

解決工作安全擔(dān)憂的根本原因

那么，應(yīng)該怎么辦呢?企業(yè)和CISO都有責(zé)任重新調(diào)整期望并解決這些普遍存在的工作安全擔(dān)憂的根本原因。

對(duì)于企業(yè)而言，一個(gè)起點(diǎn)是將網(wǎng)絡(luò)安全從被動(dòng)防御轉(zhuǎn)變?yōu)橹鲃?dòng)防御。投資于持續(xù)改進(jìn)——無(wú)論是通過(guò)先進(jìn)的安全技術(shù)、員工培訓(xùn)還是網(wǎng)絡(luò)保險(xiǎn)——都是至關(guān)重要的。

僅靠投資是不夠的，董事會(huì)和高管團(tuán)隊(duì)必須與CISO合作，建立現(xiàn)實(shí)的期望，并理解即使是最好的防御也可能被突破。定期、透明的溝通可以幫助確保在發(fā)生數(shù)據(jù)泄露時(shí)，CISO不會(huì)感到自己是唯一需要負(fù)責(zé)的人，并且確保整個(gè)企業(yè)都彌漫著一種共同責(zé)任的文化。

對(duì)于CISO而言，專注于培養(yǎng)韌性至關(guān)重要。這意味著不僅要加強(qiáng)防御，還要建立強(qiáng)大的事件響應(yīng)能力，鼓勵(lì)跨職能協(xié)作，并倡導(dǎo)獲得有效完成工作所需的工具和資源。

也許最重要的是，要讓網(wǎng)絡(luò)安全成為各部門(mén)的共同責(zé)任。讓全體員工參與的教育和培訓(xùn)計(jì)劃可以建立一道防線，并有助于減輕人為錯(cuò)誤的影響——而人為錯(cuò)誤是攻擊者常見(jiàn)的切入點(diǎn)。

CISO工作安全的未來(lái)

前進(jìn)的道路充滿挑戰(zhàn)，但也充滿機(jī)遇。隨著網(wǎng)絡(luò)安全繼續(xù)成為各行各業(yè)企業(yè)的首要任務(wù)，CISO的角色將只會(huì)變得更加具有影響力。

我們需要努力營(yíng)造一種文化，承認(rèn)安全領(lǐng)導(dǎo)者的重要性，并認(rèn)識(shí)到他們面臨的獨(dú)特壓力。構(gòu)建一個(gè)環(huán)境，讓CISO可以專注于保護(hù)企業(yè)，而不必時(shí)刻擔(dān)心自己的工作，這不僅有利于處于這個(gè)職位的人，也有利于他們服務(wù)的公司。

今天，沒(méi)有人能保證一個(gè)無(wú)數(shù)據(jù)泄露的未來(lái)，但通過(guò)建立現(xiàn)實(shí)的期望、投資于韌性并促進(jìn)共同責(zé)任的文化，我們可以確保CISO不必獨(dú)自承擔(dān)重壓。對(duì)于我們這些從事網(wǎng)絡(luò)安全工作的人來(lái)說(shuō)，這應(yīng)該是我們的共同使命——?jiǎng)?chuàng)建一個(gè)行業(yè)，讓安全領(lǐng)導(dǎo)者獲得授權(quán)、支持和重視，因?yàn)樗麄冊(cè)诒Ｗo(hù)我們安全方面發(fā)揮著至關(guān)重要的作用。