CISO（首席信息安全官）角色經(jīng)常被高管、董事會(huì)成員，甚至自己的團(tuán)隊(duì)成員誤解。這些誤解不僅限制了 CISO 的真正潛力，更可能危及整個(gè)組織的安全態(tài)勢(shì)。以下是關(guān)于CISO的七大誤解：

1.CISO只是"安全人員"

CISO不僅僅是負(fù)責(zé)更改密碼、應(yīng)用補(bǔ)丁和設(shè)置防火墻的人。如今的CISO通常不太參與日常運(yùn)營(yíng)。

他們更關(guān)注大局問(wèn)題，比如在云中保護(hù)工作負(fù)載和應(yīng)用程序，以及AI工具。此外，他們有時(shí)還會(huì)參與并購(gòu)戰(zhàn)略，評(píng)估潛在收購(gòu)目標(biāo)的安全狀況，以識(shí)別可能影響估值、合規(guī)性或與現(xiàn)有公司業(yè)務(wù)整合的任何風(fēng)險(xiǎn)。

很多人誤認(rèn)為，CISO的日常工作主要是應(yīng)對(duì)事件和了解新興威脅。Liberty Mutual保險(xiǎn)公司執(zhí)行副總裁兼CISO Katie Jenkins就有這樣的體會(huì)。她更正說(shuō)，雖然在日常工作中她確實(shí)需要處理這樣的工作，但是她的時(shí)間也花在主動(dòng)規(guī)劃、與利益相關(guān)者溝通上，以了解他們的優(yōu)先事項(xiàng)，并開(kāi)展培訓(xùn)工作，其中也包括自我培訓(xùn)。此外，她補(bǔ)充說(shuō)，由于網(wǎng)絡(luò)安全領(lǐng)域變化太快，她需要投入時(shí)間跟進(jìn)研究，并與其他CISO進(jìn)行交流。

專家表示，除了保護(hù)基礎(chǔ)設(shè)施外，一個(gè)高效的CISO還要專注于保護(hù)業(yè)務(wù)。這需要了解安全如何融入業(yè)務(wù)；不僅僅是專注于風(fēng)險(xiǎn)管理，還要確保安全幫助公司發(fā)展而不會(huì)創(chuàng)造其他問(wèn)題。

是時(shí)候?qū)ISO視為戰(zhàn)略業(yè)務(wù)領(lǐng)導(dǎo)者，而不僅僅是“技術(shù)執(zhí)行者"。

2.安全純粹是技術(shù)功能

盡管擁有世界上最好的工具和最好的安全堆棧，如果員工仍然隨意點(diǎn)擊釣魚(yú)鏈接或重復(fù)使用弱密碼，這一切都將是白費(fèi)。因此CISO角色正在演變，他們必須扮演多種角色，充當(dāng)心理學(xué)家、教育者和外交官，以說(shuō)服人們安全是每個(gè)人的工作。

這是因?yàn)樵谕ǔＧ闆r下，沒(méi)有人會(huì)考慮太多安全問(wèn)題，直到問(wèn)題出現(xiàn)。此外，領(lǐng)導(dǎo)層可能不認(rèn)為安全是企業(yè)文化的一部分。專家表示，一個(gè)強(qiáng)大的CISO花在與人合作上的時(shí)間應(yīng)該與使用工具的時(shí)間一樣多。

安全資源公司LLC.org的CISO Sam Taylor說(shuō)："我已經(jīng)數(shù)不清有多少次有人認(rèn)為我的一天都在配置防火墻或修補(bǔ)漏洞。"但是實(shí)際上，她工作的約70%是風(fēng)險(xiǎn)管理、溝通，并確保安全在高管層面受到重視。她在董事會(huì)會(huì)議室花的時(shí)間甚至比在安全運(yùn)營(yíng)中心花的時(shí)間還多。

“領(lǐng)導(dǎo)團(tuán)隊(duì)不關(guān)心技術(shù)術(shù)語(yǔ)；他們關(guān)心的是財(cái)務(wù)方面的風(fēng)險(xiǎn)。"她說(shuō)。當(dāng)Taylor解釋弱安全態(tài)勢(shì)可能會(huì)導(dǎo)致數(shù)百萬(wàn)美元的收入損失、法律費(fèi)用和監(jiān)管罰款時(shí)，他們就會(huì)傾聽(tīng)。

在她看來(lái)，CIOS的角色因此已經(jīng)改變，不能與時(shí)俱進(jìn)的CISO很難在組織內(nèi)部產(chǎn)生真正的影響。這樣，她說(shuō)："一家公司即便擁有市場(chǎng)上最好的安全工具，如果安全不是文化的一部分，數(shù)據(jù)泄露事件仍然會(huì)發(fā)生。"

這一切應(yīng)該從高層開(kāi)始做起。然而，"仍有相當(dāng)多的董事會(huì)和業(yè)務(wù)領(lǐng)導(dǎo)者將網(wǎng)絡(luò)安全視為IT功能而非業(yè)務(wù)風(fēng)險(xiǎn)問(wèn)題，"MorganFranklin Cyber的Allen說(shuō)，"我在金融行業(yè)的一位同行指出，他們的董事會(huì)期望通過(guò)工具和軟件來(lái)解決安全威脅，而沒(méi)有認(rèn)識(shí)到治理、員工培訓(xùn)和文化變革的重要性。"

許多人認(rèn)為網(wǎng)絡(luò)安全是一個(gè)技術(shù)問(wèn)題，LexisNexis Risk Solutions的技術(shù)高級(jí)副總裁兼全球CISO Flavio Villanustre表示同意。"這遠(yuǎn)非事實(shí)。現(xiàn)代CISO負(fù)責(zé)網(wǎng)絡(luò)安全的所有方面，遠(yuǎn)遠(yuǎn)超出其技術(shù)組件和影響，"他說(shuō)。

關(guān)于CISO角色的誤解在特定行業(yè)中尤為明顯。例如，在媒體和電信行業(yè)，安全通常被視為合規(guī)性檢查項(xiàng)或IT功能，而不是業(yè)務(wù)彈性的基本推動(dòng)者。Allen舉例說(shuō)，一位數(shù)字媒體機(jī)構(gòu)安全高管曾分享，該機(jī)構(gòu)領(lǐng)導(dǎo)層專注于監(jiān)管合規(guī)，但忽視了主動(dòng)安全投資，直到一次嚴(yán)重的數(shù)據(jù)泄露事件危及了用戶數(shù)據(jù)。

"在科技公司，安全有時(shí)被視為一個(gè)工程問(wèn)題，高管們認(rèn)為DevOps團(tuán)隊(duì)可以在沒(méi)有專門(mén)治理的情況下處理安全問(wèn)題。"Allen指出，"現(xiàn)實(shí)是，安全需要融入業(yè)務(wù)戰(zhàn)略，從媒體的知識(shí)產(chǎn)權(quán)保護(hù)到保護(hù)電信網(wǎng)絡(luò)免受國(guó)家級(jí)威脅。"

3.CISO對(duì)網(wǎng)絡(luò)安全擁有完全控制權(quán)

許多高管和董事會(huì)認(rèn)為聘請(qǐng)CISO意味著安全就得到了保障，CISO對(duì)安全戰(zhàn)略擁有完全自主權(quán)。事實(shí)上，網(wǎng)絡(luò)安全應(yīng)該是全公司的責(zé)任，而且安全領(lǐng)導(dǎo)者通常在激進(jìn)的產(chǎn)品路線圖、緊張的預(yù)算和高管風(fēng)險(xiǎn)容忍度的限制下工作。而當(dāng)事件發(fā)生時(shí)，CISO經(jīng)常被追究責(zé)任，即使安全建議已被業(yè)務(wù)降低了優(yōu)先級(jí)。

對(duì)此MorganFranklin Cyber的Allen表示，沒(méi)有跨職能協(xié)作，CISO的影響是有限的。許多CISO在分享他們的倡導(dǎo)安全計(jì)劃時(shí)，經(jīng)常遇到領(lǐng)導(dǎo)層優(yōu)先考慮便利性或短期財(cái)務(wù)收益，而非長(zhǎng)期風(fēng)險(xiǎn)降低的阻力。

例如，Allen的一位來(lái)自財(cái)富500強(qiáng)公司的前客戶告訴他，預(yù)算限制和業(yè)務(wù)風(fēng)險(xiǎn)容忍度經(jīng)常凌駕于安全建議之上。因此，安全領(lǐng)導(dǎo)者必須在艱難的妥協(xié)中前行，當(dāng)事件發(fā)生時(shí)，他們卻可能會(huì)被不公平地指責(zé)。即使由于業(yè)務(wù)權(quán)衡，他們的建議沒(méi)有得到完全實(shí)施。

她舉例，一家快速擴(kuò)張的SaaS公司前CISO曾透露，在領(lǐng)導(dǎo)層優(yōu)先考慮上市速度而非安全編碼實(shí)踐的情況下，執(zhí)行更嚴(yán)格安全措施就非常困難；而在電信領(lǐng)域，安全團(tuán)隊(duì)可能會(huì)就保護(hù)關(guān)鍵基礎(chǔ)設(shè)施提供建議，但最終決策受業(yè)務(wù)優(yōu)先事項(xiàng)、監(jiān)管壓力和客戶需求的影響。

4.頭銜中的"C"意味著他們是公司的高管

CISO頭銜中有一個(gè)“C（首席）”字母，被誤認(rèn)為是公司的高管。事實(shí)上，大多數(shù)CISO并不是公司的高管，他們的角色和頭銜在不同組織中可能有所不同，并非所有CISO都是傳統(tǒng)C級(jí)高管的一部分。

此外，在法律或監(jiān)管環(huán)境中，公司高管通常是由董事會(huì)任命并受特定SEC規(guī)則約束的人員。CISO通常不被視為這種意義上的公司高管。

有專家分析，高管和董事受公司的董事和高管保險(xiǎn)政策保護(hù)。而當(dāng)一個(gè)組織發(fā)生嚴(yán)重的網(wǎng)絡(luò)安全事件（如數(shù)據(jù)泄露、系統(tǒng)被黑客入侵等）時(shí)，如果CISO沒(méi)有適當(dāng)?shù)姆杀Ｗo(hù)或保險(xiǎn)保障，可能會(huì)面臨個(gè)人層面的法律責(zé)任和后果。

盡管CISO負(fù)責(zé)保護(hù)組織免受網(wǎng)絡(luò)威脅，但他們無(wú)法控制威脅環(huán)境本身，卻可能因安全事件而承擔(dān)個(gè)人法律責(zé)任。正可能因?yàn)檫@個(gè)原因，導(dǎo)致CISO平均任期短，范圍在18至26個(gè)月之間，遠(yuǎn)低于C級(jí)高管的五年平均任期。

因此專家認(rèn)為，對(duì)CISO和CISO候選人來(lái)說(shuō)，詢問(wèn)公司是否會(huì)為他們提供單獨(dú)的保險(xiǎn)政策或其他保障措施，以確保他們?cè)跒楣咀罴牙嫘惺聲r(shí)不會(huì)被起訴至關(guān)重要。

5.CISO可以消除風(fēng)險(xiǎn)

人們有一種不切實(shí)際的期望，認(rèn)為安全領(lǐng)導(dǎo)者應(yīng)該能夠在漏洞發(fā)生前阻止每一次漏洞。漏洞總會(huì)發(fā)生。安全專家表示，CISO重要的工作是最小化影響，保持系統(tǒng)彈性，并確保公司在之后迅速恢復(fù)。有效的安全防御不僅依賴于技術(shù)和專業(yè)團(tuán)隊(duì)，還依賴于整個(gè)組織的安全意識(shí)和參與度

"人們常常認(rèn)為CISO可以阻止所有攻擊，但這與事實(shí)相去甚遠(yuǎn)，"網(wǎng)絡(luò)安全咨詢公司RedSecLabs的CEO兼創(chuàng)始人Rafay Baloch認(rèn)為，安全事件的發(fā)生是時(shí)間問(wèn)題而非可能性問(wèn)題。

這源于一個(gè)重大誤解，即"網(wǎng)絡(luò)安全只由具有網(wǎng)絡(luò)安全職稱的人員完成“。而事實(shí)上，整個(gè)組織都是第一道防線。Liberty Mutual的Jenkins說(shuō)，“需要每位員工都'披上斗篷'?！彼e例，Liberty Mutual的負(fù)責(zé)任防御者計(jì)劃要求公司全球4萬(wàn)名員工"使用他們的培訓(xùn)和直覺(jué)，幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)識(shí)別并保護(hù)公司免受網(wǎng)絡(luò)攻擊。

6.CISO是創(chuàng)新的障礙

業(yè)務(wù)領(lǐng)導(dǎo)者通常將安全視為路障，并認(rèn)為CISO通過(guò)極端風(fēng)險(xiǎn)評(píng)估和合規(guī)要求阻止創(chuàng)新。而另一方面，許多CISO堅(jiān)持認(rèn)為他們實(shí)際上通過(guò)確保創(chuàng)新安全來(lái)幫助企業(yè)更快前進(jìn)。

事實(shí)上，安全應(yīng)被視為需要每個(gè)部門(mén)支持的全公司職能，CISO不應(yīng)被視為抵御網(wǎng)絡(luò)威脅的孤獨(dú)衛(wèi)士。

安全領(lǐng)導(dǎo)者常常被認(rèn)為減緩了創(chuàng)新。Allen舉例說(shuō)，初創(chuàng)公司可能抵制在用戶體驗(yàn)中引入影響易用性的安全控制，而媒體公司可能反對(duì)數(shù)字版權(quán)管理(DRM)執(zhí)行，因?yàn)樗箖?nèi)容分發(fā)復(fù)雜化。"實(shí)際上，CISO并非反對(duì)創(chuàng)新；他們是為了確?？沙掷m(xù)增長(zhǎng)，通過(guò)將安全嵌入數(shù)字轉(zhuǎn)型努力中，而不是后期添加。" Allen說(shuō)。

在許多行業(yè)，CISO必須平衡風(fēng)險(xiǎn)與業(yè)務(wù)敏捷性、監(jiān)管需求與用戶體驗(yàn)，以及網(wǎng)絡(luò)安全與企業(yè)創(chuàng)新目標(biāo)。Allen說(shuō)："他們的角色超出了技術(shù)監(jiān)督，他們必須是戰(zhàn)略合作伙伴，架起安全、產(chǎn)品開(kāi)發(fā)和業(yè)務(wù)運(yùn)營(yíng)之間的橋梁。"

7.CISO沒(méi)有心理健康問(wèn)題

有一種錯(cuò)誤的印象，認(rèn)為CISO可以處理工作壓力。盡管組織全天候全年無(wú)休地受到攻擊。人們認(rèn)為達(dá)到CISO級(jí)別的網(wǎng)絡(luò)安全人員不必?fù)?dān)心自己的心理健康，Touhill認(rèn)為這是"一個(gè)惡性神話"。

他強(qiáng)烈鼓勵(lì)CISO不僅要為安全團(tuán)隊(duì)的心理健康制定計(jì)劃，還要有一個(gè)優(yōu)秀的副手，以便在自己休假的時(shí)候隨時(shí)接手工作。他補(bǔ)充說(shuō)："如果馬拉松永不結(jié)束，你就無(wú)法贏得馬拉松。你必須照顧好自己，并時(shí)刻關(guān)注自己的心理健康，而不僅僅是你照顧和領(lǐng)導(dǎo)的人。"