2020年的CISO什么样?

CISO(首席信息安全官)自上世纪九十年代末出现以来一直是一个技术含量非常高的工作。CISO可能需要向CIO(首席信息官)汇报工作，他们需要拥有系统或网络管理员，甚至是安全运营中心安全分析员等多种从业背景。几乎所有CISO都是男性，他们拥有计算机科学从业经验，或是曾经在军队中担任过高级管理人员。

不过近些年来，人们对这种工作的传统看法正在发生改变，这不仅要归功于劳动力多元化，还要归功于人们正越来越希望安全与商业利益能够更为紧密联系在一起。

于是，今天我们看到了拥有不同背景的男性和女性CISO，他们拥有丰富的技能和经验。虽然他们可能不全是注册信息系统安全师，但他们知道如何管理和沟通，以及如何为信息安全创建业务案例。部分下一代首席信息安全官将来自一些我们认为与信息安全无关的领域，如心理学、社会学和法律。

尽管薪水丰厚，但是这一工作并不好干。CISO的职责在不断增加，工作时间也很长，任何安全事件处理不当通常就意味着被解雇。

英国Pearson出版社安全运营中心主管Becky Pinkard称：“CISO的角色一直在发展，现在人们对CISO的期望是他们不仅要懂安全，还要精通技术，同时还要具有商业意识。称职的CISO是资源武器库中应对网络安全问题的终极武器。”

互联网安全软件厂商Websense信息安全和战略官Neil Thacker认为公司将会加大他们从其他行业中寻找这种人的力度。他对CSO Online网站称：“新的CISO将产生自那些与已陷入风险的本业务领域不同的其他领域。拥有审计和合规背景的人会更少，但能够更深入理解法规、管理和终极风险非常重要，同时能够展现对这一领域的理解能力也将是必备技能。CISO角色的传统路线或许依然是技术、咨询和顾问技能，这些都被认为是该角色的较佳背景。”

被排除在董事会之外仍然是个大问题

思科去年的《年度安全报告》认为，CISO的步调与他们自己的安全团队不一致，其他研究也加重了对供应链和事件响应能力的担忧。与此同时，诸如像由IT主导的报告程序、被排除在董事会之外等老问题仍然在持续恶化，这表明CISO这一工作仍存在许多挑战。

英国Arriva公交公司CISONic Wells称，部分公司依然将CISO视为“纯粹的IT角色”，他们不应该插手其他业务职能。他承认自己较大的挑战就是在财务方面向公司展现信息安全和良好风险管理的价值。

Thacker称，被排除在董事会之外对大多数CISO来说仍是一个严重问题。“与董事会更紧密的协作是亟需做出的改变。探讨业务风险和降低这类业务威胁需要定期在董事会上进行讨论。CISO的角色也必须做出改变，包括分担事件和风险权责。很多机构大范围地分配数据和风险所有权，但是却极少赋予这些所有人权力，也不分配给他们足够的责任。”

Thacker补充称，由于新的全球数据保护法律，以及网络和数据安全的预算改变等原因，未来的安全管理员必须要更多地咨询数据保护和法律团队。“目前的挑战是CISO角色的复杂性和以符合合规和法律要求的方式及时处置事件的能力。第三方风险加剧了这一复杂性，今天的CISO不得不承担起公共监护人角色。这是一份与众不同的工作。”

空中交通管理公司NATS的CISOAndrew Rose认为，未来的CISO们将不得不更加关注业务策略。“CISO的角色正变得更为注重业务。我的岗位职责是施加影响、管理利益相关者、定位和沟通。我的工作并不过多的涉及决策、作风险评估或是了解市场上较新的技术解决方案。我的工作是让董事会看到正确的方向(+本站微信networkworldweixin)，以便他们同意投入资金和资源，让他们认识到其中的好处。我并不认为自己是处于这种处境的CISO，相反我认为将来会有更多的CISO将不得不做这么做。”

“有远见的”CISO正在出现

Pearson的Pinkard认同这一观点。他补充称，企业应该寻求一种安全上的“远见”。“在未来几年，机构将不得不寻找集经验、领导力、金融知识、商业洞见和安全技术于一身的人才。他们将把拥有这种综合能力的人称之为远见卓识的人，而这些人则能够将“老套”的方案与数字时代的创新性思维结合在一起。

与此同时，信息安全顾问Phil Cracknell认为，CISO的角色可能发展到与首席风险官的角色整合至一起。Cracknell称“CISO将成为首席风险官的下属角色，转而聚焦在技术上而首席风险官则需要地考虑更多的业务风险。由于人工智能实时警报的出现，这一角色甚至可能发展为‘半人半机器’。”

Thacker认为与业务保持一致的安全官的出现可能会催生出网络安全战略官这一角色。“2020年的CISO将更多地与业务保持一致，面向业务关系。由于更加注重分配所有权和责任，因此他们将更加接近公司资产，并将负责为董事会层级提供有意义的风险衡量指标。除了抛弃许多公司当前所部署的基于威胁的战术性策略外，关键风险指标将是成功的重要衡量标准。”

2020年的CISO

Rose称，当前的和未来的CISO应当注重利用内部培训来深化自身职业发展，更多地了解公司业务。“内部管理培训非常好。它们非常有效果，有点像迷你MBA。你会被要求运营一个虚拟公司，参加金融和市场营销培训课程……这就是CISO目前需要知道的闪光点。”

“他们需要成为更为全面的业务专家。如果不这样，他们就会被取代。因为如果CISO参加董事会会议并谈论技术、病毒和TCP/IP数据包，那么下次他们就不会再受到邀请。”

Wells建议未来的CISO们：“学点业务，让自己能够像技术团队和业务部门之间的解释器/翻译一样工作，能够解释从诸如弱点、声誉影响、金融风险等业务角度来解释技术风险。”