自90年代末出现伊始,首席信息安全官(CISO)就是个充满技术性的工作。CISO可能位于首席信息官(CIO)之下,得向CIO报告;可能拥有多种多样的背景,比如系统或网络管理员,甚至安全运营中心(SOC)安全分析员。几乎所有CISO都是男性,要么有计算机科学从业经验,要么是军方高级管理人员。
但是,最近几年,随着劳动力多元化和商业利益与安全愈趋紧密的联系,这一关于CISO的传统看法也发生了改变。
于是,今时今日,来自各种背景的男女CISO们在CISO的舞台上各展神通,贡献着各自的技术与经验。他们可能不全是注册信息系统安全师(CISSP),但他们知道怎样沟通,怎样管理,怎样为信息安全构建业务用例。
这些下一代CISO中的某些人来自那些你可能不会与信息安全联系起来的领域,比如心理学、社会学和法律。
不过,这一工作并不好做,尽管薪水丰厚。CISO的职责在不断增加,工作时间很长,且任何安全事件处理上稍有不慎通常就意味着被解雇。
“CISO的角色一直在进化,现在对CISO的期待是要既懂安全,又精通技术,还有商业意识。”英国皮尔斯出版社(Pearson)安全运营中心主管贝基·平卡德说,“合适的CISO是资源武器库中对付网络安全问题的终极武器。”
互联网安全软件厂商Websense信息安全和战略官尼尔·撒克认为,公司企业应从其它行业中寻找CISO。
“新CISO产生于与已经陷入风险的本业务领域不同的其他领域。”他告诉CSO在线网站说,“出自审计和合规背景的人会更少,但对法规、管理和风险更深的理解在展示对这一领域的懂行上是很重要的必备技能点。”
“传统CISO路线或许依然走的是将技术、咨询和顾问技巧看做是该角色的有力背景支持。”
董事会的支持仍然是个问题
思科去年年度安全报告表明CISO与自身安全团队步调不一致,其他研究也发现了有关供应链和事件响应能力的严重问题。与此同时,像IT主导的报告层级和让董事会予以支持等老问题还在持续恶化——揭示出CISO这项工作仍有许多挑战。
英国Arriva公交公司CISO尼克·韦尔斯说,某些公司依然将CISO视为“纯粹的IT角色”,“不应该插手其他业务”。他承认自己最大的挑战就是“在财务方面向公司展现信息安全和良好风险管理的价值”。
撒克称与董事会的割裂对大多数CISO而言仍是严重问题。
2020年的CISO将更多地融入业务环节,面向业务关系。他们将在被赋予公司所有权和责任方面更加拉近与公司资产的距离。
尼尔·撒克——互联网安全软件厂商Websense信息安全和战略官
“与董事会更紧密的协作是亟需做出的改变。讨论商业风险,让商业威胁需求定期在董事会上提出。“
“CISO的角色也应做出改变,要将事件和风险分担囊括进来。很多公司大范围分配数据和风险所有权却极少赋予这些所有人权力,也不委派给他们足够的责任。”
撒克补充道:由于新的全球数据保护法律和从网络到数据安全的预算改变,未来的安全经理人不得不更多地咨询数据保护和法律团队。
“当前的挑战是CISO角色的复杂性和在达到合规及法律要求的同时及时处置事件的能力。复杂性还被第三方风险——今天的CISO不得不承担的公共监护人角色,愈加加重了。这是份与众不同的工作。”
空中交通管理公司NATS的CISO安德鲁·罗斯相信,未来的CISO们将不得不更加关注商业策略。
“CISO的角色正变得更为侧重业务。我的角色职责就是施加影响、管理利益相关者、定位和沟通。我的工作不太会是决策、做风险评估或了解市场上最新的技术解决方案。”
“我要做的就是让董事会的视线看往正确的方向,以便他们同意将金钱和资源投进去,并认识到这么做的好处。我不觉得自己是唯一一个处于这种层面的CISO,我想将来更多的CISO将不得不做这么做。”
‘远见’CISO正在崛起
皮尔森的平卡德同意这一观点,并补充道,公司企业应该寻求一种安全上的‘远见’。
“未来几年,公司企业将找寻经验、领导力、金融知识、商业洞见和安全技术的合理组合。他们将需要一个能将必要的‘老式’方法和在数字时代脱颖而出所必须的创新思维结合在一起的前向式远见家。”
与此同寺,信息安全顾问菲尔·克拉克内尔认为,CISO的角色可能发展到与首席风险官(CRO)的关联起来。
“CISO将成为CRO的下属角色,退回到专注技术而让CRO去考虑更大范围的商业风险。”克拉克内尔补充道,由于人工智能实时警报的出现,这一角色甚至可能发展为“部分人工部分机器”。
撒克表示,与业务保持一致的安全官的出现可能催生出网络安全战略官(CSSO)这一角色。
“2020年的CISO将更多地融入业务环节,面向业务关系。他们将在被赋予公司所有权和责任方面更加拉近与公司资产的距离,将负责提供有意义的指标来衡量董事会层面的风险敞口。”
“关键风险指标将是成功的重要度量,当前很多公司部署的基于威胁的战术性策略将被移除。”
2020的首席
罗斯称,当前和未来的CISO应利用内部培训来深化自身职业发展,更多地了解公司业务。
“内部管理培训非常好,有点像迷你MBA。你会被要求运营一个虚拟的公司,参加金融和市场营销教育课程……这就是CISO如今得知道的金砂。”
“他们的成为更全面的商业通才。如果不这样,就会被取代,被裁员。因为如果CISO参加董事会会议却大谈特谈技术、病毒和TCP/IP数据包,下次他们就不用来了。”
韦尔斯敦促潜在的CISO:“学点商业,提升你的能力,像个技术团队和业务部门之间的解释器/翻译一样工作。要能从诸如敞口、声誉影响、金融风险之类的业务上解释技术风险。”