CISO的角色日益重要

关键要点

随着企业日益复杂，CISO首席信息安全官的角色愈加重要。大多数企业需要将CISO的职责与整体商业优先事项相结合。企业的网络安全成熟度分为五个阶段，CISO的权力和职责在不同阶段有显著差异。CIO与CISO之间的紧密合作愈发重要，以实现安全和IT目标的对齐。

在当今复杂的商业环境中，CISO的角色变得愈加重要。企业正面临日益复杂的攻击，数据泄露的影响愈发严重。尽管公司持续投入大量资金在防御工具上，但许多仍然难以抵御常见的攻击手法，如电子邮件钓鱼。同时，人工智能的崛起让全球黑客的攻击手段更加狡猾。这一切使得网络威胁的环境愈发危险。

许多企业希望CISO能够管理这些挑战，但不同企业对该角色的权力赋予程度差异很大。所有企业最终都需要应对、检测和恢复攻击，但CISO在执行这些优先事项方面的角色在各企业之间有很大的不同，而这通常取决于组织在其成长曲线中的位置。

CISO的责任和权力必须与公司的整体商业优先事项保持一致。这包括对数据资源的重视程度，以及企业在攻击发生时愿意承担的风险水平。任何不匹配都可能使组织的安全性降低。

因此，CISO与CIO之间的密切协调变得至关重要。CIO通常在组织中处于更高的位置尽管情况并不总是如此。不管怎样，他们必须了解组织的网络安全成熟度水平，只有这样，CIO才能授权CISO采取必要措施履行其核心职责。

以下是商业领袖需要了解的关于网络安全及其组织中领导安全团队所需的人员类型的信息。

在最不成熟的组织中，安全团队只能充当“下单者”。他们无法独立设定企业范围内的政策，通常由IT团队负责日常事务，以维持技术环境的正常运转。

在这一阶段，大多数企业甚至没有专任的CISO。“网络安全”部门通常只由几名技术员工组成，他们可能只负责配置服务器。这些员工常常向中层IT经理，甚至CIO汇报工作。

在这样的组织中，网络安全往往变成了一个“打交道”的努力。通常，这些企业规模较小，IT布局更集中，且多为私人公司。与上市公司不同，私人公司不需要对股东负责，而股东们越来越重视网络安全。私人公司也不太担心响应监管要求而对其系统进行审核。

相反，像迅速增长销售额这样的其他目标常常被优先考虑。事实上，施加在最终用户上的网络安全措施常常成为实现这一目标的障碍。例如，一些组织可能因为增加用户负担而放弃多因素认证。

随着企业的发展，IT环境也必须随之改变。员工增多，工作流程更多，与客户和供应商的接触点也增多。黑客的潜在攻击面扩大。

突然之间，网络安全变得更加重要。许多企业在这一阶段会任命他们的第一位CISO。然而，在此阶段，该角色通常没有制定和执行策略的权力。相反，CISO通常是技术专家，甚至可能会抽出时间和员工一起编写代码。

在此阶段，公司还开始引入合规方面的专业知识，并可能建立初步的监控与审核能力。随着安全团队的发展，IT部门和安全团队之间的差距开始缩小。两者现在开始合作，识别未能满足安全目标的领域。此时，CISO和CIO的互动更加频繁。

最终，CISO需要具备在整个组织内实施安全控制的权力和自主权。在此阶段，CISO掌握更多的技术职能，负责防御、检测和从攻击中恢复。CISO可能会引入例如云安全等领域的专家，或引入身份和访问管理等新能力。

在这一阶段，CISO仍不能单独做决定。其他高管对他们认为会影响生产力或打乱工作流程的措施提出反对意见。虽然网络安全变得重要，但商业领导仍然控制安全团队