根據Heidrick & Struggles的數據顯示,如今,全球超過一半的CISO向CIO、CTO、或其他高級工程管理人員匯報,只有8%直接向CEO匯報。
但也有跡象表明,隨著網絡威脅愈發普遍和嚴峻,CISO職務正變得越來越受重視,并發揮著更大的領導作用。鑒于復雜的威脅行為者正以企業運營和財務利益為目標,近90%的CISO表示,他們已經在董事會獲得了一定程度的話語權,要么定期向委員會報告,要么向整個董事會報告。
NS1公司CISO Ryan Davis總結道,“歸根結底,CISO的地位取決于企業對安全的重視程度。”
如果一個公司重視安全,那么CISO往往會在領導層和整個公司中獲得更多的重視和話語權。相反地,如果安全部門的存在只是為了檢查行業合規性,那么CISO就會淪為一個無足輕重的角色,缺乏可見性或權威。
困擾CISO的問題
在這種情況下,C級高管們對安全問題重視不足,一旦出現任何類型的網絡安全事件,將統統歸咎于CISO。
也難怪大多數CISO都表示,他們正遭受著與工作相關的壓力和倦怠。
如今,CISO正面臨著人才短缺和員工保留問題,軟件供應鏈攻擊帶來的日益復雜的網絡威脅,以及地緣政治緊張格局帶來的諸多安全挑戰。
ISACA新加坡主席兼OT-ISAC執行委員會主席Steven Sim表示,“讓我夜不能寐的風險是,隨著威脅行為者能力不斷提升,他們可以悄無聲息地在目標網絡中潛伏很長一段時間,并從中竊取機密數據。”
復雜的威脅行為者也是LinQuest公司CISO Kemal Piskin最擔憂的問題。隨著安全部門開始依賴人工智能等技術來幫助檢測和防止網絡攻擊,網絡犯罪分子也在利用同樣的技術發動攻擊和逃避檢測。
此外,遠程工作對CISO來說同樣是福也是禍。根據ISC進行的一項調查顯示,網絡安全專業人士希望居家辦公,這可能會對人才短缺問題起到積極影響。但網絡/遠程工作者對信息系統管理員無疑是一項艱巨的挑戰。
在理想的情況下,所有遠程工作人員都應該在網絡意識方面受過良好的教育,并使用零信任框架和其他安全最佳實踐。但事實上,家庭網絡和個人設備的真正安全性是未知的。這無疑增加了網絡攻擊的風險。
Piskin表示,“黑客可以通過很多入侵嘗試進入你的系統。但CISO只有一次機會阻止他們。”
提升CISO的角色
許多CISO將其當前的角色視為技術和業務的混合體。Piskin解釋稱,“我的大部分時間并非花在擔心安全事件上,而是在擔心如何在安全的情況下運行業務。”
作為領導團隊的一部分,參與有關業務運營的對話是許多CISO希望看到自己的角色繼續演進的方式。
Insight Enterprises副總裁兼CISO Jason Rader表示,“我希望看到跨組織的安全功能被區別定義。就像公司中的每個人都對保持業務運行負有一定責任一樣,CISO也應該推進類似的安全方法。每個人都應該在確保公司安全方面發揮著重要作用。一個人為失誤就可能成為惡意行為者的敲門磚,暴露出可能引發災難性后果的缺陷。因此,每個人都需要在安全方面扮演一個角色,體驗到自身的責任感。”
然而,安全問題長期以來一直處于封閉狀態,想要改變這種心態不可能一蹴而就。即便在公司中,CISO已經身處高度可見性的位置,并且真正成為領導團隊的一部分,擁有充足的話語權,該角色還是要持續發展,以幫助公司跟上威脅形勢。
美國證券交易委員會(SEC)和監管機構正愈發重視網絡安全專業知識的重要性,這也將影響CISO角色的變化。
Rader認為,“CISO當然還有很長的路要走。一切都不會一蹴而就,需要不斷的努力和堅持。但要相信,努力帶來的回報可能是巨大的。”
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號