自90年代末出現伊始，首席信息安全官（CISO）就是個充滿技術性的工作。CISO可能位于首席信息官（CIO）之下，得向CIO報告；可能擁有多種多樣的背景，比如系統或網絡管理員，甚至安全運營中心（SOC）安全分析員。幾乎所有CISO都是男性，要么有計算機科學從業經驗，要么是軍方高級管理人員。

但是，最近幾年，隨著勞動力多元化和商業利益與安全愈趨緊密的聯系，這一關于CISO的傳統看法也發生了改變。

于是，今時今日，來自各種背景的男女CISO們在CISO的舞臺上各展神通，貢獻著各自的技術與經驗。他們可能不全是注冊信息系統安全師（CISSP），但他們知道怎樣溝通，怎樣管理，怎樣為信息安全構建業務用例。

這些下一代CISO中的某些人來自那些你可能不會與信息安全聯系起來的領域，比如心理學、社會學和法律。

不過，這一工作并不好做，盡管薪水豐厚。CISO的職責在不斷增加，工作時間很長，且任何安全事件處理上稍有不慎通常就意味著被解雇。

“CISO的角色一直在進化，現在對CISO的期待是要既懂安全，又精通技術，還有商業意識。”英國皮爾斯出版社（Pearson）安全運營中心主管貝基·平卡德說，“合適的CISO是資源武器庫中對付網絡安全問題的終極武器。”

互聯網安全軟件廠商Websense信息安全和戰略官尼爾·撒克認為，公司企業應從其它行業中尋找CISO。

“新CISO產生于與已經陷入風險的本業務領域不同的其他領域。”他告訴CSO在線網站說，“出自審計和合規背景的人會更少，但對法規、管理和風險更深的理解在展示對這一領域的懂行上是很重要的必備技能點。”

“傳統CISO路線或許依然走的是將技術、咨詢和顧問技巧看做是該角色的有力背景支持。”

董事會的支持仍然是個問題

思科去年年度安全報告表明CISO與自身安全團隊步調不一致，其他研究也發現了有關供應鏈和事件響應能力的嚴重問題。與此同時，像IT主導的報告層級和讓董事會予以支持等老問題還在持續惡化——揭示出CISO這項工作仍有許多挑戰。

英國Arriva公交公司CISO尼克·韋爾斯說，某些公司依然將CISO視為“純粹的IT角色”，“不應該插手其他業務”。他承認自己最大的挑戰就是“在財務方面向公司展現信息安全和良好風險管理的價值”。

撒克稱與董事會的割裂對大多數CISO而言仍是嚴重問題。

2020年的CISO將更多地融入業務環節，面向業務關系。他們將在被賦予公司所有權和責任方面更加拉近與公司資產的距離。

尼爾·撒克——互聯網安全軟件廠商Websense信息安全和戰略官

“與董事會更緊密的協作是亟需做出的改變。討論商業風險，讓商業威脅需求定期在董事會上提出。“

“CISO的角色也應做出改變，要將事件和風險分擔囊括進來。很多公司大范圍分配數據和風險所有權卻極少賦予這些所有人權力，也不委派給他們足夠的責任。”

撒克補充道：由于新的全球數據保護法律和從網絡到數據安全的預算改變，未來的安全經理人不得不更多地咨詢數據保護和法律團隊。

“當前的挑戰是CISO角色的復雜性和在達到合規及法律要求的同時及時處置事件的能力。復雜性還被第三方風險——今天的CISO不得不承擔的公共監護人角色，愈加加重了。這是份與眾不同的工作。”

空中交通管理公司NATS的CISO安德魯·羅斯相信，未來的CISO們將不得不更加關注商業策略。

“CISO的角色正變得更為側重業務。我的角色職責就是施加影響、管理利益相關者、定位和溝通。我的工作不太會是決策、做風險評估或了解市場上最新的技術解決方案。”

“我要做的就是讓董事會的視線看往正確的方向，以便他們同意將金錢和資源投進去，并認識到這么做的好處。我不覺得自己是唯一一個處于這種層面的CISO，我想將來更多的CISO將不得不做這么做。”

‘遠見’CISO正在崛起

皮爾森的平卡德同意這一觀點，并補充道，公司企業應該尋求一種安全上的‘遠見’。

“未來幾年，公司企業將找尋經驗、領導力、金融知識、商業洞見和安全技術的合理組合。他們將需要一個能將必要的‘老式’方法和在數字時代脫穎而出所必須的創新思維結合在一起的前向式遠見家。”

與此同寺，信息安全顧問菲爾·克拉克內爾認為，CISO的角色可能發展到與首席風險官（CRO）的關聯起來。

“CISO將成為CRO的下屬角色，退回到專注技術而讓CRO去考慮更大范圍的商業風險。”克拉克內爾補充道，由于人工智能實時警報的出現，這一角色甚至可能發展為“部分人工部分機器”。

撒克表示，與業務保持一致的安全官的出現可能催生出網絡安全戰略官（CSSO）這一角色。

“2020年的CISO將更多地融入業務環節，面向業務關系。他們將在被賦予公司所有權和責任方面更加拉近與公司資產的距離，將負責提供有意義的指標來衡量董事會層面的風險敞口。”

“關鍵風險指標將是成功的重要度量，當前很多公司部署的基于威脅的戰術性策略將被移除。”

2020的首席

羅斯稱，當前和未來的CISO應利用內部培訓來深化自身職業發展，更多地了解公司業務。

“內部管理培訓非常好，有點像迷你MBA。你會被要求運營一個虛擬的公司，參加金融和市場營銷教育課程……這就是CISO如今得知道的金砂。”

“他們的成為更全面的商業通才。如果不這樣，就會被取代，被裁員。因為如果CISO參加董事會會議卻大談特談技術、病毒和TCP/IP數據包，下次他們就不用來了。”

韋爾斯敦促潛在的CISO：“學點商業，提升你的能力，像個技術團隊和業務部門之間的解釋器/翻譯一樣工作。要能從諸如敞口、聲譽影響、金融風險之類的業務上解釋技術風險。”