作為沃爾瑪的執行副總裁兼CISO,Jerry Geisler是該公司的頂級高管。
這一職位,加上公司在網絡安全項目上的持續投資,反映了沃爾瑪對“成為一個網絡安全公司”的承諾,他表示。
更重要的是,這也突顯了CISO角色的持續演變。
“過去,安全常常是數字化領域的事后考慮,然而,到2024年,各企業正在優先考慮構建安全的應用程序、系統和服務。在這方面,沃爾瑪作為行業先驅表現突出,公司早已重視信息安全。將CISO的職位提升到沃爾瑪的執行副總裁級別,在全球范圍內都是罕見的現象。”Geisler說。
他補充道:“這一積極趨勢突顯了CISO在各行業中塑造業務級決策的重要性日益增加。”
Geisler是今年10位CSO名人堂入選者之一,他的觀察并非孤立。2024年名人堂的其他成員也認為,CISO角色正從其傳統的技術根源轉變為高級戰略性高管職能。隨著這一轉變,賦予安全主管的職責范圍也在不斷擴大。
“當我剛開始職業生涯時,網絡安全被嵌入在IT中,而IT當時仍然被視為后臺職能。網絡安全更多地被視為一種保險,但現在它已經演變為一種前臺職能,是一種區分性優勢,并幫助推動業務增長。”GE Vernova的全球副總裁兼CISO Teresa Zielinski表示,“今天,CISO的角色正在進一步發展。我們現在看到它演變為一個更具戰略性的高管角色,不僅引領網絡安全,還涵蓋風險和韌性。”
更多職責,更多責任
自1990年代中期以來,首席安全官的工作一直處于變革之中,Zielinski的職業生涯也反映了這一角色的變化軌跡。
與許多CISO一樣,Zielinski最初在IT領域工作,12年后她于2009年轉入網絡安全領域,當時她被要求領導一個應對安全事件的團隊。
Zielinski很快意識到,網絡安全不僅僅是防止不良事件發生,還可以用于支持業務目標。
她看到,網絡安全貫穿所有職能,了解驅動業務的流程和技術,使安全領導者能夠掌握全局,安全團隊不僅熟悉企業面臨的各種風險、法規和要求,還通過與IT合作確保產品安全,連接客戶并影響客戶的體驗和對公司的信任感。
“網絡安全必須貫穿每個職能,彌補差距,確保流程按預期運作,”她說,“在安全領域,你必須了解客戶的需求,了解需要滿足的法規,并利用這種理解影響你的高管同事。當我看到這一點時,我意識到這個角色更大,不僅僅是將網絡安全作為一種保險,而是主動推動業務發展。”
她提到,越來越多的企業正在采用“安全優先思維”,作為證明。即在數字產品的開發過程中,從一開始就將安全內置其中,而非事后考慮——就像汽車生產時不會在安全性方面馬虎,安全性是其中不可或缺的一部分。
“沒有人會買一輛沒有安全功能的汽車。同樣,數字產品,尤其是AI和GenAI服務,也必須具備安全功能。”她說。
此外,Zielinski預計未來會有更多CISO承擔更廣泛的職責,并逐步進入企業領導層的最高階層。
更具體地說,她認為網絡安全職責將與風險和韌性責任相融合,這是合乎邏輯的,因為網絡安全、風險管理和韌性建設都是關于識別和彌補漏洞,確保企業不僅能夠在事件中幸存下來,甚至能在面對各種風險時繼續發展壯大。
“CISO和首席風險官將更緊密地合作,或者這兩個職位可能會合并為一個,不僅負責網絡安全,還負責風險管理和韌性建設。”Zielinski補充道。
加拿大國家鐵路公司的CISO Vaughn Hazen也表示,他同樣看到CISO這一職位在承擔比以往更多的風險管理職責。
“實際上,這已經本質上是一個風險管理的角色,核心在于管理風險。”他說。他還指出,日益增多的安全法規推動了CISO在承擔更多合規元素方面的職責。
他提到,如今的CISO往往負責數據隱私,并且越來越多的CISO開始承擔第三方風險和供應鏈風險的管理——他預計這一趨勢將持續下去。
這些趨勢加大了CISO的壓力,同時也提高了他們的責任感,他補充道。
“你必須清楚了解自己暴露于哪些風險之下,因此你必須理解業務及這些風險對業務的潛在影響,你還必須理解你所制定的政策、流程和技術對風險及整個企業的影響,并且,你必須能夠為自己的決策進行辯護。”Hazen說道,“你必須培養這樣一種心態:‘如果我需要在法庭上為我的立場辯護,我是否會對自己做出的決策感到放心?’并且,答案必須是肯定的。”
首席網絡與風險官的崛起
Softbank Investment Advisers的CISO Gary Hayslip也看到了類似的趨勢。
“我現在認為這個角色是利用技術、人員和流程來管理風險。”他說,并將這一變化視為首席安全官職位逐漸成熟的一部分。
他補充道,這反過來正在重塑CISO的職責,并改變這一職位在許多企業中的性質。
他了解到,有些CISO職位負責治理、風險和合規(GRC),有些負責風險和網絡基礎設施,還有一些負責風險和IT。他預計未來的職位名稱將反映出這種整合趨勢,CISO將演變為首席網絡與風險官或首席網絡與隱私官(這一變化已經在少數企業中開始出現)。
“這種整合將成為常態。”Hayslip補充道。
PNC Bank的執行副總裁兼CISO Susan Koski也認為CISOs將承擔更多職責。
“CISOs的職責范圍非常廣泛,必須從技術轉向法律、市場營銷、溝通、關系管理和財務等領域。”她說,“這導致越來越多的CISOs被要求承擔更廣泛的角色,有些甚至成為CIO,另外,包含物理安全和欺詐管理的自然演變也在發生,某些功能的融合可以實現最優的交付,該職位將繼續發展,特別是在身份驗證方面——需要適當且持續地驗證客戶和員工,并減少對易受釣魚攻擊的憑證的依賴。”
然而,2024年名人堂的成員們表示,所有這些變化并不能替代或超越CISO對技術的精通和對網絡安全操作的基礎知識以及不斷發展的最佳實踐的深刻理解。
“網絡安全還是網絡安全,你仍然需要做基本的網絡衛生工作。”Hayslip說道。
職位進化的驅動力
許多因素推動了CISO角色的演變,并且未來還會繼續推動這種演變,而一個重要的驅動因素是過去二十多年間數字化的到來。
“在當今的商業環境下,安全與運營更加緊密地交織在一起。如果你無法做好安全工作,現在對業務的影響要比過去顯得更為顯著。”Hayslip表示。
展望未來,Geisler認為,技術環境的變化將繼續推動CISO角色的演變。
“在不斷變化的技術環境中,CISO角色對企業至關重要,并將持續演變。作為職能領導者,CISO需要應對從自動化到GenAI等技術進步,跟隨技術的發展方向。”他說,“雖然AI主導了當前的討論,但量子計算的未來也日益臨近。在未來五到七年內,量子計算有望與當前的GenAI平分秋色。數據量、處理需求和速度將成為許多CISO關注的首要問題。”
其他入選者也提到,AI和量子計算將塑造未來幾年CISO的工作,進一步推動安全與業務流程和產品的深度整合。
入選者們還認為,日益增多的安全相關法規和安全相關要求(如數據隱私法律和標準)也將擴大CISO的職責范圍,并提升其角色的重要性和影響力。
他們還相信,CISO面臨的個人和職業責任日益增加,這正在推動CISO角色的變化。
這種責任感使安全負責人得到了所謂的“在高管會議上的席位”,參與董事會會議,并受到公司董事和高管責任險(D&O保險)的保障——未來幾年內,越來越多的CISO將獲得這些待遇。
此外,CISO的發言權和執行安全措施的權力也在不斷增加。
Hayslip表示,這將使越來越多的CISO領導者“像他們應有的那樣被視為高管角色。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號