當一家初創公司的管理層請安全領導者喬治·格喬(George Gerchow)就選擇CISO提供建議時,格喬建議尋找一位具備擴展安全項目、處理事件和與客戶互動技能的安全主管。
然而,該公司卻聘請了一位技術型極強的CISO,這位CISO的工作方式就像格喬曾經那樣親力親為,但在安全事件發生時卻缺乏安撫客戶所需的領導力。這種技能缺陷讓CEO不得不匆忙填補空缺,而客戶也感到不滿。
格喬(現為IANS Research的教職工,兼MongoDB的臨時CISO/信任負責人)表示,這個故事說明這位CISO并不適合這個角色。這個軼事和格喬的觀察突出了這樣一個觀點:領導者,包括廣泛意義上的企業高管,特別是CISO,可以分為不同類型。
這一觀點的支持者表示,安全高管應該知道自己屬于哪種類型的CISO,以及他們希望成為哪種類型的CISO,這樣他們才能將自己的才能與當前任務相匹配,從而提高在角色中成功的幾率。
“你必須讓自己處于成功的境地。”格喬說道。
那么,究竟有多少種類型的CISO呢?
IANS Research和Artico Search發布的《2025年CISO現狀報告》提出了三種CISO類型:戰略型、功能型和戰術型。
其他人則列出了更長、更多樣化的CISO類型清單。例如,Forrester Research多年來在多份報告中探討了CISO類型的概念。其在2024年12月發布的最佳實踐報告《CISO的未來》中,列出了六種類型:
• 變革型,如項目構建者或扭轉局勢者。
• 運營型,通常是職業生涯早期的CISO,他們更接近技術,并在中小型公司工作,仍承擔一些技術職責。
• 合規型,即通常在高度監管行業中的風險專家。
• 穩態型CISO,與變革型相反,他們保持一切平穩運行。
• 客戶導向型CISO,通常出現在技術供應商、網絡安全公司和B2B領域,他們需要談論對公司產品的信任。
• 事后處理型CISO,即在事件發生后空降入職,利用其事后處理的經驗幫助企業度過難關,然后再轉戰其他類似任務。
一些CISO可以在類型之間轉變
Forrester副總裁、首席分析師兼報告合著者杰夫·波拉德(Jeff Pollard)表示,研究表明,CISO職位在所需技能集和經驗方面具有“明顯的區別,這確實有助于明確公司在該職位上想要什么樣的人才”。
波拉德表示,這些類別并不是絕對的,因為安全高管通常具備不止一種類型的特質。此外,他說,隨著職位的演變、職業生涯的推進和個人需求的變化,他們經常會在一種主導類型與另一種之間轉變。
他舉了一個CISO的例子,該CISO在職業生涯的大部分時間里都屬于變革型,但后來由于各種原因(包括個人希望限制與工作相關的旅行)而成為了穩態型CISO。
其他人也提出了自己對CISO身份的分類。
非營利網絡安全培訓和認證組織ISC2的CISO喬恩·弗朗斯(Jon France)表示,“就像有不同類型的CEO一樣,CISO也確實有不同類型。”他看到一些CISO更具創業精神和成長導向,這通常使他們選擇在初創公司和快速成長的小公司工作。
他將其他人描述為穩態型CISO,在合規需求適中的組織中領導相對成熟的安全職能。還有一些被他認定為“恰到好處型”CISO,“被請來解決問題”。
他還談到了作為傳道者的CISO,“總是展望未來”,并表示他們通常活躍在咨詢界、新興技術領域和演講舞臺上。
弗朗斯稱自己部分屬于技術專家類型,因為他是從IT領域一路成長起來的,同時他也是一位有遠見的CISO,因為他被期望“對量子等將對我們的行業意味著什么有一個觀點”。
隨著企業需求的變化,CISO也必須隨之變化
當被問及自己的類型時,非營利專業和IT認證協會CompTIA的CISO蘭迪·格羅斯(Randy Gross)認為自己屬于“務實型”。“我的工作是消除不必要的技術風險,以便[業務]能夠自由運營。我制定安全解決方案,以讓企業蓬勃發展,”他解釋道。
他還使用了“技術型CISO”一詞,表示“我必須了解我們想要使用的不同技術的優勢是什么。”并且他用“顧問型”來描述自己,指出他必須為企業提供“這是風險,這是我建議的做法,這是我們前進的方式”。
此外,他指出了自己角色的“變革性”組成部分,即他正帶領安全部門從爬行、行走到奔跑的模式發展。
格羅斯表示,他混合的CISO類型反映了典型CISO角色在不斷演變和擴展。“很少看到CISO只屬于一個類別。”他補充道。
盡管如此,格羅斯強調,盡管對CISO的需求可能因組織而異,但從一個組織到另一個組織,該職位的相似之處多于不同之處。所有CISO,無論他們可能被如何定義,都需要具備大致相同的基礎商業敏銳度和技術知識,才能在安全主管的職位上取得成功。
“這與其他高管職位相似,”他說。“如果你不了解業務、其目標和軌跡,作為高管,你將會失敗。”
事實上,CISO職位之間的這些共性讓一些人對CISO類型的概念持反對意見。
專業CISO協會(PAC)的聯合創始人兼常駐CISO泰森·科普琴斯基(Tyson Kopczynski)對此持懷疑態度。
“我們在PAC的觀點是,這個職位實際上需要標準化。而不是我們現在看到的這種高度碎片化的混亂局面。相反,CISO需要達到一定的標準才能獲得認可。這非常像醫生或律師。雖然可能會有專業化(就像專利律師一樣),但所有CISO都應該具備相同的基礎技能集,而不是我們今天所看到的這樣。”他說。
將CISO類型與角色相匹配
盡管如此,波拉德等人認為,不僅存在CISO類型,而且安全高管了解自己屬于哪一種類型也很重要。
波拉德指出了一位安全領導者,他現在是自己第五家初創公司的CISO,“因為他喜歡構建項目,喜歡與開發人員在一起解決問題。他知道自己在其他角色中會感到無聊。”
他補充道:“知道自己屬于哪種類型,以及自己即將擔任的角色是自己關心的事情,這非常重要,這能讓你充滿活力。”
資深安全領導者海倫·巴頓(Helen Patton)也持類似觀點。“CISO并不是一個同質群體。在‘CISO’這個頭銜下,有許多子類型,”她在就這一主題撰寫的文章中寫道。
巴頓(前CISO,現任思科網絡安全執行顧問)表示,多種因素會影響公司可能需要哪種類型的CISO。一個擁有龐大復雜技術棧的大型老牌公司,與一個快速增長和變化的云原生初創公司,所需要的人員在技能、經驗和領導力品質上會有所不同。金融服務、醫療保健或公用事業等受到嚴格監管的行業,需要深諳如何應對所有合規要求的人員。
與其他人一樣,她說這些分類在一定程度上是滲透的,允許從一個轉變到另一個。
巴頓表示,她已經從傳統上領導企業安全團隊的CISO角色,轉變為思科負責產品安全的CISO,負責產品的安全性,現在又轉變為現場CISO,與公司的銷售組織合作,幫助客戶將思科產品融入其技術棧中。
CISO的起點可以指引他們的職業道路
Executive Advisors Group的首席執行官、CISO和執行顧問,兼ISACA圣地亞哥分會董事會成員馬特·斯坦珀(Matt Stamper)補充說,專業人士踏上CISO職位的道路也會影響他們傾向于成為哪種類型的CISO。
他說,不同的職業道路會塑造出不同類型的高管。那些通過技術角色晉升的人通常保留了技術傾向,而那些通過治理和風險職能晉升的人則通常傾向于合規導向的角色。
斯坦珀、巴頓和其他人都承認,大多數CISO并不會輕易給自己貼上標簽。他們不會將自己定義為某一種類型的CISO。
但他們也不必如此。
然而,同時他們也表示,對于安全專業人士來說,就像其他角色的領導者一樣,思考自己的優勢、才能等是很重要的,這樣他們才能理解哪些角色最適合自己所能提供的。
“CISO應該并且傾向于依靠自己的天賦,”Tiro Security的虛擬CISO兼首席技術官杰奈·馬林科維奇(Jenai Marinkovic)說道,她還是IT治理協會ISACA新興趨勢工作組的成員。
馬林科維奇認為,她的“天賦更多在于戰略基礎設施,以及理解未來、業務將走向何方,然后確定架構需要如何發展”。
與格喬一樣,IANS教職工兼Artico Search網絡安全實踐合作伙伴史蒂文·馬塔諾(Steven Martano)也見證過CISO與角色不匹配的情況。他舉了一個公司的例子,該公司有一位戰術型、穩態型CISO,但發現自己被擁有由變革型CISO領導的敏捷安全項目的競爭對手所超越。
“這就是為什么公司和CISO對自己在這些角色中的定位保持誠實很重要。”馬塔諾說道。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。