CISO角色的演变与分工

关键要点

随着网络安全领域的不断发展，首席信息安全官CISO的角色变得愈加复杂。除了技术责任，CISO们现在还需要处理合规性和业务风险等多个方面。有专家建议，或许是时候将CISO的职责分割成两个角色，以适应不断增加的工作量和责任。

网络安全在近年来受到越来越多的关注，随之而来的是更多的立法、规则和审查。因此，CISO们的职责已经超出了单纯的技术防护。

根据IANS的一项研究，CISO们的工作范围不仅限于信息安全，通常还包括技术风险和合规问题。不断增长的监管要求意味着，董事会的监督需求也在增加，CISO们必须继续将不断演变的网络风险与企业环境相结合。

“CISO需要与企业高管、监管机构、网络保险提供商及首席财务官合作进行预算，他们必须通晓商业语言，并将其转化为网络风险。单单这一工作就已经是全职工作了。”企业战略集团的资深分析师Jon Oltsik表示。

与此同时，随着技术日益复杂，CISO们需要花费更多精力进行管理和监督。“科技的规模和多样性令人瞩目，包括开发新应用和实施新设备。我们正处于大规模AI应用的边缘。有必要有一位真正了解这些技术，并能在业务指导下落实适当控制措施的人。”Oltsik对CSO说。

对分离技术与业务风险的担忧

随着工作范围的不断扩大，Gartner预测到2027年，45的CISO职责将拓展到网络安全以外，这一趋势是由于日益增加的监管压力和攻击面扩展推动的。

为了应对这些扩展的责任，越来越多的组织可能会效仿银行和其他大型企业，在技术控制和业务风险之间区分职责。

一种可能的安排是，CISO直接向 CEO 报告，而首席安全技术官CSTO或技术导向的安全人员则向首席信息官CIO报告。

在功能层面上，将CSTO置于IT部门内使CIO有更多机会进行整合与协作，统一观察能力与安全监控。在高管层面上，需要理解安全漏洞，而CISO可以帮助考虑战略业务风险。Oltsik指出：“这种分工可以带来更好的安全监督和更健全的安全文化。”

然而，在划分职责和报告线时存在许多实际考量和风险。如果将CISO划出CIO的视野，就可能在管理网络风险与对技术的监督之间形成一个隔离层。这样可能会加深IT运营与安全之间的差异，前者专注于保持系统运行，而后者则优先考虑确保系统安全。

“显然，所有人都希望保持系统正常运行，不仅仅是CIO，安全的工作则是确保系统也要安全，他们可能会设立某些门槛，使得工作变得更加困难。”Oltsik谈到。

而在开发和采用新应用时，也面临着安全风险的问题。如果安全技术角色在CIO和IT的管辖下，当性能与安全发生冲突时，安全因素可能会被忽略。

“我们处于如此多漏洞的状况，部分原因是因为软件开发者被激励尽快将代码投入生产，常常为此在安全上走捷径。”他说，“因此，分离这两个角色后，CISO可能成为一个没有实际操作责任的象征性人物，而CIO可能会指示CSTO减少安全相关的工作，因为这影响了生产力或性能。”

某些功能分离是否能改善风险管理？

在其他情况下，设立一位负责网络安全的领导者，领导技术、运营和架构团队，以及一位CISO负责治理、风险和合规职能是有道理的，来自7 Rules Cyber顾问公司的CISO和创始人