我们该如何适应CISO角色发生的转变？

在这十年里，可以看到CISO的角色发生了巨大的变化，从安全部门逐渐变成了具有影响力的组织领袖，也越来越多地成为了企业中C字高管的一部分。鉴于安全风险对业务的巨大影响，可以说这是一个众望所归的转变，CISO角色的突出，可以鼓励员工除了日常工作外，将安全视为优先事项，还可以让用户和业务经理成为盟友，并为组织提供切实的价值，这都是对企业而言非常有益的结果。

然而，对于许多CISO来说，尽管经历了这一演变，但该角色的工作落实、具体操作和经常超负荷的情况并没有好转。CISO一直以来都是一项孤独的工作，因为其他部门的员工都明白，如果安全部门来找他们了，就意味着又有额外的工作量要增加了，不是要求他们了解更多有关特定风险的信息，就是要求他们弥补漏洞以减轻风险。

员工会将CISO视为一种工作进度上的障碍，哪怕当下的CISO都在努力成为业务上的推动者，而不是阻拦者。CISO们的倦怠是很真实的，随着时间的推移，他们必须应对业务期望、客户需求、不断变化的工作流程，包括处理新的漏洞威胁和没日没夜的事件响应等，这都给他们的工作带来了艰难的影响。

是的，随着网络安全成为了企业决策中越来越重要的考虑因素，CISO的地位确实提高了，但理由却很僵硬，变成了“既然网络很重要，那CISO就必须很重要”，到头来CISO还是组织内部那唯一在呐喊“做好安全”的人物，其与IT部门、工程部门或业务部门，包括其他任何部门的负责人似乎依旧没能达成共识。

举几个对应的例子，比如国外Facebook因安全措施导致了对停机的响应延迟了数小时，他们的高管竟认为这种结果是可以接受的；再比如Uber的高管为了解决安全事件，只想着该怎么付钱给侵入其系统的黑客，以息事宁人，而不是承认漏洞的存在；甚至众多的CISO们在投资“额外的安全层”，而不是承认最初的一些选择和作为是可以改进的。在所有这些情况下，CISO与其他部门间的割裂无疑是这些结果的罪魁祸首。

所以才说，也许是时候重新定位CISO的角色了，从现实来看，我们要将CISO的重要性更多地反映在组织影响上，而不是组织地位上，比如在功能单元中嵌入安全性会带来更好的安全实践。

请将CISO想象为IT生态系统中的一部分，这样他们将参与基础建设的每一项决定，安全问题将是这些设施的组成部分，而不是事后附加项，这样的改变可使安全存在于IT的结构和管理方式中，而不是基于外部集团插入基础建设的特殊功能，提供的只是一套“安全解决方案”。

比如，若安全专家能嵌入到软件开发的过程中，他们将能够改进开发过程，以确保代码的编写和测试都能基于安全，从而减少公司在代码方面的漏洞；再比如，若安全专家能嵌入到产品线，他们将能够确保公司基础设施会对IP进行一定的维护，并确保在其开发过程中可以减少产品的漏洞。

其实就是将安全常规化，将安全完全嵌合到其他部门日常的运营中，这样CISO的技术就可以成为其他部门日常工作的一部分，而不是在安全事件前后才突出安全的重要性。同样，安全性和合规性需要无缝衔接，要保证合作伙伴、供应商等供应链安全，这些条例和约束可扩展到电信系统和其他硬件。

这样一转变，安全就能更具影响力了，相当于让安全成为了公司执行层面强有力的一环。然而，人们可能会质疑，这是否会减少安全部门的执行力和职责，因为这相当于将一个部门分裂，安插进不同的部门，长此以往，解决问题的方向会变为以各个部门自身的特殊利益为目的。因此，国外安全专家建议，可以通过扩大CISO的角色，将CISO目前执行的安全政策职能包括在内，统一处理。

他们说，这样做的好处是将安全策略始终保持在C级，从而获得必要的关注。也可将网络安全风险与其他风险，比如可用性风险、声誉风险等结合起来算为安全部门的职责范畴。国外安全专家强调的是，安全本身不再是某一部门的目的和职责，而是成了企业的基础建设和架构，就好像财务，企业的每个部门都需要和财务，也就是和钱财挂钩，财务的职能是算清楚所有部门的账本，安全也一样。

所以，这并不意味着安全需要与其他问题进行斗争，并做出妥协，就好像任何业务都不会和财务发生矛盾，因为没有财务你就做不了任何业务，安全也是同样的道理，不会因为其他问题的存在，安全问题就可以滞后，这样只会损害组织的安全态势。安全要建立的是一种环境，不是解决方案。

对于CISO的角色转变，国外安全专家Ryan Gurney有些实例可以分享。作为一名资深的风投CISO，他为许多创业环境提供了战略思想，并在业内为CISO们补充了广泛的知识，使他们能够利用自己的见解和经验构建新的安全产品，而不是单纯的为企业管理风险。

“在网络安全公司流行的初期，我与许多创始人有过合作，他们那时都处于创业过程中最关键的阶段，这些经历也为我的职业生涯带来了许多的财富，可以说是令人愉悦并充满挑战的。我的职责是与新一代网络安全创始人一起参加构思会议，我会分享自己作为YL Ventures团队成员的专业知识。从CISO的角度来看，我会设计、构思这个角色的形象和作用，并预估它会有怎样的发展，同时以解决困扰行业多年的痛点为主线。当然，这些痛点在我个人的CISO工作中也对我自己产生了影响。”

Ryan Gurney表示，无论企业的规模如何，安全都应该是公司建设初期最重要的基础。这不仅仅指的是硬件和软件，通过这些年的经历，Ryan Gurney深刻地意识到，无论怎样的企业都得尽早获得安全保障，让安全成为企业中的文化传统，从一开始就把安全刻进企业的DNA中。这样，随着环境的不断变化，企业才不会在意想不到的时刻陷在安全事件之中，这对身为美国公民的他而言感触实在太深了。

Ryan Gurney说，CISO和安全团队需要成为核心业务的一部分，这是角色转变的基础，并与团队中的其他关键职位（如人力资源、运营、开发等）一起成长。许多组织，尤其是大型组织，实际上都在摸索基础框架，在建设基础框架时，其实就是在定位各部门的角色，而当下的CISO已今非昔比，比如“安全卫生”等优先事项，现在都需要在基础框架里有所体现，因为随着组织的规模和安全团队不断扩大，这些都将体现出其现实意义。

“CISO不再是安全官员，他们对商业具有战略价值，他们的见解几乎在每个决策过程中都受到追捧。这是值得庆祝的，企业可以看到CISO们必定会提高对组织安全态势的可见性，他们还将加强问责制，确保以主动而非被动的方式制定正确的流程。”

因此Ryan Gurney建议，CISO必须掌握正确的工具，以便能够管理其程序衡量网络风险，并随着时间的推移使其程序/堆栈逐步成熟。同时，CISO还需要寻找解决方案，以提高他们评估风险的能力，并以数据驱动的方式更有效地运行安全计划、衡量效率，将其转化为高管和董事会成员能看懂的内容。

另一方面，对于企业，Ryan Gurney也有反响。他认为CISO在工作上的倦怠是一件很真实的事，安全团队在任何时候都有数不清的工作需要处理，他们要对安全事件做出响应、要为业务领导人提供清晰的信息、要解决新的漏洞，等等。企业必须对此提高警惕，并优先为CISO考虑自动化工具和其他精简流程，以减轻他们的负荷。

角色之后，Ryan Gurney提出，数据安全是另一个需要关注的问题，特别是企业使用、共享和利用数据的安全能力。“如果我们着眼于创业公司未来的收入流，会发现其关键在于推动、支持公司数据的采用和使用，这种能力已经成为商业的核心，也是攻击者有利可图的目标，因此有理由将数据方面的建设当做CISO的首要任务。在具有并购和整合的现代动态业务环境中，数据不断移动和变化，CISO必须跟上节奏。”

除此之外，说到CISO还有可能发展为怎样的角色，Ryan Gurney说，根据他的经验，许多CISO都有成为企业家的野心。因此，若哪位CISO想自主创业，亲自去指导创业公司创始人在家工作可能是一门创业速成课程，这有助于CISO了解如何创办自己的公司并成为CEO。

“像我，到目前为止，在担任CISO期间，我有机会了解到的不仅仅是技术产品方面的内容。我的角色为我提供了关于团队建设、融资策略、投资者对创始人的期望，以及‘联合创始人的动态为何同样重要’等问题的见解。同样，对于创业者来说，有一个经验丰富的CISO在身边，可以帮助他们提出建设性的建议，这对他们的产品战略有着深远的影响，因为CISO就代表着客户，关于安全的这些对话在企业早期阶段至关重要。”

对于CISO的角色或说安全部门的角色在企业、社会中到底有无改变，这角色转变后，又该如何去面对周遭环境，国内安全专家如此建议。

安信证券安全专家李维春表示，自从2013年斯诺登事件之后，国内信息安全岗位的重要性日益得到重视；自从大规模开展网络安全实战攻防演习之后，CISO的角色或者说安全部门的角色在企业内部的重视程度普遍得到提升。虽然说还是存在一些安全死角，但是人难招、薪水待遇提高、重视程度提升是普遍现象，信息安全从业者的春天已经到来。剩下的事情，就是从业人员如何抓住机遇、实现岗位价值的事情了。

因此，李维春有些建议希望安全新人们能够借鉴：

（1）世界上没有白拿的薪水，时刻牢记自己是来解决问题的，时刻牢记要先展现价值、才能获得与岗位匹配的薪水；有为才有位，这是亘古不变的道理。

（2）坚持学习。多看书、多与同行交流、多向优秀的人学习、多实践，在学习的道路上不断提升、不断贡献价值。

最后李维春还提到，前段时间有篇公众号帖子，叫《试于国内网络安全监管机构商榷二三事》，说得非常有道理，希望其中建议能被更多人的采纳。

九方智投产品技术负责人张福明表示，在企业中，CISO 的角色确实在不断演变，从之前的战术管理转变为了战略执行。它使所有利益相关者都参与到安全中来，包括客户、合作伙伴、高管团队，并在这些人群中起到“建立信任”的作用，当企业遇到安全问题时，能够考虑到各方的的最佳利益。另外CISO的角色也变得更加懂业务和法律合规，这一定程度上超出了日常职责，但也会带来额外的收益

张福明建议，对于新人来讲，除了在安全专业性方面要努力学习、力争突出外，还应在公司业务和安全合规方面投入精力，长远来看，这样的专业培养将为新人拓宽视野、感知监管态势，加速个人成长。

“关于安全监管，现在政府各部门陆续出台一些合规认证。我认为，各认证内容多有重复，相似度也高，导致含金量在降低，如等保、通保、密评、个人信息保护认证、数据安全认证、ISO27001/ISO27701等，如果加上安全企业与政府联合推出的认证就更多了，企业在应对监管要求时因为过度投入的人力、财力和时间十分疲惫，很大程度上影响正常业务的开展。问题的解决需要企业明确安全战略目标，也需要监管层面能够适当减负。”

某金融企业安全专家刘顺认为，网络安全工作始终处于动态变化过程中，安全部门在企业中的角色也随着安全工作的变化而改变，包括：

一是更加贴合监管。随着《个人信息保护法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规的颁布实施，网络安全监管范围和力度持续加大，合规成了企业最重要的一项安全工作，网络安全部门也承担了越来越多的合规工作。对外需要与监管部门沟通，承接检查工作；对内需要落实各种合规要求，担任企业安全内控职责。

二是更加贴合业务。网络安全的目标就是支撑企业业务目标的达成，企业在开展数字化、上云等转型工作时，会要求安全部门进一步加强与业务部门的联合，确保业务转型过程中的安全。

因此刘顺建议，拥抱并适应变化，持续跟踪监管动态，强化业务融合工作，在合规、业务风险方面持续为业务赋能。

《The Shifting Role of the CISO》

齐心抗疫 与你同在