首位CISO、已故的史蒂夫·卡茨(Steve Katz)于1995年在花旗銀行(Citicorp)擔(dān)任CISO一職，此前俄羅斯黑客從該金融機(jī)構(gòu)竊取了超過1000萬美元。三十年后的今天，這一相對(duì)新興的領(lǐng)導(dǎo)角色在很大程度上仍被誤解，而且相較于CFO等更為傳統(tǒng)和穩(wěn)固的領(lǐng)導(dǎo)角色，其責(zé)任的不確定性更大。

因此，許多員工甚至高管并不完全了解所在企業(yè)的CISO的職責(zé)——這是許多CISO在履行企業(yè)主要職責(zé)時(shí)遇到的一個(gè)難題。

“CISO負(fù)責(zé)處理公司內(nèi)無人愿意涉足的所有網(wǎng)絡(luò)安全相關(guān)事務(wù)，”YL Ventures公司CISO、合伙人兼網(wǎng)絡(luò)安全初創(chuàng)企業(yè)顧問安迪·埃利斯(Andy Ellis)表示。

“這聽起來有些陳詞濫調(diào)，但這就是對(duì)更長(zhǎng)解釋的精煉概括，即CISO是CIO的另一半。2000年后，CIO基本上不再負(fù)責(zé)創(chuàng)新和治理，而是成為了削減成本者，”埃利斯說，“總得有人關(guān)心網(wǎng)絡(luò)安全，因?yàn)槠渌硕疾还?，因此，CISO的工作就是撿起那些本屬于其他人職責(zé)范圍內(nèi)的網(wǎng)絡(luò)安全碎片?！?

這一職位的隨意演變凸顯了CISO在同事和監(jiān)管機(jī)構(gòu)對(duì)其職責(zé)知之甚少時(shí)所面臨的問題，這種理解不足可能導(dǎo)致誤解、資源分配不當(dāng)，甚至潛在的法律責(zé)任，正如許多人所認(rèn)為的，美國(guó)證券交易委員會(huì)(SEC)對(duì)SolarWinds公司CISO蒂姆·布朗(Tim Brown)的過度牽連，就是基于對(duì)其職責(zé)的誤解而引發(fā)的一場(chǎng)長(zhǎng)達(dá)數(shù)年、傷筋動(dòng)骨的法律訴訟。

造成這種困惑的是，該職位的模糊性和多變性。盡管CISO職責(zé)繁重且頭銜聽起來像是高管級(jí)別，但大多數(shù)CISO的決策權(quán)仍不盡如人意，這進(jìn)一步加劇了職責(zé)的不明確性。盡管如此，專家指出，CISO可以通過一些方式更好地定義自己的工作，并在企業(yè)內(nèi)部和與外部利益相關(guān)者溝通時(shí)傳達(dá)這些信息。

那么，CISO究竟是做什么的呢?

定義CISO角色的一個(gè)根本問題是，該角色因企業(yè)而異，且取決于企業(yè)的網(wǎng)絡(luò)安全成熟度，此外，該職位的性質(zhì)會(huì)隨時(shí)間變化。

在成熟度較低的企業(yè)中，CISO“往往具備較強(qiáng)的技術(shù)能力，”凱雷集團(tuán)(Carlyle Group)前CISO、榮譽(yù)退休的貝薩尼·德盧德(Bethany DeLude)表示，“他們可能是企業(yè)中最強(qiáng)的安全工程師。這類CISO會(huì)想，‘讓我來滅火吧，讓我確保我們不被黑客攻擊，讓我把內(nèi)部事務(wù)整理好。’”

另一方面，在成熟度較高的企業(yè)中，CISO則是“一位專注于戰(zhàn)略、業(yè)務(wù)關(guān)系、品牌建設(shè)以及思考網(wǎng)絡(luò)安全如何為企業(yè)創(chuàng)造價(jià)值的高管領(lǐng)導(dǎo)者，”德盧德說。這類CISO會(huì)思考，“我如何通過我的專業(yè)知識(shí)為這個(gè)企業(yè)創(chuàng)造價(jià)值?這就是我認(rèn)為存在模糊性的原因，此外，同一企業(yè)中合適的CISO人選也會(huì)隨時(shí)間變化?！?

CISO角色的不斷變化，以及威脅和風(fēng)險(xiǎn)管理策略的轉(zhuǎn)變，意味著確定CISO的具體職責(zé)幾乎是不可能的?！斑@是一個(gè)不斷演變的情況，每年都需要對(duì)CISO的角色進(jìn)行重新分析，以確定，好吧，我需要做什么，”Cohesity公司現(xiàn)場(chǎng)CISO戴爾·“Z博士”·扎布里斯基(Dale “Dr. Z” Zabriskie)表示。

他補(bǔ)充道：“我們?cè)?jīng)歷過這樣一個(gè)階段，董事會(huì)、CEO或公司會(huì)指著CISO說，‘保護(hù)我們是你的職責(zé)?！F(xiàn)在，我們已經(jīng)擺脫了那種階段，CISO能做的最好的事情就是與業(yè)務(wù)的各個(gè)層面建立聯(lián)系，從每個(gè)部門負(fù)責(zé)人那里了解并要求他們說明自己負(fù)責(zé)哪些數(shù)據(jù)和系統(tǒng)，然后，CISO可以根據(jù)可接受的風(fēng)險(xiǎn)確定最佳行動(dòng)方案?！?

對(duì)一些專家而言，這意味著CISO需要在更具體地定義自己的工作之前，先在企業(yè)內(nèi)部摸索一番。“本質(zhì)上，CISO有責(zé)任最終確定自己的職位描述，并根據(jù)風(fēng)險(xiǎn)、戰(zhàn)略以及實(shí)際存在的文化來設(shè)定期望?！盚eadway公司CISO蘇珊·蔣(Susan Chiang)表示。

蔣認(rèn)為，對(duì)所有企業(yè)中的CISO而言，一個(gè)重要的共通點(diǎn)是，最終“使命是相同的，即無論你是在公司、政府還是非營(yíng)利企業(yè)，都要降低風(fēng)險(xiǎn)，尤其是傳統(tǒng)安全方面的風(fēng)險(xiǎn)?！?

盡管可能無法對(duì)CISO的職責(zé)形成一個(gè)恒定不變的定義，但如果存在一個(gè)標(biāo)準(zhǔn)定義，將有助于在企業(yè)內(nèi)部理順關(guān)系?！叭绻鞔_CISO需要做什么以及界限在哪里，將減少摩擦?！盌atabricks公司現(xiàn)場(chǎng)CISO兼安全副總裁、卡內(nèi)基梅隆大學(xué)教職員工奧馬爾·卡瓦賈(Omar Khawaja)表示。

僅憑“首席”之名，更添困惑

與其他聽起來像高管的頭銜一樣，如首席營(yíng)銷官、首席營(yíng)收官、首席技術(shù)官等，首席信息安全官聽起來也像是擁有廣泛決策能力的公司高管，但在大多數(shù)情況下，他們?nèi)狈θ魏螌?shí)際權(quán)力。

“有些CISO確實(shí)達(dá)到了公司高管的水平，無論他們的匯報(bào)關(guān)系如何，都會(huì)得到相應(yīng)的對(duì)待?！笨ㄍ哔Z說。

“我見過有CISO在CEO之下四級(jí)，但他們被視為高管團(tuán)隊(duì)的一等成員，”他補(bǔ)充道，“我也見過有CISO直接向CEO匯報(bào)，但他們幾乎沒有任何影響力和權(quán)力。因此，這與實(shí)際的匯報(bào)關(guān)系和企業(yè)結(jié)構(gòu)關(guān)系不大，而更多地與個(gè)人的精神風(fēng)貌、行為方式以及他們與CEO、董事會(huì)和同事建立關(guān)系的質(zhì)量有關(guān)?！?

埃利斯說：“公司里出現(xiàn)了許多聽起來像C級(jí)的高管頭銜，但實(shí)際上并非C級(jí)職位，首席安全官(CSO)是第一個(gè)，我認(rèn)為首席信息官和首席營(yíng)銷官是最后新加入高管層的，之后幾乎所有新出現(xiàn)的頭銜都不再是高管層的一部分，他們總是低一級(jí)?！?

但埃利斯認(rèn)為，鑒于網(wǎng)絡(luò)安全的重要性，CISO所占據(jù)的這一較低職位不會(huì)持續(xù)太久?！拔艺J(rèn)為，我們更有可能看到CISO的角色演變?yōu)轭愃剖紫畔⒐倩蚴紫夹g(shù)官的角色。如果你看看如今財(cái)富500強(qiáng)之外的首席信息官在做什么，他們就是商品硬件和軟件即服務(wù)(SaaS)的采購(gòu)員，那不是一個(gè)高管職位，但與CISO的職責(zé)結(jié)合起來，就是一個(gè)高管職位了?！?

Headway公司的蔣認(rèn)為，即使CISO不與首席信息官合并，他們也可能會(huì)獲得更多權(quán)力?！拔覀冋趪@CISO的職責(zé)制定更多標(biāo)準(zhǔn)和規(guī)范，這在某種程度上是對(duì)CISO現(xiàn)在需要確保的事項(xiàng)的自然跟進(jìn)，例如，被董事會(huì)指定為官員，因此在某些風(fēng)險(xiǎn)決策中享有與首席財(cái)務(wù)官同等的責(zé)任保險(xiǎn)覆蓋。”

CISO如何傳達(dá)自己的工作內(nèi)容

無論企業(yè)在網(wǎng)絡(luò)安全成熟度曲線上處于什么位置，或者CISO真正擁有多少高管權(quán)力，專家表示，有一些方法可以傳達(dá)CISO的職責(zé)，以便內(nèi)部或外部利益相關(guān)者更清楚地了解他們的工作。

幾乎沒有什么標(biāo)準(zhǔn)文件可以幫助完成這項(xiàng)任務(wù)。網(wǎng)絡(luò)安全董事會(huì)顧問拉菲克·雷曼(Rafeeq Rehman)每年都會(huì)制作一份“CISO思維導(dǎo)圖”，這是一項(xiàng)視覺成就，概括了CISO的工作內(nèi)容，但它很復(fù)雜，展示了任何一位CISO可能承擔(dān)的數(shù)百項(xiàng)職責(zé)。

“我不會(huì)和同行分享那份思維導(dǎo)圖，”蔣說，“那會(huì)讓他們不知所措?！?

埃利斯制定了《理想化的CISO職位描述》，全面描述了CISO職責(zé)的復(fù)雜范圍，但是，很少有CISO承擔(dān)過這么高水平的職責(zé)。埃利斯說，他只知道大約100名符合理想化標(biāo)準(zhǔn)的CISO，“他們現(xiàn)在大多都入選了CISO名人堂?！彼f。

蔣說，CISO不應(yīng)分享這些復(fù)雜且專業(yè)的文件，而是應(yīng)該“尋找從我們共同客戶的角度講述故事的方式”，例如，描繪他們?cè)谔峁┰L問或降低風(fēng)險(xiǎn)方面所做的工作。“這讓我們不再認(rèn)為CISO是決策者，而他們幾乎從來都不是，他們是顧問、助手和推動(dòng)者，在出現(xiàn)問題時(shí)出現(xiàn)?！?

“CISO首先要學(xué)會(huì)用對(duì)方的語言說話，并確定他們的衡量標(biāo)準(zhǔn)，什么對(duì)他們最有利，”Z博士說，“確定對(duì)這個(gè)部門或這個(gè)辦公室重要的事項(xiàng)，以及你如何展示自己與之的相關(guān)性?！?

埃利斯認(rèn)為，CISO親自向客戶展示自己的工作至關(guān)重要。“你希望一切都是面對(duì)面的，”他說，“你希望與人交談，他們應(yīng)該看到你做的工作，你不應(yīng)該告訴他們，‘我們做了這件事?！麄儜?yīng)該看到你做了什么，以及你真正幫助其他人做了什么。”

此外，在企業(yè)內(nèi)部進(jìn)行溝通時(shí)，如果CISO能夠給予他人認(rèn)可，他們的信息將更有分量、更令人難忘。“提及公司內(nèi)其他人的所作所為保護(hù)了公司，”埃利斯說，“這個(gè)工程團(tuán)隊(duì)剛剛為我們構(gòu)建了一個(gè)出色的無縫多因素認(rèn)證系統(tǒng)，這些才是你應(yīng)該感謝的人，每個(gè)人都會(huì)愿意與你合作——只有那個(gè)感謝別人的人才會(huì)這樣?！?

信息來源：51cto https://www.51cto.com/article/821680.html