CISO 的演变：角色如何变化

在许多组织中，首席信息安全官 (CISO) 主要关注（有时甚至专门）网络安全。但是，随着当今复杂的威胁和不断变化的环境，企业正在转移许多角色的责任，而扩大CISO的角色是这些变化的重中之重。根据  Gartner  的数据，到 2027 年，监管压力和攻击面扩张将导致 45% 的 CISO 职责范围扩展到网络安全之外。

随着 CISO 职责范围的迅速变化，这一角色将如何调整以应对未来的网络挑战？

Steve Katz 于 1995 年在花旗公司/花旗集团担任此职，成为全球首位 CISO。从其 CISO 生涯之初，Katz 就意识到这一角色不仅仅是一个 IT 职位；它关乎通过降低风险来服务业务。在随后的几年里，其他组织也增设了这一新职位，在大多数组织结构中，CISO 向首席信息官汇报。虽然许多 CISO 认识到了他们角色的本质，但组织中的其他部门想法却往往不一致。

随着时间推移，CISO 发现自己需要处理组织外部的问题，例如建立合作伙伴关系、与供应商合作以及管理外部数据传输。然而，许多组织仍然认为该角色主要属于 IT 范畴，其首要职责是避免企业因重大的网络安全漏洞或攻击而成为新闻头条。这意味着许多 CISO 主要关注合规和风险管理。

近年来，面对日益增多的网络攻击以及业务中断、罚款和声誉损害风险的加剧，CISO 的角色发生了另一项重大转变 。根据 Splunk 的《CISO 报告》，86% 的受访者表示，自他们担任 CISO 以来，这一角色变化如此之大，几乎已成为一项不同的工作。该角色已从主要担任技术角色转变为更像是业务领导者。

如今，CISO 不再仅仅是实施网络安全措施，而是侧重于帮助组织的领导者理解网络安全的重要性，并主导组织网络战略的战略思考。CISO 弥合了 IT 部门易于掌握的技术语言与高级领导层的业务语言之间的差距。

这一转变也导致了组织结构的重塑，根据 Splunk 的报告，47% 的 CISO 现在直接向 CEO 汇报。通过让 CISO 向 CEO（而非 CIO）汇报，组织彰显了将网络安全作为关键优先事项的重要性。此外，CISO 如今在高管层（甚至通常在董事会）拥有席位，影响力更大。

网络安全专家们对于 CISO 的角色应侧重于业务还是技术存在争论。展望未来，答案将明确地落于两者之间。与以往任何时候相比，如今成功的 CISO 必须具备一种罕见的技术专长与商业敏锐度的结合，才能真正胜任这一角色。

CISO 将承担更大的领导职责，负责整个组织的网络安全战略，而非仅仅帮助组织在网络安全和风险方面形成共同语言。随着关注度和责任感的提升，其他员工也将认识到网络安全在组织中的重要性。

作为较新的高管职位之一，CISO 自 Katz 成为新闻人物以来，仅存在了几十年，但已发生了显著演变。随着威胁日益复杂以及企业数字化程度不断提高，网络攻击造成的业务中断往往影响公司的方方面面。那些认识到网络安全重要性日益增加并随之调整 CISO 角色的组织，能够营造一种文化，让每位员工和高管都将网络安全视为自己的职责。