以前,CISO只是技术型高管。如今,他们已成为风险管理、威胁处置、法规合规、数据隐私等方面的大师。
当史蒂夫·卡茨于1995年成为史上第一位CISO时,Netscape Navigator还是全球最流行的浏览器,马克·扎克伯格还在上中学,距离智能手机出现还有10年,而SSL 2.0是全新的技术。
卡茨被花旗银行聘为CISO(这是一个全新的职位,以前从未出现过),当时花旗银行还在为前一年发生的一起黑客试图通过欺诈性国际转账窃取1,000万美元的事件耿耿于怀。在花旗银行挫败他们的骗局之前,这些网络骗子已经窃取了40万美元。卡茨在2021年接受作家托德·菲茨杰拉德的CISO故事播客采访时回忆说:“那是两个来自圣彼得堡的俄罗斯孩子,他们试图找到一种获得免费电话服务的方法。”
在随后的风波中,花旗集团设立了CISO职位,邀请卡茨来担任。他辞掉了摩根大通信息安全主管的工作,接受了这一开创性的职位,从此载入网络安全史册。
卡茨于2023年12月去世,享年81岁,他的信息安全同事们称他为“网络安全之父”。总部位于密尔沃基的金融服务公司Northwestern Mutual的CISO劳拉·迪纳尔回忆说,他是一位慷慨的导师。“我们的工作很辛苦。但是,如果你在某些方面遇到困难,他愿意立即接通电话与你交谈。他给了我他的私人电话号码。他给了我他妻子的电话号码!总的来说,他是一个非常积极的人。”
迪纳尔和其他CISO接过了卡茨最早点燃的火炬,下面我们就来看看这个角色在他创立后的三十年间是如何演变的。
CISO的职责从技术技能转向软技能
卡茨在1995年接受CISO一职时,对这一职位一无所知。花旗集团也不知道。“他们说你有一张空白支票,去创造一些伟大的东西。管它是什么。”卡茨在2021年的播客中回忆道,“CEO说,董事会没有任何想法,去做点什么吧。”花旗集团聘用卡茨后,只给了他两条指令:“建立世界上最好的网络安全部门”,以及“走出去,与我们的顶级国际银行客户共度时光,以减少损失”。
此后,CISO的工作变得复杂得多。根据菲茨杰拉德2019年出版的《CISO COMPASS: Navigating Cybersecurity Leadership Skills with Insights from Pioneers》一书,卡茨的聘用拉开了1995年至2000年第一个CISO时代的序幕,当时的CISO主要关注密码和登录安全。菲茨杰拉德将角色的变化划分为随后几个时代的时间轴:
2000年至2004年:监管合规CISO
2004年至2008年:以风险为导向的CISO
2008年至2016年:具有威胁意识的CISO(社交/移动/云)
2016年至2022年:隐私和数据感知型CISO
2022年至2027+:综合型、业务弹性CISO
菲茨杰拉德告诉《CSO在线》,这个职位最初被认为是一个技术性职位,但现在更强调业务战略。他说:“如今,人们更加注重软技能,将成为业务合作伙伴和执行者。”
华盛顿特区CISO指导和咨询公司Yass Partners的CEO Yael Nagler说:“随着时间的推移,CISO的工作已经从单纯了解公司IT网络的螺母和螺栓,转变为了解如何在网络安全危机中收拾残局(名副其实的)。她补充道,如今,CISO应该作为其组织内的战略合作伙伴行事。
“随着这一角色的演变,它实际上已经从技术层面进入管理层面。因此,CISO的技能不断发展,但他们之间的互动也发生了真正的转变。” Nagler说,这些互动包括与技术、财务、审计、法律和合规等部门的合作。根据Gartner Research的研究,这种超越IT领域的合作对现代CISO至关重要。Gartner分析了227名CISO在2020年至2023年期间的表现,得出的结论是,“最有效的CISO”定期会见的非IT利益相关者(如销售主管、营销主管和业务部门领导)是核心IT利益相关者的三倍。
CISO学会了用业务术语转述风险
有了所有这些合作,今天的CISO必须能够以业务部门几乎可以立即理解的方式传达网络威胁。菲茨杰拉德说,这是一种以与企业业务流程相关的方式阐述风险的能力。你需要有能力解释风险的含义。这是否意味着我无法开展业务?这是否意味着我们医院将无法治疗病人,因为我们遭遇了勒索软件攻击?
Deaner说,CISO在实施业务连续性计划或灾难恢复测试等核心信息安全计划中的作用显而易见。她补充说,随着数字化转型将技术贯穿到每个组织的结构中,CISO也必须将网络安全从传统的技术孤岛中解放出来。Deaner说:“必须确保安全是公司文化的重要组成部分,并且从上到下都能听到关于安全的声音。”
当今的CISO工作超负荷、压力大、焦虑不安
据Cybersecurity Venture 2023年的一项研究估计,目前全球约有32,000名CISO。然而,随着CISO数量的增加,他们的集体焦虑感也在增加。2024年1月,IANS/Artico对加拿大和美国的663名CISO进行的联合调查发现,75%的CISO表示想更换工作,高于一年前的64%;同期,对工作和公司感到满意的CISO从74%降至64%。
研究报告指出:CISO们正经历着焦虑与机遇并存的双重体验,这主要归因于网络安全支出的减少、网络漏洞的增加、生成式人工智能工具的兴起,以及强调信息披露要求的更严格的网络安全规则。
菲茨杰拉德对当今CISO的复杂心理并不感到意外。他指出,以前CISO必须履行的核心职责现在都变得不那么重要了。相反,现在的CISO要解决所有这些问题:风险管理、紧跟新兴威胁、监管合规、数据隐私,以及通过将网络安全融入整个组织的文化和运营来建立业务复原力。在之前的阶段,这些事情并没有消失。菲茨杰拉德说:“问题并没有被取代或减少,而是更多了。”
责任成为新的担忧
包括欧盟在内的全球监管环境不断收紧,也加剧了这种叠加效应。在美国,前Uber CISO乔·沙利文于2023年因未能披露数据泄露事件而被定罪;同年,美国证券交易委员会对SolarWinds CISO蒂莫西·布朗提出指控,指控其与2020年的一次网络攻击有关。
“CISO圈子里的人经常谈论责任问题,我们都很关注这个问题”,Deaner承认,“人们非常认真地对待这些法规的变化,因为它们的存在是有原因的”。
在Nagler看来,更明确的监管指标可能会成为CISO的“最好礼物”。“领导者们注意到了这一点,希望这能推动企业采取更周到的行动,并负责任地制定(网络安全)计划。她说:“这对CISO来说是一个很好的机会,他们可以发展自己的角色和对公司的价值,而不仅仅是技术,成为公司的战略合作伙伴。”
这可能需要与CEO进行更频繁、更有意义的面对面交流。然而,IANS/Artico的研究表明:
只有20%的CISO在其组织中被视为C级高管。
仅有50%的CISO每季度与董事会互动一次。
虽然85%的人希望董事会就风险承受能力提供明确指引,但只有36%的人得到了这种指引。
“很多时候,CISO仍在向CIO或CTO汇报,即向组织的技术部门报告。因此,尽管他们应该向CEO报告,但很多人仍然没能这样做。”菲茨杰拉德说。
重塑CISO的未来定位
面对不断涌现的网络威胁、似乎一夜之间就会出现的人工智能进步以及不断变化的立法环境,CISO在这个时代该做些什么?
Gartner的Sam Oyaei在2022年的一份研究报告中宣称,CISO已经“疲惫不堪”,他认为,CISO的角色需要完全重新定位:作为共享风险管理的领导者,而不是专门负责防止漏洞的守门员。Gartner网络安全咨询副总裁Olyeai写道:[这项工作]必须从处理网络风险的实际责任人演变为负责确保企业领导者具备做出明智、高质量信息风险决策所需的能力和知识。
Nagler对此表示赞同,她敦促当今的CISO“认识到,平衡管理风险和促进业务增长这微妙的双重关系并不是他们的唯一责任”。相反,她说,“他们的职责是确保领导团队具备平衡这两者的能力,穿针引线、解释事情、预测并了解事情的走向”。
菲茨杰拉德建议目前的CISO专注于战略和治理,“确保所有正确的事情都在做,确保组织的安全自主权得到实现,而不仅仅是技术部分”。
最后,我们听听第一位CISO怎么说。2021年,当史蒂夫·卡茨回顾他1995年在花旗集团的开创性工作时,他先知般用非常相似的语言描述了他对这一职位的态度。“IT部门是问题的最小部分”,卡茨说,“从第一天起,我们的基本理念就是信息安全是一个业务风险问题,是一个业务风险管理问题。”
原文链接:
https://www.csoonline.com/article/1310847/30-years-of-the-ciso-role-how-things-have-changed-since-steve-katz.html
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。