CIO已死?第六代CISO將成為企業IT掌舵人
在網絡安全領域,首席信息安全官(CISO)的角色正經歷著從單純的技術專家向戰略型商業伙伴的轉變。隨著網絡威脅日益復雜,以及云計算等新興技術的興起,CISO的重要性將進一步提升,甚至有望取代首席信息官(CIO)成為企業IT掌舵人。
CISO的誕生與演變
1995年,史上第一位CISO在花旗銀行誕生。當時,網絡安全還處于萌芽階段,信息安全漏洞頻發。為了應對日益嚴峻的網絡安全形勢,花旗銀行設立了CISO職位,并任命史蒂夫·卡茨(Steve Katz)擔任該職。
卡茨被譽為“網絡安全之父”。他最初的主要職責是幫助銀行建立強大的網絡安全部門,并與國際主要銀行客戶合作,降低網絡攻擊造成的損失。
隨著網絡安全威脅的不斷演變,CISO的角色也隨之發生變化。托德·菲茨杰拉德(ToddFitzgerald)將CISO的發展歷程劃分為六個階段:
- 第一代CISO(1995-2000年):Katz擔任花旗首位CISO,密碼與登錄安全時代;
- 第二代CISO(2000-2004年):法規遵從時代;
- 第三代CISO(2004-2008年):風險導向時代;
- 第四代CISO(2008-2016年):威脅感知時代(社交/移動/云計算);
- 第五代CISO(2016-2022年):隱私和數據感知時代;
- 第六代CISO(2022年至2027+):綜合型、業務彈性時代。
從最初的技術導向,CISO的角色逐漸演變成需要具備戰略思維和溝通技巧的綜合型人才。他們不僅需要深刻理解網絡安全技術,還需要與公司內部的技術、財務、審計、法律和合規部門進行密切合作,并向非技術部門的高管層清晰地傳達網絡風險,讓安全融入到企業的整體文化之中。
CISO在崩潰的邊緣迎來重大機遇
根據德勤的研究,當今的CISO面臨著巨大的壓力和挑戰。一方面,安全漏洞不斷增長、網絡犯罪活動愈發猖獗,勒索軟件攻擊、數據泄露等事件層出不窮;另一方面,網絡安全預算卻不斷縮水,監管環境日益嚴苛,對企業的信息安全提出了更高的要求。Uber的CISO因未能披露數據泄露事件而被定罪,更是標志著新的監管法規下CISO面臨的職業風險正快速飆升。
Cybersecurity Venture 2023年的一項研究估計,目前全球約有3.2萬名CISO。然而,隨著CISO數量的增加,他們的集體焦慮感也在增加。2024年1月,IANS/Artico對加拿大和美國663名CISO進行的聯合調查發現,75%的CISO打算換工作,高于一年前的64%,對自己的工作和公司感到滿意的CISO數量也從74%下降至64%。
網絡安全公司Yass Partners的首席執行官Yael Nagler指出,CISO可能會因為不斷增加的責任和壓力而感到焦慮,但同時也面臨著重大職業發展機遇。隨著網絡安全的重要性日益凸顯,CISO將有機會成為企業高層的重要戰略伙伴,引領組織抵御網絡威脅,并推動網絡安全文化來提升業務彈性。
第六代CISO的四個重點發展方向
Gartner的Sam Oyaei在2022年的一份研究報告中宣稱CISO已經“精疲力盡”,他認為這一角色需要完全重新定義,從“孤膽英雄”轉變為“共享風險管理者”。CISO不再是唯一負責防止網絡攻擊的人,而是要幫助企業領導者建立起一套完善的網絡安全體系,并提高他們對網絡風險的認知和決策能力。
未來,第六代CISO有四個重點發展方向
- 更加注重戰略和治理:CISO需要制定全面的網絡安全戰略,并確保組織內部各部門都承擔起相應的安全責任。
- 強化風險管理:CISO需要持續評估網絡安全風險,并采取有效的應對措施。
- 提升溝通和協作能力:CISO需要與高層管理層和其他業務部門保持密切溝通,學會用業務術語溝通風險,提高公司高管的網絡安全意識。
- 積極擁抱新技術:CISO需要了解和掌握人工智能、云計算等新技術,并將其應用于網絡安全實踐中。
正如第一代CISO史蒂夫·卡茨所言,信息安全絕不僅僅是技術問題,它更是一個影響企業整體經營的商業風險管理問題。展望未來,第六代CISO將扮演更加重要的角色,引領企業在充滿挑戰的網絡安全環境中實現可持續發展。
CISO的下一步:取代傳統CIO
云計算的興起對傳統的CIO模式帶來了巨大沖擊。隨著越來越多的企業將業務遷移到云端,IT架構發生了根本性的變化,CIO所掌控的權力和資源也隨之減少。
一些業內人士認為,SaaS的普及將最終導致CIO/CISO分裂模式的終結。由于SaaS服務商已經承擔了大部分傳統IT應用的支持工作,企業只需要一個CISO來負責整個組織的安全事務,包括IT安全和SaaS安全,從而簡化管理架構、降低運營成本。
未來,CISO與CIO的關系將如何演變,還有待進一步觀察。但可以肯定的是,CISO在企業中的重要性將不斷提升,并將成為不可或缺的角色。
CISO取代CIO成為企業IT掌舵人的趨勢已經開始,例如,今天很多初創公司通常只有一個安全主管,同時負責管理IT和安全事務。隨著這類公司不斷發展壯大,這種整合的IT/安全模式將會延續,企業架構中只會保留一位IT/安全C級別高管。
CIO的最后堡壘可能是筆記本電腦管理,但隨著云辦公和協同辦公的不斷發展,以及EDR供應商越來越多地承擔管理任務,一個不承擔安全監管責任的CIO還能堅持多久?
