在采訪中，DomainTools的CISO Daniel Schwalbe探討了日益嚴格的監管要求如何重塑了CISO的職責和日常決策。他概述了未來CISO所需的技能組合、2025年的關鍵工作重點，以及壓力增加如何影響該職位的吸引力和人才保留。

哪些具體的監管要求提高了CISO的責任，這又如何影響了他們的日常決策?

監管領域最近的一項變化直接影響了上市公司雇用的CISO，并提高了他們的責任，即美國證券交易委員會(SEC)通過了涵蓋上市公司網絡安全風險管理、戰略、治理和事件披露的新規定。SEC現在要求公司必須在四個工作日內通過財務申報披露重大網絡安全事件。必須包括有關事件性質、時間和對公司財務狀況影響的詳細信息。

此外，新規定還要求公司在其年度財務披露中納入網絡安全風險評估和管理流程。新規定還特別強調了CISO等高層管理人員的個人責任，著重指出高管需要了解自身在確保公司財務披露準確性方面的個人職責。

另一項影響受紐約金融服務部(NYDFS)監管的金融機構(包括在華爾街開展業務的任何銀行或經紀公司)的監管更新，增加了CISO的個人責任。規則變更要求CISO與企業內最高級別的高管一起，每年親自證明其企業符合該州的《網絡安全法規》。

監管要求的這些變化可能會以以下方式影響受新規定約束的公司的CISO的日常決策：

CISO在監測和管理網絡安全風險時將不得不更加警惕，確保所有事件都能得到及時、準確的報告。

CISO與其他高管，尤其是首席財務官之間的協作需求將增加，以確保對網絡安全事件的報告準確全面。

CISO將需要更多地參與戰略決策，將網絡安全措施與業務目標相結合，并確保董事會充分了解網絡安全風險和戰略。

CISO將需要考慮個人責任，這可能會影響他們管理風險和合規工作的方式。

CISO角色的壓力，包括對監管合規和風險管理的期望，如何影響了該職位對頂尖人才的吸引力?

當SEC和NYDFS等監管機構實施更嚴格的合規要求時，CISO將面臨更大的個人責任。這包括網絡安全事件可能帶來的法律和財務后果。個人責任的風險可能會阻止頂尖人才追求或繼續擔任這些職位。

此外，網絡威脅的快速演變要求CISO不斷更新其技能和策略。這種不斷適應的需求可能令人不堪重負，并可能讓偏好更穩定職位的潛在候選人望而卻步。

過去10-15年來，CISO的職責范圍顯著擴大，從主要的技術監督擴展到戰略領導、風險管理和監管合規。持續防止違規和管理事件的巨大壓力可能導致高度緊張和倦怠，從而降低該職位的吸引力。

這也意味著現代CISO必須具備技術專長、戰略思維和強大的人際交往能力的結合。對如此多樣化技能組合的要求可能會限制合格候選人的范圍，因為并非所有網絡安全專業人員都具備必要的技能組合。

網絡安全行業已經面臨人才短缺的問題，而CISO職位的高要求加劇了這一問題，導致人才流失率高。企業難以吸引和留住愿意承擔該職位所附帶的大量責任和風險的熟練專業人員。

隨著CISO角色越來越涉及向董事會報告，你認為到2025年CISO將需要哪些以前可能不那么重要的技能或經驗?

CISO需要能夠有效地將復雜的網絡安全問題傳達給非技術背景的董事會成員和高管。這需要將技術術語轉化為商業語言，并清晰地闡述網絡安全風險對企業整體業務戰略的影響。隨著網絡安全成為業務戰略不可或缺的一部分，CISO必須能夠超越眼前的威脅，專注于長期戰略規劃。這包括了解網絡安全舉措如何與業務目標相一致，以及如何為競爭優勢做出貢獻。

深入了解業務運營和財務原則至關重要。CISO將從金融、供應鏈管理和監管合規等領域的知識中受益，以做出支持企業目標的明智決策。隨著網絡威脅的復雜性增加，CISO將需要高級的風險量化和管理技能。

CISO需要在日常運營需求和戰略關注長期目標之間取得平衡。這要求能夠批判性地思考新興威脅和機遇，并制定確保企業網絡彈性的戰略。

最后但同樣重要的是，深入了解人工智能和其他新興技術至關重要。CISO需要了解如何利用這些技術來加強網絡安全，以及它們帶來的新風險。隨著預算收緊，對成本效益高的解決方案的需求增加，CISO將需要強大的談判能力，以有競爭力的價格獲得最佳的網絡安全工具和服務。

鑒于CISO角色的范圍不斷擴大和壓力增加，倦怠和人才流失是否成為更加顯著的問題?企業可以采取哪些措施來緩解這些風險?

Gartner早在2023年就預測，由于工作壓力，許多網絡安全領導者將在2025年前換工作。這一預測似乎并未完全成真，這可能受宏觀經濟因素的影響。仍然正確的是，CISO角色往往帶有隱含的“替罪羊”成分，如果發生備受矚目的違規行為，無論CISO是否對事件負有個人責任，他們都將承擔責任。但總體而言，2023年安全團隊普遍經歷了縮編，這一趨勢在2024年仍在持續。威脅情報團隊和高級領導職位尤其如此，因此隨著空缺職位數量的減少，CISO可能更不愿尋找新工作。

這一假設得到了CSO Online最近一份報告的支持，該報告指出CISO職位的人才流失率有所降低。這可能意味著，即使CISO覺得當前職位壓力很大，想要橫向跳槽到另一家企業，他們現在可能也運氣不好。

你認為CISO在展望2025年時，最重要的三個工作重點是什么?

多年來，許多企業積累了龐雜的安全工具。鑒于預算收緊，CISO現在需要專注于優化這些現有投資，以降低復雜性和成本。這涉及整合工具，并確保充分利用剩余工具來解決安全漏洞。

對于許多CISO而言，充分利用生成式AI技術的新網絡威脅的出現是一個重大關切。因此，CISO正優先考慮投資能夠增強其防御能力并彌補可見性差距的安全工具。矛盾的是，這可能包括使用一些AI解決方案來提高威脅檢測和響應能力。

隨著混合云和多云環境的復雜性增加，CISO需要考慮投資于針對云環境的先進檢測和響應能力，這有助于快速緩解威脅，減少對企業的潛在影響。