现代CISO的转型与责任

关键要点

现代CISO的角色已从战术转变为战略性领导。网络安全责任已成为整个组织的集体责任。企业领导层需关注网络风险，并在就业合同中加入绩效要求。CISO需在网络安全与商业之间架起桥梁，充分培养企业的网络韧性。

随着网络威胁格局的发展，现代首席信息安全官CISO的角色也在不断演变。过去CISO在象牙塔中独立运作、缺乏参与重大组织决策的机会的时代已经结束。如今，随着数字化转型的扩大与商业需求的加剧，现代CISO的角色已由单纯的战术执行者转变为全面的变革推动者：他们成为组织的网络安全核心，负责协调战略规划、政策和流程，形成以价值为中心的安全架构，以减轻网络和商业风险。

保护组织免受网络威胁的责任不再仅仅落在CISO的肩上。这是一项跨越整个组织的集体责任，从企业领导层开始，延伸到各个层级。根据Gartner的预测，到2026年，超过50的C级高管将在其雇佣合同中加入与网络风险相关的绩效要求。此外，预计新的SEC监管将强制上市公司披露其网络安全治理努力，尤其是董事会在大规模商业战略中对网络风险的监督。因此，将CISO定位为变革性领导者，已成为保护企业健康的关键。

使网络安全成为商业优先事项

变革型CISO在网络安全与CSuite之间架起了桥梁。他们必须有效地阐明网络事件和商业中断之间的关系，让组织的各个利益相关方都能理解。这需要深入理解网络风险的三个基本要素：威胁、漏洞和影响。为了有效解决这三个方面，CISO需要关注以下几个重点：

express梯子关注重点说明选择合适的框架选择一个与组织风险特征相匹配的行业认可框架，以便让CSuite和董事会更容易理解网络安全措施。例如，NIST网络安全框架。衡量组织的成熟度仅仅采用安全框架是不够的。在实施各种控制措施时，务必基准并衡量组织顶级安全能力的成熟度，以便随时监控进展。与行业同行对标根据风险特征确定组织的网络安全支出水平。随着成熟度的提高，比较组织的安全架构与整个行业的表现，确保支出合理。设定最佳目标成熟度较高的组织可以决定以更成熟的行业作为对比目标，即使留在自身行业内，也要基于深入了解商业风险设定成熟度目标。持续测量有效性即使有明确的框架、成熟度模型、基准和目标，一个重要的问题依旧存在：组织是否有效利用有限的资源？采取持续的测量与评估作为非谈判项。

当今的变革型CISO还负责营造企业范围内的网络韧性文化，让所有员工共同承担保护组织的责任。然而，CISO无法通过静态的参与和缺乏情境意识的统一培训来达成这种合作。这就像育儿的挑战一样，虽然我们知道什么对孩子最好，但并不意味着他们总是会听从我们的建议。如果我们能够有效地阐明建议背后的价值，且出发点是他们的根本利益，那么好的结果就更有可能达成。

同样，CISO在建立网络韧性文化时，不能期待标准化的政策或常规培训能自动转变为100的员工