作为C级管理层的核心成员,CSO们似乎一直面临着巨大的压力。他们经常加班过度,工作量巨大,却往往得不到应有的赏识。更糟糕的是,他们很可能成为背锅侠,这已经成为网安行业的普遍观点。许多CSO表示曾经遭遇过具有破坏性的网络攻击,这使得他们长期保持紧绷状态,难以得到充分的休息。因此,与其他C级管理层相比,CSO们的离职率不断升高,工作周期明显缩短。
网络安全的重要性正在不断提升,这已经成为行业的共识。全球各地的网络安全法规越来越严格,这使得CSO的价值不断攀升,并且越来越多地向董事会报告,而不仅仅是向CEO/CIO汇报。在企业中,他们已经成为关键的吹哨人,有时甚至拥有否决业务决策的权力。无论是日益完善的法规还是威胁日益严重的网络攻击,都使得CSO们在董事会中拥有更大的发言权,成为战略家和领导者。
上述两种角色也让CSO处于走钢丝的境地,这是他们面临的持续挑战。他们需要在快速发展的业务中发挥作用,同时还要对业务成功指标负责,并保护企业的实际安全效果之间寻找平衡。换句话说,CSO既要向董事会证明安全团队的价值,又要弥补由于人员短缺而导致的安全漏洞,并找到新的方法来减轻风险。这并不是一件容易的事情。
尽管董事会和CEO愈发重视与依赖CSO在网络安全领域的意见,但是依旧存在以下问题:
- CSO与董事会的目标一致性逐渐提升,但仍存在不对称。大多数CSO认为董事会或监管机构更关心合规性而不是最佳的安全实践。资金不足成为削减企业安全投入的最佳利用,其次是未能支撑业务发展。
- 成为C级管理层的一员后,要求量化安全产生的价值就愈发明显,给安全团队带来巨大压力,当然也能成为申请明年预算的理由之一。
- 勒索攻击正在成为CSO们的重要压力点,Splunk发布的报告中指出,90%的CSO都表示其组织在2021年至少经历了一次破坏性攻击;超过八成企业支付了赎金,超过一半的企业支付了10万美元以上的赎金。
- 没有协作就没有安全,安全并非单独的个人,而是和IT、开发、云团队等之间的协作对于提升组织安全力和恢复力至关重要,但是超过6成的受访者认为团队协作不尽如人意。
“用钱量化安全”
“董事会真正想要的是风险量化,他们想要用美元和分来衡量安全”,这大概是绝大部分CSO们的看法。因此在向董事会汇报工作时,不少CSO往往会体现安全的“投资回报率”。Splunk报告数据显示:
- 26%的CSO表示,他们会分享安全测试的结果,向董事会指出最佳的干预点,以此体现在网络安全领域的能力。
- 27%的CSO表示,他们优先报告安全投资的回报率,指出哪些干预措施和资金已经起到关键作用,为直接对话CFO并获得对未来投资的支持铺平道路。
- 25%的CSO表示,通过购买网络保险可以证明其他安全投资的合理性。
86%的CSO认为,他们最大的责任是确保其管理机构/董事会看助安全投资的价值。正如交通领域的一位CSO所说:“董事会真正想要的是风险量化,他们想要用美元和分来衡量安全。”
但事实上,只有20%的董事会将“安全投资的回报率”作为成功的衡量标准。在对安全方面的投资并没有那么高的回报率要求,但是在资金不足的情况下,安全依旧还是最容易被削减预算的部门。显然,CSO与董事会之间的认知存在偏差,是导致CSO们离职率高的核心原因之一。
CSO与董事会对于企业安全建设成功的指标也存在明显不一致。首先是合规性与安全性画上等号,这是CSO们最难接受的地方。作为网络安全行业专业人士,CSO更关注整体网络安全能力建设的最佳实践,而不是是否满足了合规,但对于非专业的董事会来说并非如此。其中的原因可能是“合规监管要求越来越严格,并逐渐成为企业经营的红线”。
另外,还有高层人员更喜欢用数字定义安全,并非我们想象中的数字化安全,而是通过一些数字来定义安全的价值。某CSO吐槽道,我们公司的董事会喜欢数字,但网络安全的问题在于,很难得出一个数字来说明我们做得好还是坏。
因此,无论是CSO还是董事会成员们,是时候拉齐一下彼此的进度,确保双方的目标保持一致才能更好地继续做好安全工作。随着全球网络安全法规日渐完善,对于扩大CSO的影响有着巨大帮助,一旦企业出现严重安全事故,CEO也要对此负责,公司的品牌价值、股价、业务都有可能遭受严重影响。这将有利于CSO们建立企业的安全文化,虽然改变文化的过程还需要大量的时间,但起码这已经是一个非常良好的开端:提高员工安全意识,也要提高董事会成员的安全意识。
CSO角色持续变化
毫无疑问,CSO正逐渐成为企业内部的重要吹哨人。对于企业安全负责人来说,当面对将业务置于风险之中的行为,如果是出于故意忽视安全最佳实践和合规要求,他们不但有权一票否决,而且有责任成为最后的防线。实际上,这也与CSO的个人利益密切相关。几乎所有的网络安全法规都明确要求,在发生重大安全事件时,CSO或安全负责人需要承担相应责任。
因此,大多数CSO都视吹哨行为为一种趋势。有82%的受访CSO表示,若他们的组织故意忽视安全最佳实践和合规要求,他们会考虑担任吹哨人的角色。这反映了他们对于职业道德的坚守,以及从组织安全失误中吸取的教训。随着全球网络安全法规的不断完善,CSO不仅是企业安全的守护者,更是在安全事件中的直接责任人,一旦出现问题,可能面临法律责任,甚至刑事处罚。因此,不少CSO都保持着与法律顾问的紧密联系,以便在必要时获得专业建议。
当然,CSO角色的转变不仅限于法规层面,技术和管理层面的变化同样深刻。不可否认,当今的CSO面临的挑战比20年前要大得多。技术环境的迅速变化要求安全领导者不断更新知识,学习最新技术。无论是云计算、区块链、人工智能还是机器学习,每一种新工具、新方法或新框架的采用,都需要精心的配置、部署和保护。这些挑战,加之企业环境的复杂性日增,给CSO带来了前所未有的难题,而且很多问题缺乏现成的解决方案。
特别是人工智能和自动化技术的广泛应用,带来了深远的安全影响。通用型服务如ChatGPT,以及其他垂直领域的成熟或发展中产品,都是人工智能和自动化技术在安全领域应用加速的例证。这意味着CSO需要关注这些新技术将如何影响他们的工作。
这只是众多挑战中的一个例子。网络安全行业对CSO的要求日益严苛。在具备专业网络安全能力和商业洞察力的基础上,CSO还需要理解企业的商业模式和战略,确保网络安全与企业战略相协调,以提升企业的生产力和盈利能力。此外,CSO还需掌握数据分析、风险管理和业务战略等更广泛的技能。
CSO的角色已不再仅限于技术安全,他们正变成业务推动者。网络安全领域正在经历一场变革,而对CSO而言,最大的变革是他们必须成为全方位的战士,不仅精通自己的专业领域,还要深入了解公司的其他部分,如营销、销售、工程、产品、设计、数据等。企业高层希望CSO不仅精通这些领域,在沟通时能够使用业务语言,并在决策时考虑到业务相关目标。
领导力对CSO而言至关重要。网络安全不再是一个孤立的领域,CSO需要与技术部门、非技术部门甚至客户进行有效沟通。商业能力、敬业精神和卓越的沟通技巧,这些能力的综合运用,将使我们在安全领域迎接更大挑战成为可能。
与其他领导层相比,CSO面临的一个独特挑战是,网络安全是一个对负反馈反应迅速的领域。对于企业来说,晚一年采用新兴技术可能不会立即带来变化,竞争劣势可能几年后才显现。但网络安全不同,如果CSO延迟采用新兴安全措施,可能会立即面临安全事故;如果延迟满足法规要求,监管机构也不会因为反应慢而宽容。网络安全领域的这一现状要求CSO必须在规定时间内采取相应措施,这是一个无法回避的现实。
考验网络安全韧性的时代
在数字化转型的今天,企业面临着法律法规的合规化需求,尤其是在强监管行业如金融领域。相关的数据保护条例已经成为企业安全建设的最低标准,是每个企业必须遵守和投入的基本内容。另一方面,从网络攻击的角度看,黑客的技术始终比厂商的技术更为先进,而且黑客更容易采用更新的技术进行网络攻击。
因此,企业内部需不断强化韧性,以应对不断更新的网络安全风险。建立韧性文化是一项艰巨的任务,但却是CSO们不得不去完成的一项任务。在数字韧性的合作上需要有一个基础性的从规划和产品现代化到业务和产品战略的全面布局。为此,不少CSO认为安全应该成为现代化过程的一个不可分割的部分,借助重构韧性可以讲安全整合嵌入至软件开发生命周期中。
更强大、更安全、更具韧性的安全体系需要全村人的努力,这就意味着,CSO们必须具备更强大的组织间协作的能力,尤其是雨IT、运维等部门之间的亲密合作变得至关重要。
在这样的背景下,等待CSO们的挑战将会变得更加明显。CSO不光需要学习与安全相关的专业技能,还有大量的管理能力、社交能力、人脉资源、视野眼界、自身包装等,都是CSO们必须要经历或掌握的。
这里简单列举一些CSO必备技能。
1、技术功底
信息安全是一个融合了多个学科的信息技术子类,涵盖了网络、数据库、操作系统、IDC机房、中间件、密码学、社会工程等多个领域。各个领域的信息技术均需要有所掌握,否则很容易出现外行领导内行的情况,轻则欺上瞒下,重则出现严重安全事故。
2、组建安全团队
安全是一项综合性的战斗,没有人能够独当一面,企业的安全运营,涉及安全隐患的发现、安全缺陷的整改、安全事件的监测、响应与处置。都需要有专业的人来对应做专业的事,才能实现有效的协同。
CSO组建团队之后,还需要对团队进行培养与带领。信息安全团队内的组织架构一般要覆盖几个模块:安全意识教育、安全策略与规划、体系与流程建设、必要的业务安全、技术防护、攻防渗透、审计和检查、事件响应、运营与优化等。
3、业务协同
沟通是CSO必备基本与核心技能之一。CSO找到信息安全工作的核心客户、核心干系人,及时、有效与核心客户、干系人达成一致,让核心客户、核心干系人支持信息安全工作,CSO的工作已经成功了一半;反之则会重重阻碍。很多技术出身的安全人员担任管理岗位后,往往没有特别好的业绩输出,其实就是输在和客户、干系人的沟通管理上。
4、全局安全建设
作为CSO,应该对自己企业、所处行业的业务有足够的认识与理解,业务模式是什么?靠什么赚钱?钱是怎么花出去的?业务的架构是什么样子?核心的业务能力是什么?支持这些业务开展的业务核心流程是哪些?支持性的业务流程与职能有哪些?业务职责分工?关键业务人员、团队?支撑核心业务的系统有哪些?技术团队关键人员?
5、资源获取
获取必要的资源是CSO的重点工作之一,不同的企业环境下可能还是核心工作。资源包括人、财、物、政策、内部支持者、供应商、合作商资源。如何说服老板加大对安全的资源投入,也是一项重要能力,同时也是一门艺术。
无论是国内还是国外,对于CSO的要求正在不断丰富。CSO们,以及想要成为CSO的网安从业者们,做好准备,加油吧。虽然挑战越来越多,但与之相对应的是,CSO话语权也越来越多。很多时候,责任和权利往往是对等的。