是否该拆分CISO角色？

近年来，网络安全得到了大量关注，随之而来的是立法、法规和更多的审查，这导致CISO现在的职责超出了保护企业的技术层面。

IANS的一项研究显示，CISO不仅负责信息安全，还经常包括技术风险和合规等方面。不断增加的监管要求意味着需要更多的董事会监督，CISO必须继续将不断变化的网络风险与业务环境的理解相结合。

“CISO需要与企业高管、监管机构、网络保险提供商和CFO进行预算协商，并且他们必须精通商业语言并将其转化为网络风险，这本身就是一个全职角色，”企业战略集团的名誉分析师Jon Oltsik说。

同时，管理日益复杂的技术需求也在增加，需要专门的注意和监督。“技术变得越来越大和多样化，包括开发新应用程序和实施新型设备，我们也正处在大规模AI采用的边缘，需要一个真正理解所有这些技术并能够在业务指导下制定适当控制措施的人，这是一个不同类型的角色。”Oltsik告诉记者。

区分技术和业务风险的担忧

范围只会不断扩大，到2027年，Gartner预测45%的CISO职责将超越网络安全，由于增加的监管压力和攻击面扩大推动。

为了应对日益增加的职责，更多企业可能会效仿银行和其他大型企业，将技术控制和业务风险的职责区分开来。

在一种可能的安排中，CISO向CEO汇报，首席安全技术官(CSTO)或技术导向的安全人员向CIO汇报。

在功能层面，将CSTO置于IT部门内，使CIO有机会进行更多的整合和协作，并将可观察性和安全监控统一起来。在执行层面，需要理解安全漏洞，而CISO可以协助进行战略业务风险考虑。Oltsik表示：“这种分拆可能会带来更好的安全监督和更成熟的安全文化。”

然而，划分职责和报告线也会带来许多实际考虑和风险。将CISO置于CIO的管辖范围之外，可能会在管理网络风险和监督技术之间形成一层隔阂，这也可能加深IT运营与安全之间的差异，前者关注系统的正常运行，后者则优先考虑系统的安全性。

“当然，每个人都希望系统正常运行，不仅仅是CIO的责任，但安全的工作是确保它们也是安全的，他们可能会设置某些门槛，使其运行更困难。”Oltsik说。

然后是开发和采用新应用程序时的安全风险问题。如果安全技术角色由CIO和IT部门负责，如果在性能和安全之间存在冲突，可能无法充分考虑安全因素。

“我们之所以处于如此多漏洞的境地，部分原因是软件开发人员为了尽快将代码投入生产，往往在安全方面偷工减料，”他说道，“因此，风险在于，通过将这两个角色分开，CISO会变成一个没有操作职责的象征性人物，而CIO可能会指示首席安全技术官不要过多关注安全问题，因为这会影响生产力或性能。”

分拆某些职能能否改善风险管理?

在其他情况下，由网络安全主管领导技术、操作和架构团队，而由CISO领导治理、风险和合规职能是有意义的，7 Rules Cyber咨询公司的创始人和CISO Chirag Joshi表示。“治理和风险角色可以更多地与董事会互动，展示指标和测量、策略和政策。”Joshi告诉记者。

美国证券交易委员会的一项要求是提交年度网络风险管理计划，这通常是治理领导的职责，他们制定一个包含控制措施的策略，但需要有人在必要时对其进行独立的功能性支持和挑战。“在操作和风险职责之间划清界限是有益的，因为这种独立性更有可能对风险选择提出挑战。”Joshi说。

通过将CISO角色提升到其他C级高管的水平，他们成为专注于管理风险的战略业务顾问。不仅仅是回答‘我们如何确保这一点’的问题，而是对企业是否应该‘这样做’提出意见，比如采用新应用程序或其他安全考虑。

要实现这一点，CISO需要采用高管的语言，能够以适当的投资和相应的风险控制来解释问题。“他们需要那种风险语言，不只是将网络风险分为高、中、低，而是解释为什么你决定按比例投资于某种控制，而不是接受风险。这是一个更困难的对话，不像高、中、低风险的对话那么简单。”Joshi告诉记者。

为了成功改变重点，CISO需要掌握财务和公司战略，并在这一框架内表达网络控制，而不是每季度都带着报告和警告出现。“CISO需要将其风险分类法纳入整体企业风险分类法中。”Joshi说。

然而，在这种安排下，预算可能成为争论的焦点。Joshi解释说，CIO的预算往往非常重视网络安全，要在不影响资金分配的情况下让CISO和CIO成为同级可能会很困难。

另一个潜在的摩擦点是应用程序的维护，以及谁对生命周期结束的考虑和权衡成本与潜在漏洞的权力负责。“CIO需要管理成本，并尽可能长时间地保持应用程序运行，但CISO更倾向于迁移到新应用程序，以免担心遗留漏洞。”Joshi补充道。

是否需要一个安全运营主管?

在其他情况下，企业可以效仿标准渣打等大银行，采用沿三条线分配职责的模型——操作、风险和审计。网络安全操作主管负责实施控制和系统，更专业的CISO负责风险和合规，第三个角色负责审计功能，并可以独立审查网络安全功能，FTI Consulting澳大利亚网络安全主管兼高级董事总经理Wouter Veugelen表示。

“安全运营主管负责所有的预防、检测和响应，而CISO专注于治理，制定安全控制政策并检查合规性，但他们不能负责具体实施，因为对一个人来说处理所有这些事情太过繁重了。”Veugelen说。

谁为风险负责

然而，分拆安全角色面临许多挑战，尤其是在问责制方面。将责任分散到多个角色可能使最终对整体网络安全风险管理和结果负责的人不明确。此外，如果将运营安全控制与治理和风险管理分开，可能很难确保这两个职能之间的适当问责。

为了解决这个问题，Veugelen建议企业需要制定明确的政策和指南，明确问责，以避免不同安全角色和职能之间出现空白或重叠。他还警告说，如果负责网络安全风险的人没有全部控制权来减轻风险，他们就不会拥有所有风险。“最好是让有预算和权力来减轻风险的利益相关者拥有风险的所有权。”他说。

同样，关于谁负责向董事会报告风险的问题可能会产生冲突。在大多数情况下，CISO向CIO报告，CIO再向集团高管报告，但这种安排可能不提供自由和坦率风险评估的选项。“如果CISO需要向董事会报告风险，但董事会文件必须经过CIO，所报告的网络安全风险可能会对CIO未能维护的系统描绘出不理想的画面。”Veugelen说。

在这种情况下，CISO还需要有一个直接向风险委员会报告的渠道，以便至少能提供关于CISO风险的平衡报告，他说。

很多取决于公司的结构和风险的所有权，但这种安排更适合那些具有更复杂安全需求和有能力支持独立角色的大型机构。

较小的企业可能缺乏管理多个信息安全高管所需的流程和结构，这可能会导致角色之间的问责出现空白甚至重叠。“此外，组织内支持独立安全角色和职能可能会产生额外成本。”Veugelen说。