CSO名人堂入选者预计未来几年将承担更广泛的职责、面临更多压力并肩负更高的责任。
作为沃尔玛的执行副总裁兼CISO,Jerry Geisler是该公司的顶级高管。
这一职位,加上公司在网络安全项目上的持续投资,反映了沃尔玛对“成为一个网络安全公司”的承诺,他表示。
更重要的是,这也突显了CISO角色的持续演变。
“过去,安全常常是数字化领域的事后考虑,然而,到2024年,各企业正在优先考虑构建安全的应用程序、系统和服务。在这方面,沃尔玛作为行业先驱表现突出,公司早已重视信息安全。将CISO的职位提升到沃尔玛的执行副总裁级别,在全球范围内都是罕见的现象。”Geisler说。
他补充道:“这一积极趋势突显了CISO在各行业中塑造业务级决策的重要性日益增加。”
Geisler是今年10位CSO名人堂入选者之一,他的观察并非孤立。2024年名人堂的其他成员也认为,CISO角色正从其传统的技术根源转变为高级战略性高管职能。随着这一转变,赋予安全主管的职责范围也在不断扩大。
“当我刚开始职业生涯时,网络安全被嵌入在IT中,而IT当时仍然被视为后台职能。网络安全更多地被视为一种保险,但现在它已经演变为一种前台职能,是一种区分性优势,并帮助推动业务增长。”GE Vernova的全球副总裁兼CISO Teresa Zielinski表示,“今天,CISO的角色正在进一步发展。我们现在看到它演变为一个更具战略性的高管角色,不仅引领网络安全,还涵盖风险和韧性。”
更多职责,更多责任
自1990年代中期以来,首席安全官的工作一直处于变革之中,Zielinski的职业生涯也反映了这一角色的变化轨迹。
与许多CISO一样,Zielinski最初在IT领域工作,12年后她于2009年转入网络安全领域,当时她被要求领导一个应对安全事件的团队。
Zielinski很快意识到,网络安全不仅仅是防止不良事件发生,还可以用于支持业务目标。
她看到,网络安全贯穿所有职能,了解驱动业务的流程和技术,使安全领导者能够掌握全局,安全团队不仅熟悉企业面临的各种风险、法规和要求,还通过与IT合作确保产品安全,连接客户并影响客户的体验和对公司的信任感。
“网络安全必须贯穿每个职能,弥补差距,确保流程按预期运作,”她说,“在安全领域,你必须了解客户的需求,了解需要满足的法规,并利用这种理解影响你的高管同事。当我看到这一点时,我意识到这个角色更大,不仅仅是将网络安全作为一种保险,而是主动推动业务发展。”
她提到,越来越多的企业正在采用“安全优先思维”,作为证明。即在数字产品的开发过程中,从一开始就将安全内置其中,而非事后考虑——就像汽车生产时不会在安全性方面马虎,安全性是其中不可或缺的一部分。
“没有人会买一辆没有安全功能的汽车。同样,数字产品,尤其是AI和GenAI服务,也必须具备安全功能。”她说。
此外,Zielinski预计未来会有更多CISO承担更广泛的职责,并逐步进入企业领导层的最高阶层。
更具体地说,她认为网络安全职责将与风险和韧性责任相融合,这是合乎逻辑的,因为网络安全、风险管理和韧性建设都是关于识别和弥补漏洞,确保企业不仅能够在事件中幸存下来,甚至能在面对各种风险时继续发展壮大。
“CISO和首席风险官将更紧密地合作,或者这两个职位可能会合并为一个,不仅负责网络安全,还负责风险管理和韧性建设。”Zielinski补充道。
加拿大国家铁路公司的CISO Vaughn Hazen也表示,他同样看到CISO这一职位在承担比以往更多的风险管理职责。
“实际上,这已经本质上是一个风险管理的角色,核心在于管理风险。”他说。他还指出,日益增多的安全法规推动了CISO在承担更多合规元素方面的职责。
他提到,如今的CISO往往负责数据隐私,并且越来越多的CISO开始承担第三方风险和供应链风险的管理——他预计这一趋势将持续下去。
这些趋势加大了CISO的压力,同时也提高了他们的责任感,他补充道。
“你必须清楚了解自己暴露于哪些风险之下,因此你必须理解业务及这些风险对业务的潜在影响,你还必须理解你所制定的政策、流程和技术对风险及整个企业的影响,并且,你必须能够为自己的决策进行辩护。”Hazen说道,“你必须培养这样一种心态:‘如果我需要在法庭上为我的立场辩护,我是否会对自己做出的决策感到放心?’并且,答案必须是肯定的。”
首席网络与风险官的崛起
Softbank Investment Advisers的CISO Gary Hayslip也看到了类似的趋势。
“我现在认为这个角色是利用技术、人员和流程来管理风险。”他说,并将这一变化视为首席安全官职位逐渐成熟的一部分。
他补充道,这反过来正在重塑CISO的职责,并改变这一职位在许多企业中的性质。
他了解到,有些CISO职位负责治理、风险和合规(GRC),有些负责风险和网络基础设施,还有一些负责风险和IT。他预计未来的职位名称将反映出这种整合趋势,CISO将演变为首席网络与风险官或首席网络与隐私官(这一变化已经在少数企业中开始出现)。
“这种整合将成为常态。”Hayslip补充道。
PNC Bank的执行副总裁兼CISO Susan Koski也认为CISOs将承担更多职责。
“CISOs的职责范围非常广泛,必须从技术转向法律、市场营销、沟通、关系管理和财务等领域。”她说,“这导致越来越多的CISOs被要求承担更广泛的角色,有些甚至成为CIO,另外,包含物理安全和欺诈管理的自然演变也在发生,某些功能的融合可以实现最优的交付,该职位将继续发展,特别是在身份验证方面——需要适当且持续地验证客户和员工,并减少对易受钓鱼攻击的凭证的依赖。”
然而,2024年名人堂的成员们表示,所有这些变化并不能替代或超越CISO对技术的精通和对网络安全操作的基础知识以及不断发展的最佳实践的深刻理解。
“网络安全还是网络安全,你仍然需要做基本的网络卫生工作。”Hayslip说道。
职位进化的驱动力
许多因素推动了CISO角色的演变,并且未来还会继续推动这种演变,而一个重要的驱动因素是过去二十多年间数字化的到来。
“在当今的商业环境下,安全与运营更加紧密地交织在一起。如果你无法做好安全工作,现在对业务的影响要比过去显得更为显著。”Hayslip表示。
展望未来,Geisler认为,技术环境的变化将继续推动CISO角色的演变。
“在不断变化的技术环境中,CISO角色对企业至关重要,并将持续演变。作为职能领导者,CISO需要应对从自动化到GenAI等技术进步,跟随技术的发展方向。”他说,“虽然AI主导了当前的讨论,但量子计算的未来也日益临近。在未来五到七年内,量子计算有望与当前的GenAI平分秋色。数据量、处理需求和速度将成为许多CISO关注的首要问题。”
其他入选者也提到,AI和量子计算将塑造未来几年CISO的工作,进一步推动安全与业务流程和产品的深度整合。
入选者们还认为,日益增多的安全相关法规和安全相关要求(如数据隐私法律和标准)也将扩大CISO的职责范围,并提升其角色的重要性和影响力。
他们还相信,CISO面临的个人和职业责任日益增加,这正在推动CISO角色的变化。
这种责任感使安全负责人得到了所谓的“在高管会议上的席位”,参与董事会会议,并受到公司董事和高管责任险(D&O保险)的保障——未来几年内,越来越多的CISO将获得这些待遇。
此外,CISO的发言权和执行安全措施的权力也在不断增加。
Hayslip表示,这将使越来越多的CISO领导者“像他们应有的那样被视为高管角色。”