在采访中,DomainTools的CISO Daniel Schwalbe探讨了日益严格的监管要求如何重塑了CISO的职责和日常决策。他概述了未来CISO所需的技能组合、2025年的关键工作重点,以及压力增加如何影响该职位的吸引力和人才保留。
哪些具体的监管要求提高了CISO的责任,这又如何影响了他们的日常决策?
监管领域最近的一项变化直接影响了上市公司雇用的CISO,并提高了他们的责任,即美国证券交易委员会(SEC)通过了涵盖上市公司网络安全风险管理、战略、治理和事件披露的新规定。SEC现在要求公司必须在四个工作日内通过财务申报披露重大网络安全事件。必须包括有关事件性质、时间和对公司财务状况影响的详细信息。
此外,新规定还要求公司在其年度财务披露中纳入网络安全风险评估和管理流程。新规定还特别强调了CISO等高层管理人员的个人责任,着重指出高管需要了解自身在确保公司财务披露准确性方面的个人职责。
另一项影响受纽约金融服务部(NYDFS)监管的金融机构(包括在华尔街开展业务的任何银行或经纪公司)的监管更新,增加了CISO的个人责任。规则变更要求CISO与企业内最高级别的高管一起,每年亲自证明其企业符合该州的《网络安全法规》。
监管要求的这些变化可能会以以下方式影响受新规定约束的公司的CISO的日常决策:
CISO在监测和管理网络安全风险时将不得不更加警惕,确保所有事件都能得到及时、准确的报告。
CISO与其他高管,尤其是首席财务官之间的协作需求将增加,以确保对网络安全事件的报告准确全面。
CISO将需要更多地参与战略决策,将网络安全措施与业务目标相结合,并确保董事会充分了解网络安全风险和战略。
CISO将需要考虑个人责任,这可能会影响他们管理风险和合规工作的方式。
CISO角色的压力,包括对监管合规和风险管理的期望,如何影响了该职位对顶尖人才的吸引力?
当SEC和NYDFS等监管机构实施更严格的合规要求时,CISO将面临更大的个人责任。这包括网络安全事件可能带来的法律和财务后果。个人责任的风险可能会阻止顶尖人才追求或继续担任这些职位。
此外,网络威胁的快速演变要求CISO不断更新其技能和策略。这种不断适应的需求可能令人不堪重负,并可能让偏好更稳定职位的潜在候选人望而却步。
过去10-15年来,CISO的职责范围显著扩大,从主要的技术监督扩展到战略领导、风险管理和监管合规。持续防止违规和管理事件的巨大压力可能导致高度紧张和倦怠,从而降低该职位的吸引力。
这也意味着现代CISO必须具备技术专长、战略思维和强大的人际交往能力的结合。对如此多样化技能组合的要求可能会限制合格候选人的范围,因为并非所有网络安全专业人员都具备必要的技能组合。
网络安全行业已经面临人才短缺的问题,而CISO职位的高要求加剧了这一问题,导致人才流失率高。企业难以吸引和留住愿意承担该职位所附带的大量责任和风险的熟练专业人员。
随着CISO角色越来越涉及向董事会报告,你认为到2025年CISO将需要哪些以前可能不那么重要的技能或经验?
CISO需要能够有效地将复杂的网络安全问题传达给非技术背景的董事会成员和高管。这需要将技术术语转化为商业语言,并清晰地阐述网络安全风险对企业整体业务战略的影响。随着网络安全成为业务战略不可或缺的一部分,CISO必须能够超越眼前的威胁,专注于长期战略规划。这包括了解网络安全举措如何与业务目标相一致,以及如何为竞争优势做出贡献。
深入了解业务运营和财务原则至关重要。CISO将从金融、供应链管理和监管合规等领域的知识中受益,以做出支持企业目标的明智决策。随着网络威胁的复杂性增加,CISO将需要高级的风险量化和管理技能。
CISO需要在日常运营需求和战略关注长期目标之间取得平衡。这要求能够批判性地思考新兴威胁和机遇,并制定确保企业网络弹性的战略。
最后但同样重要的是,深入了解人工智能和其他新兴技术至关重要。CISO需要了解如何利用这些技术来加强网络安全,以及它们带来的新风险。随着预算收紧,对成本效益高的解决方案的需求增加,CISO将需要强大的谈判能力,以有竞争力的价格获得最佳的网络安全工具和服务。
鉴于CISO角色的范围不断扩大和压力增加,倦怠和人才流失是否成为更加显著的问题?企业可以采取哪些措施来缓解这些风险?
Gartner早在2023年就预测,由于工作压力,许多网络安全领导者将在2025年前换工作。这一预测似乎并未完全成真,这可能受宏观经济因素的影响。仍然正确的是,CISO角色往往带有隐含的“替罪羊”成分,如果发生备受瞩目的违规行为,无论CISO是否对事件负有个人责任,他们都将承担责任。但总体而言,2023年安全团队普遍经历了缩编,这一趋势在2024年仍在持续。威胁情报团队和高级领导职位尤其如此,因此随着空缺职位数量的减少,CISO可能更不愿寻找新工作。
这一假设得到了CSO Online最近一份报告的支持,该报告指出CISO职位的人才流失率有所降低。这可能意味着,即使CISO觉得当前职位压力很大,想要横向跳槽到另一家企业,他们现在可能也运气不好。
你认为CISO在展望2025年时,最重要的三个工作重点是什么?
多年来,许多企业积累了庞杂的安全工具。鉴于预算收紧,CISO现在需要专注于优化这些现有投资,以降低复杂性和成本。这涉及整合工具,并确保充分利用剩余工具来解决安全漏洞。
对于许多CISO而言,充分利用生成式AI技术的新网络威胁的出现是一个重大关切。因此,CISO正优先考虑投资能够增强其防御能力并弥补可见性差距的安全工具。矛盾的是,这可能包括使用一些AI解决方案来提高威胁检测和响应能力。
随着混合云和多云环境的复杂性增加,CISO需要考虑投资于针对云环境的先进检测和响应能力,这有助于快速缓解威胁,减少对企业的潜在影响。