CISO职业发展趋势与挑战

关键要点

CISO的角色正在从技术领导转变为商业风险执行。预算收紧、威胁环境复杂、AI工具先进、监管要求增加等是CISO面临的重要问题。CISO需要在架构师、运营者和连接者三个角色之间进行平衡。吸引和留住优秀网络安全人才仍然是一大挑战。CISO在法律和监管方面的责任日益增加，个人责任也越来越突出。

2024年，首席信息安全官CISO的角色正在经历重大的变化。他们不仅需要具备技术能力，还需要具备战略和商业领导的素养，有时甚至需要承担法律责任。这些观点来源于在近期的RSA会议上的主题演讲、圆桌讨论和与首席信息安全官们的对话。

Steve Martano，Artico Search的代表，在RSAC小组讨论中指出：“当前市场对CISO角色的期待正在从技术领导角色转变为更多的商业风险执行角色。” 他提到，CISO面临的紧迫问题包括预算收紧、威胁环境复杂、先进的人工智能工具、新的监管要求以及对新兴威胁的焦虑感增加。

这些趋势迫使CISO不再只关注网络安全问题，而是需要考虑新的国家级对手、新的攻击面以及新的AI阴影IT问题。

CISO的多重角色

Trellix的CISO Harold Rivas描述了CISO面临的困境：尽管责任重大，但他们在企业内部的权威往往很低。在RSA会议的一个会议上，Rivas提到，CISO需要兼顾三个角色：架构师、运营者和连接者。架构师需要将业务与技术优先级对齐，运营者需要理解威胁情报并将其与业务运营结合，而连接者则需要与高层领导和董事会进行有效沟通。

Martano补充说：“随着CISO角色的演变，我们看到职能范围每年都在显著扩大。”他表示，CISO在企业技术架构中有更大份额并不是坏事，只要相应资源和高层接入也随之增加。

财务问题

根据Martano的说法，2024年，员工和薪酬将在安全预算中占据38。他说：“CISO们一再表示，大部分预算用于支持商业目标的工具，但在招聘人员方面资金不足。”

Trellix首席执行官Bryan Palma指出，吸引和留住顶尖网络安全人才仍是一大挑战。“我们正在面临这场持续的竞争，组织需要帮助来吸引和留住优秀人才，”Palma补充道。

其他CISO观察到，由于疫情后的新常态和技术行业收紧，雇主的招聘趋势正在转变，导致员工留存改善，企业吸引人才的薪酬战也有所降温。久而久之，员工在办公室工作几天，有助于提高同事和管理者之间的关系，这对员工的留存和满意度产生了积极影响。

Martano表示：“如果员工对管理者满意，并且感到有晋升的机会，这将有助于留住人才。”

CISO应对法律与监管的挑战

Yoran Sirkis，Seemplicity的首席执行官在最近的SC Media专栏中写道：“CISO的角色从未如此艰难和受 scrutinized。升级的网络威胁、日益严格的法规和更高的责任将CISO置于数字防御和公司问责的前沿。”

海鸥加速器下载

Sirkis提到，去年证券交易委员会对SolarWinds及其CISO的行动，因错误地向投资者披露网络安全实践和已知风险而受到惩罚。此外，前Uber安全部门首席官Joseph Sullivan的定罪以及2023年底推出的新SEC网络安全披露要求进一步加剧了这种担忧。

他指出，“这起案件不仅突显了公司的失职，也强调了一个令人担忧的趋势：CISO在安全失败和披露中的个人责任日益增加。”

Sirkis和其他CISO警告说，法律诉讼的增加可能会对更关注法律而非网络防御的网络高管带来不良后果。更详细的披露要求需要在保护组织和管理个人责任之间取得平衡，这可能