4

CIO已死?第六代CISO将成为企业IT掌舵人

 2 months ago
source link: https://www.51cto.com/article/784377.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

CIO已死?第六代CISO将成为企业IT掌舵人

作者:佚名 2024-03-22 15:01:09

在网络安全领域,首席信息安全官(CISO)的角色正经历着从单纯的技术专家向战略型商业伙伴的转变。随着网络威胁日益复杂,以及云计算等新兴技术的兴起,CISO的重要性将进一步提升,甚至有望取代首席信息官(CIO)成为企业IT掌舵人。

在网络安全领域,首席信息安全官(CISO)的角色正经历着从单纯的技术专家向战略型商业伙伴的转变。随着网络威胁日益复杂,以及云计算等新兴技术的兴起,CISO的重要性将进一步提升,甚至有望取代首席信息官(CIO)成为企业IT掌舵人。

48c2fbb2478e45c1ba765186dfab92142f5902.jpg

CISO的诞生与演变

1995年,史上第一位CISO在花旗银行诞生。当时,网络安全还处于萌芽阶段,信息安全漏洞频发。为了应对日益严峻的网络安全形势,花旗银行设立了CISO职位,并任命史蒂夫·卡茨(Steve Katz)担任该职。

卡茨被誉为“网络安全之父”。他最初的主要职责是帮助银行建立强大的网络安全部门,并与国际主要银行客户合作,降低网络攻击造成的损失。

随着网络安全威胁的不断演变,CISO的角色也随之发生变化。托德·菲茨杰拉德(ToddFitzgerald)将CISO的发展历程划分为六个阶段:

  • 第一代CISO(1995-2000年):Katz担任花旗首位CISO,密码与登录安全时代;
  • 第二代CISO(2000-2004年):法规遵从时代;
  • 第三代CISO(2004-2008年):风险导向时代;
  • 第四代CISO(2008-2016年):威胁感知时代(社交/移动/云计算);
  • 第五代CISO(2016-2022年):隐私和数据感知时代;
  • 第六代CISO(2022年至2027+):综合型、业务弹性时代。

从最初的技术导向,CISO的角色逐渐演变成需要具备战略思维和沟通技巧的综合型人才。他们不仅需要深刻理解网络安全技术,还需要与公司内部的技术、财务、审计、法律和合规部门进行密切合作,并向非技术部门的高管层清晰地传达网络风险,让安全融入到企业的整体文化之中。

CISO在崩溃的边缘迎来重大机遇

根据德勤的研究,当今的CISO面临着巨大的压力和挑战。一方面,安全漏洞不断增长、网络犯罪活动愈发猖獗,勒索软件攻击、数据泄露等事件层出不穷;另一方面,网络安全预算却不断缩水,监管环境日益严苛,对企业的信息安全提出了更高的要求。Uber的CISO因未能披露数据泄露事件而被定罪,更是标志着新的监管法规下CISO面临的职业风险正快速飙升。

Cybersecurity Venture 2023年的一项研究估计,目前全球约有3.2万名CISO。然而,随着CISO数量的增加,他们的集体焦虑感也在增加。2024年1月,IANS/Artico对加拿大和美国663名CISO进行的联合调查发现,75%的CISO打算换工作,高于一年前的64%,对自己的工作和公司感到满意的CISO数量也从74%下降至64%。

网络安全公司Yass Partners的首席执行官Yael Nagler指出,CISO可能会因为不断增加的责任和压力而感到焦虑,但同时也面临着重大职业发展机遇。随着网络安全的重要性日益凸显,CISO将有机会成为企业高层的重要战略伙伴,引领组织抵御网络威胁,并推动网络安全文化来提升业务弹性。

第六代CISO的四个重点发展方向

Gartner的Sam Oyaei在2022年的一份研究报告中宣称CISO已经“精疲力尽”,他认为这一角色需要完全重新定义,从“孤胆英雄”转变为“共享风险管理者”。CISO不再是唯一负责防止网络攻击的人,而是要帮助企业领导者建立起一套完善的网络安全体系,并提高他们对网络风险的认知和决策能力。

未来,第六代CISO有四个重点发展方向

  • 更加注重战略和治理:CISO需要制定全面的网络安全战略,并确保组织内部各部门都承担起相应的安全责任。
  • 强化风险管理:CISO需要持续评估网络安全风险,并采取有效的应对措施。
  • 提升沟通和协作能力:CISO需要与高层管理层和其他业务部门保持密切沟通,学会用业务术语沟通风险,提高公司高管的网络安全意识。
  • 积极拥抱新技术:CISO需要了解和掌握人工智能、云计算等新技术,并将其应用于网络安全实践中。

正如第一代CISO史蒂夫·卡茨所言,信息安全绝不仅仅是技术问题,它更是一个影响企业整体经营的商业风险管理问题。展望未来,第六代CISO将扮演更加重要的角色,引领企业在充满挑战的网络安全环境中实现可持续发展。

CISO的下一步:取代传统CIO

云计算的兴起对传统的CIO模式带来了巨大冲击。随着越来越多的企业将业务迁移到云端,IT架构发生了根本性的变化,CIO所掌控的权力和资源也随之减少。

一些业内人士认为,SaaS的普及将最终导致CIO/CISO分裂模式的终结。由于SaaS服务商已经承担了大部分传统IT应用的支持工作,企业只需要一个CISO来负责整个组织的安全事务,包括IT安全和SaaS安全,从而简化管理架构、降低运营成本。

未来,CISO与CIO的关系将如何演变,还有待进一步观察。但可以肯定的是,CISO在企业中的重要性将不断提升,并将成为不可或缺的角色。

CISO取代CIO成为企业IT掌舵人的趋势已经开始,例如,今天很多初创公司通常只有一个安全主管,同时负责管理IT和安全事务。随着这类公司不断发展壮大,这种整合的IT/安全模式将会延续,企业架构中只会保留一位IT/安全C级别高管。

CIO的最后堡垒可能是笔记本电脑管理,但随着云办公和协同办公的不断发展,以及EDR供应商越来越多地承担管理任务,一个不承担安全监管责任的CIO还能坚持多久?

责任编辑:华轩 来源: GoUpSec

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK