在采訪中，DomainTools的CISO Daniel Schwalbe探討了日益嚴(yán)格的監(jiān)管要求如何重塑了CISO的職責(zé)和日常決策。他概述了未來CISO所需的技能組合、2025年的關(guān)鍵工作重點，以及壓力增加如何影響該職位的吸引力和人才保留。

哪些具體的監(jiān)管要求提高了CISO的責(zé)任，這又如何影響了他們的日常決策?

監(jiān)管領(lǐng)域最近的一項變化直接影響了上市公司雇用的CISO，并提高了他們的責(zé)任，即美國證券交易委員會(SEC)通過了涵蓋上市公司網(wǎng)絡(luò)安全風(fēng)險管理、戰(zhàn)略、治理和事件披露的新規(guī)定。SEC現(xiàn)在要求公司必須在四個工作日內(nèi)通過財務(wù)申報披露重大網(wǎng)絡(luò)安全事件。必須包括有關(guān)事件性質(zhì)、時間和對公司財務(wù)狀況影響的詳細(xì)信息。

此外，新規(guī)定還要求公司在其年度財務(wù)披露中納入網(wǎng)絡(luò)安全風(fēng)險評估和管理流程。新規(guī)定還特別強調(diào)了CISO等高層管理人員的個人責(zé)任，著重指出高管需要了解自身在確保公司財務(wù)披露準(zhǔn)確性方面的個人職責(zé)。

另一項影響受紐約金融服務(wù)部(NYDFS)監(jiān)管的金融機(jī)構(gòu)(包括在華爾街開展業(yè)務(wù)的任何銀行或經(jīng)紀(jì)公司)的監(jiān)管更新，增加了CISO的個人責(zé)任。規(guī)則變更要求CISO與企業(yè)內(nèi)最高級別的高管一起，每年親自證明其企業(yè)符合該州的《網(wǎng)絡(luò)安全法規(guī)》。

監(jiān)管要求的這些變化可能會以以下方式影響受新規(guī)定約束的公司的CISO的日常決策：

CISO在監(jiān)測和管理網(wǎng)絡(luò)安全風(fēng)險時將不得不更加警惕，確保所有事件都能得到及時、準(zhǔn)確的報告。

CISO與其他高管，尤其是首席財務(wù)官之間的協(xié)作需求將增加，以確保對網(wǎng)絡(luò)安全事件的報告準(zhǔn)確全面。

CISO將需要更多地參與戰(zhàn)略決策，將網(wǎng)絡(luò)安全措施與業(yè)務(wù)目標(biāo)相結(jié)合，并確保董事會充分了解網(wǎng)絡(luò)安全風(fēng)險和戰(zhàn)略。

CISO將需要考慮個人責(zé)任，這可能會影響他們管理風(fēng)險和合規(guī)工作的方式。

CISO角色的壓力，包括對監(jiān)管合規(guī)和風(fēng)險管理的期望，如何影響了該職位對頂尖人才的吸引力?

當(dāng)SEC和NYDFS等監(jiān)管機(jī)構(gòu)實施更嚴(yán)格的合規(guī)要求時，CISO將面臨更大的個人責(zé)任。這包括網(wǎng)絡(luò)安全事件可能帶來的法律和財務(wù)后果。個人責(zé)任的風(fēng)險可能會阻止頂尖人才追求或繼續(xù)擔(dān)任這些職位。

此外，網(wǎng)絡(luò)威脅的快速演變要求CISO不斷更新其技能和策略。這種不斷適應(yīng)的需求可能令人不堪重負(fù)，并可能讓偏好更穩(wěn)定職位的潛在候選人望而卻步。

過去10-15年來，CISO的職責(zé)范圍顯著擴(kuò)大，從主要的技術(shù)監(jiān)督擴(kuò)展到戰(zhàn)略領(lǐng)導(dǎo)、風(fēng)險管理和監(jiān)管合規(guī)。持續(xù)防止違規(guī)和管理事件的巨大壓力可能導(dǎo)致高度緊張和倦怠，從而降低該職位的吸引力。

這也意味著現(xiàn)代CISO必須具備技術(shù)專長、戰(zhàn)略思維和強大的人際交往能力的結(jié)合。對如此多樣化技能組合的要求可能會限制合格候選人的范圍，因為并非所有網(wǎng)絡(luò)安全專業(yè)人員都具備必要的技能組合。

網(wǎng)絡(luò)安全行業(yè)已經(jīng)面臨人才短缺的問題，而CISO職位的高要求加劇了這一問題，導(dǎo)致人才流失率高。企業(yè)難以吸引和留住愿意承擔(dān)該職位所附帶的大量責(zé)任和風(fēng)險的熟練專業(yè)人員。

隨著CISO角色越來越涉及向董事會報告，你認(rèn)為到2025年CISO將需要哪些以前可能不那么重要的技能或經(jīng)驗?

CISO需要能夠有效地將復(fù)雜的網(wǎng)絡(luò)安全問題傳達(dá)給非技術(shù)背景的董事會成員和高管。這需要將技術(shù)術(shù)語轉(zhuǎn)化為商業(yè)語言，并清晰地闡述網(wǎng)絡(luò)安全風(fēng)險對企業(yè)整體業(yè)務(wù)戰(zhàn)略的影響。隨著網(wǎng)絡(luò)安全成為業(yè)務(wù)戰(zhàn)略不可或缺的一部分，CISO必須能夠超越眼前的威脅，專注于長期戰(zhàn)略規(guī)劃。這包括了解網(wǎng)絡(luò)安全舉措如何與業(yè)務(wù)目標(biāo)相一致，以及如何為競爭優(yōu)勢做出貢獻(xiàn)。

深入了解業(yè)務(wù)運營和財務(wù)原則至關(guān)重要。CISO將從金融、供應(yīng)鏈管理和監(jiān)管合規(guī)等領(lǐng)域的知識中受益，以做出支持企業(yè)目標(biāo)的明智決策。隨著網(wǎng)絡(luò)威脅的復(fù)雜性增加，CISO將需要高級的風(fēng)險量化和管理技能。

CISO需要在日常運營需求和戰(zhàn)略關(guān)注長期目標(biāo)之間取得平衡。這要求能夠批判性地思考新興威脅和機(jī)遇，并制定確保企業(yè)網(wǎng)絡(luò)彈性的戰(zhàn)略。

最后但同樣重要的是，深入了解人工智能和其他新興技術(shù)至關(guān)重要。CISO需要了解如何利用這些技術(shù)來加強網(wǎng)絡(luò)安全，以及它們帶來的新風(fēng)險。隨著預(yù)算收緊，對成本效益高的解決方案的需求增加，CISO將需要強大的談判能力，以有競爭力的價格獲得最佳的網(wǎng)絡(luò)安全工具和服務(wù)。

鑒于CISO角色的范圍不斷擴(kuò)大和壓力增加，倦怠和人才流失是否成為更加顯著的問題?企業(yè)可以采取哪些措施來緩解這些風(fēng)險?

Gartner早在2023年就預(yù)測，由于工作壓力，許多網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者將在2025年前換工作。這一預(yù)測似乎并未完全成真，這可能受宏觀經(jīng)濟(jì)因素的影響。仍然正確的是，CISO角色往往帶有隱含的“替罪羊”成分，如果發(fā)生備受矚目的違規(guī)行為，無論CISO是否對事件負(fù)有個人責(zé)任，他們都將承擔(dān)責(zé)任。但總體而言，2023年安全團(tuán)隊普遍經(jīng)歷了縮編，這一趨勢在2024年仍在持續(xù)。威脅情報團(tuán)隊和高級領(lǐng)導(dǎo)職位尤其如此，因此隨著空缺職位數(shù)量的減少，CISO可能更不愿尋找新工作。

這一假設(shè)得到了CSO Online最近一份報告的支持，該報告指出CISO職位的人才流失率有所降低。這可能意味著，即使CISO覺得當(dāng)前職位壓力很大，想要橫向跳槽到另一家企業(yè)，他們現(xiàn)在可能也運氣不好。

你認(rèn)為CISO在展望2025年時，最重要的三個工作重點是什么?

多年來，許多企業(yè)積累了龐雜的安全工具。鑒于預(yù)算收緊，CISO現(xiàn)在需要專注于優(yōu)化這些現(xiàn)有投資，以降低復(fù)雜性和成本。這涉及整合工具，并確保充分利用剩余工具來解決安全漏洞。

對于許多CISO而言，充分利用生成式AI技術(shù)的新網(wǎng)絡(luò)威脅的出現(xiàn)是一個重大關(guān)切。因此，CISO正優(yōu)先考慮投資能夠增強其防御能力并彌補可見性差距的安全工具。矛盾的是，這可能包括使用一些AI解決方案來提高威脅檢測和響應(yīng)能力。

隨著混合云和多云環(huán)境的復(fù)雜性增加，CISO需要考慮投資于針對云環(huán)境的先進(jìn)檢測和響應(yīng)能力，這有助于快速緩解威脅，減少對企業(yè)的潛在影響。