在采訪(fǎng)中，DomainTools的CISO Daniel Schwalbe探討了日益嚴(yán)格的監(jiān)管要求如何重塑了CISO的職責(zé)和日常決策。他概述了未來(lái)CISO所需的技能組合、2025年的關(guān)鍵工作重點(diǎn)，以及壓力增加如何影響該職位的吸引力和人才保留。

哪些具體的監(jiān)管要求提高了CISO的責(zé)任，這又如何影響了他們的日常決策?

監(jiān)管領(lǐng)域最近的一項(xiàng)變化直接影響了上市公司雇用的CISO，并提高了他們的責(zé)任，即美國(guó)證券交易委員會(huì)(SEC)通過(guò)了涵蓋上市公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、戰(zhàn)略、治理和事件披露的新規(guī)定。SEC現(xiàn)在要求公司必須在四個(gè)工作日內(nèi)通過(guò)財(cái)務(wù)申報(bào)披露重大網(wǎng)絡(luò)安全事件。必須包括有關(guān)事件性質(zhì)、時(shí)間和對(duì)公司財(cái)務(wù)狀況影響的詳細(xì)信息。

此外，新規(guī)定還要求公司在其年度財(cái)務(wù)披露中納入網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和管理流程。新規(guī)定還特別強(qiáng)調(diào)了CISO等高層管理人員的個(gè)人責(zé)任，著重指出高管需要了解自身在確保公司財(cái)務(wù)披露準(zhǔn)確性方面的個(gè)人職責(zé)。

另一項(xiàng)影響受紐約金融服務(wù)部(NYDFS)監(jiān)管的金融機(jī)構(gòu)(包括在華爾街開(kāi)展業(yè)務(wù)的任何銀行或經(jīng)紀(jì)公司)的監(jiān)管更新，增加了CISO的個(gè)人責(zé)任。規(guī)則變更要求CISO與企業(yè)內(nèi)最高級(jí)別的高管一起，每年親自證明其企業(yè)符合該州的《網(wǎng)絡(luò)安全法規(guī)》。

監(jiān)管要求的這些變化可能會(huì)以以下方式影響受新規(guī)定約束的公司的CISO的日常決策：

CISO在監(jiān)測(cè)和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)將不得不更加警惕，確保所有事件都能得到及時(shí)、準(zhǔn)確的報(bào)告。

CISO與其他高管，尤其是首席財(cái)務(wù)官之間的協(xié)作需求將增加，以確保對(duì)網(wǎng)絡(luò)安全事件的報(bào)告準(zhǔn)確全面。

CISO將需要更多地參與戰(zhàn)略決策，將網(wǎng)絡(luò)安全措施與業(yè)務(wù)目標(biāo)相結(jié)合，并確保董事會(huì)充分了解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和戰(zhàn)略。

CISO將需要考慮個(gè)人責(zé)任，這可能會(huì)影響他們管理風(fēng)險(xiǎn)和合規(guī)工作的方式。

CISO角色的壓力，包括對(duì)監(jiān)管合規(guī)和風(fēng)險(xiǎn)管理的期望，如何影響了該職位對(duì)頂尖人才的吸引力?

當(dāng)SEC和NYDFS等監(jiān)管機(jī)構(gòu)實(shí)施更嚴(yán)格的合規(guī)要求時(shí)，CISO將面臨更大的個(gè)人責(zé)任。這包括網(wǎng)絡(luò)安全事件可能帶來(lái)的法律和財(cái)務(wù)后果。個(gè)人責(zé)任的風(fēng)險(xiǎn)可能會(huì)阻止頂尖人才追求或繼續(xù)擔(dān)任這些職位。

此外，網(wǎng)絡(luò)威脅的快速演變要求CISO不斷更新其技能和策略。這種不斷適應(yīng)的需求可能令人不堪重負(fù)，并可能讓偏好更穩(wěn)定職位的潛在候選人望而卻步。

過(guò)去10-15年來(lái)，CISO的職責(zé)范圍顯著擴(kuò)大，從主要的技術(shù)監(jiān)督擴(kuò)展到戰(zhàn)略領(lǐng)導(dǎo)、風(fēng)險(xiǎn)管理和監(jiān)管合規(guī)。持續(xù)防止違規(guī)和管理事件的巨大壓力可能導(dǎo)致高度緊張和倦怠，從而降低該職位的吸引力。

這也意味著現(xiàn)代CISO必須具備技術(shù)專(zhuān)長(zhǎng)、戰(zhàn)略思維和強(qiáng)大的人際交往能力的結(jié)合。對(duì)如此多樣化技能組合的要求可能會(huì)限制合格候選人的范圍，因?yàn)椴⒎撬芯W(wǎng)絡(luò)安全專(zhuān)業(yè)人員都具備必要的技能組合。

網(wǎng)絡(luò)安全行業(yè)已經(jīng)面臨人才短缺的問(wèn)題，而CISO職位的高要求加劇了這一問(wèn)題，導(dǎo)致人才流失率高。企業(yè)難以吸引和留住愿意承擔(dān)該職位所附帶的大量責(zé)任和風(fēng)險(xiǎn)的熟練專(zhuān)業(yè)人員。

隨著CISO角色越來(lái)越涉及向董事會(huì)報(bào)告，你認(rèn)為到2025年CISO將需要哪些以前可能不那么重要的技能或經(jīng)驗(yàn)?

CISO需要能夠有效地將復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題傳達(dá)給非技術(shù)背景的董事會(huì)成員和高管。這需要將技術(shù)術(shù)語(yǔ)轉(zhuǎn)化為商業(yè)語(yǔ)言，并清晰地闡述網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)企業(yè)整體業(yè)務(wù)戰(zhàn)略的影響。隨著網(wǎng)絡(luò)安全成為業(yè)務(wù)戰(zhàn)略不可或缺的一部分，CISO必須能夠超越眼前的威脅，專(zhuān)注于長(zhǎng)期戰(zhàn)略規(guī)劃。這包括了解網(wǎng)絡(luò)安全舉措如何與業(yè)務(wù)目標(biāo)相一致，以及如何為競(jìng)爭(zhēng)優(yōu)勢(shì)做出貢獻(xiàn)。

深入了解業(yè)務(wù)運(yùn)營(yíng)和財(cái)務(wù)原則至關(guān)重要。CISO將從金融、供應(yīng)鏈管理和監(jiān)管合規(guī)等領(lǐng)域的知識(shí)中受益，以做出支持企業(yè)目標(biāo)的明智決策。隨著網(wǎng)絡(luò)威脅的復(fù)雜性增加，CISO將需要高級(jí)的風(fēng)險(xiǎn)量化和管理技能。

CISO需要在日常運(yùn)營(yíng)需求和戰(zhàn)略關(guān)注長(zhǎng)期目標(biāo)之間取得平衡。這要求能夠批判性地思考新興威脅和機(jī)遇，并制定確保企業(yè)網(wǎng)絡(luò)彈性的戰(zhàn)略。

最后但同樣重要的是，深入了解人工智能和其他新興技術(shù)至關(guān)重要。CISO需要了解如何利用這些技術(shù)來(lái)加強(qiáng)網(wǎng)絡(luò)安全，以及它們帶來(lái)的新風(fēng)險(xiǎn)。隨著預(yù)算收緊，對(duì)成本效益高的解決方案的需求增加，CISO將需要強(qiáng)大的談判能力，以有競(jìng)爭(zhēng)力的價(jià)格獲得最佳的網(wǎng)絡(luò)安全工具和服務(wù)。

鑒于CISO角色的范圍不斷擴(kuò)大和壓力增加，倦怠和人才流失是否成為更加顯著的問(wèn)題?企業(yè)可以采取哪些措施來(lái)緩解這些風(fēng)險(xiǎn)?

Gartner早在2023年就預(yù)測(cè)，由于工作壓力，許多網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者將在2025年前換工作。這一預(yù)測(cè)似乎并未完全成真，這可能受宏觀經(jīng)濟(jì)因素的影響。仍然正確的是，CISO角色往往帶有隱含的“替罪羊”成分，如果發(fā)生備受矚目的違規(guī)行為，無(wú)論CISO是否對(duì)事件負(fù)有個(gè)人責(zé)任，他們都將承擔(dān)責(zé)任。但總體而言，2023年安全團(tuán)隊(duì)普遍經(jīng)歷了縮編，這一趨勢(shì)在2024年仍在持續(xù)。威脅情報(bào)團(tuán)隊(duì)和高級(jí)領(lǐng)導(dǎo)職位尤其如此，因此隨著空缺職位數(shù)量的減少，CISO可能更不愿尋找新工作。

這一假設(shè)得到了CSO Online最近一份報(bào)告的支持，該報(bào)告指出CISO職位的人才流失率有所降低。這可能意味著，即使CISO覺(jué)得當(dāng)前職位壓力很大，想要橫向跳槽到另一家企業(yè)，他們現(xiàn)在可能也運(yùn)氣不好。

你認(rèn)為CISO在展望2025年時(shí)，最重要的三個(gè)工作重點(diǎn)是什么?

多年來(lái)，許多企業(yè)積累了龐雜的安全工具。鑒于預(yù)算收緊，CISO現(xiàn)在需要專(zhuān)注于優(yōu)化這些現(xiàn)有投資，以降低復(fù)雜性和成本。這涉及整合工具，并確保充分利用剩余工具來(lái)解決安全漏洞。

對(duì)于許多CISO而言，充分利用生成式AI技術(shù)的新網(wǎng)絡(luò)威脅的出現(xiàn)是一個(gè)重大關(guān)切。因此，CISO正優(yōu)先考慮投資能夠增強(qiáng)其防御能力并彌補(bǔ)可見(jiàn)性差距的安全工具。矛盾的是，這可能包括使用一些AI解決方案來(lái)提高威脅檢測(cè)和響應(yīng)能力。

隨著混合云和多云環(huán)境的復(fù)雜性增加，CISO需要考慮投資于針對(duì)云環(huán)境的先進(jìn)檢測(cè)和響應(yīng)能力，這有助于快速緩解威脅，減少對(duì)企業(yè)的潛在影響。