随着CISO地位的提升和责任的加重，企业对这一顶级安全角色的要求变得更加严苛，除了需要不断评估其安全态势以确定如何做出适当调整来充分保护企业外，如今的CISO还必须以某种方式与业务保持一致，以强化关键业务目标——并将风险管理的问题和权衡置于聚光灯下。

为了在个人责任成为真正关切的时候履行这一日益复杂的职责，CISO必须不断评估的不仅仅是其安全堆栈和态势，还有其团队的文化、业务的整体状态和方向，以及他们在确保企业在众多现有和新兴风险中蓬勃发展方面的位置。

在此，思想领袖们提出了安全主管在持续的安全战略和职业成长计划中必须回答的10个最紧迫的问题。

1. 我是业务赋能者还是阻碍者?

安全职能有时可能被视为“‘不’的部门”，因此CISO应该思考自己和团队是否真的如此，Protiviti全球咨询公司的常务董事兼全球安全与隐私负责人Sameer Ansari说道。

“CISO需要问：‘我是被视为赋能者还是阻碍者?’”他补充道。

Ansari解释说，如果CISO发现其执行同事避开他们或只在项目后期阶段才与他们接触，那么他们很可能被视为业务目标的阻碍者而非业务成功的赋能者。同样，如果CISO是通过办公室闲聊而非作为规划会议中的伙伴得知某些倡议的，那么他们也可能被视为障碍者。

处于此类情况的CISO可以扭转局面，Ansari指出。

“不要只是否决想法，要以咨询的方式帮助他们实现目标，并且不要做出评判，”他解释道，“向业务部门传授风险知识，并让业务部门决定要承担多少风险，或者，如果这超出了企业的风险容忍水平，那么就说，‘让我们升级处理这个问题吧。’”

2. 我们如何为公司风险容忍度实现正确的安全平衡?

为了扮演好咨询角色，CISO还需要提出并回答这个问题，公共会计和咨询公司BPM的CISO Vandy Hamidi说道。

“我的角色是降低风险，使业务能够自信地运营，同时有效地服务客户。如果我们把一切都锁得太紧，就会损害业务，让用户感到沮丧，并失去敏捷性，但如果我们保护不足，就会使公司面临泄露、监管风险和声誉损害，”他说道，“为了达到正确的平衡，我们专注于了解业务的运营方式、其优先级、挑战以及人员，这意味着要跨职能合作，不仅要评估技术暴露，还要评估运营影响。”

为了做到这一点，Hamidi的团队与业务领导者和同事紧密合作，在确保客户和企业数据得到充分保护的同时，将安全与业务保持一致。“这不仅仅是关于技术保障;而是关于建立信任、用业务术语传达风险，并使安全成为战略赋能者而非阻碍者。”他说道。

金融服务信息共享和分析中心(FS-ISAC)的CISO John Denning表示，CISO还可以问自己：“安全是否在支持业务的同时保护客户和客户?”

“CISO需要平衡这两者，”他说道，“例如，我们正在看到‘智能摩擦’的兴起——即在用户体验中战略性地放置障碍物，以增加安全性并减缓支付授权。”

3. 应该向董事会呈现哪些合适的指标?

CISO需要展示他们是如何赋能业务的，这意味着要找出如何以董事会认为重要的方式衡量他们的工作，Forrester Research的副总裁兼首席分析师Jeff Pollard说道。

他表示，关于已修补系统数量、平均响应时间和平均修复时间的数据并不会让董事会认为安全有助于推动业务发展。

相反，CISO需要找出能够说明安全在支持业务目标方面作用的指标，以及能够使高管和董事会做出更好决策的指标，Pollard说道。

4. 网络安全对企业意味着什么?

CISO还需要了解安全职能在企业中的位置，以便他们能够确定自己是否有权力影响正确的行动，咨询公司S-RM美洲区网络安全负责人Paul Caron说道。

“很多时候，CISO负责应对眼前的风险，但他们是否真的处于能够应对这些挑战的位置?他们是否会得到相应的支持和资源?他们是否真的拥有执行级别的支持来成为变革的推动者?这些都是现在每个CISO尤其需要问自己和他人的问题，”他说道。

在“CISO实际上要对并为企业未做好应对网络事件的准备而负责，甚至可能被追究责任”的时代，Caron表示，CISO必须知道他们是否拥有与责任相匹配的权力。

“他们应该重新评估企业如何看待风险管理，以及他们在决策桌上被赋予了多少话语权。这些都是他们需要对自己非常透明的关键问题，”他说道，并补充说，“没有权力的CISO是最糟糕的位置。”

5. 我是否有效地传达了技术风险?

CISO还应该问自己是否能够以业务能够理解的方式阐述网络安全风险，Protiviti的Ansari说道。

他看到安全主管们经常用技术术语谈论风险，但与其他高管谈论缺乏云容器安全或配置错误等问题，并不会帮助他们理解其中的利害关系。

“那会超出所有人的理解范围。即使现在董事会中有更多对网络有所了解的成员，他们仍然会问，‘这到底意味着什么?’”Ansari说道。

他建议CISO考虑自己是否真的在用业务能够理解的方式讲述安全和风险故事，他建议CISO向安全部门内外值得信赖的同事寻求反馈以帮助完成这项任务。

他补充说，这是值得努力的，因为讲述更好故事的CISO在传达业务风险方面更有效，这会使他们获得更多权力、资源和与业务目标的一致性。

6. 我的团队是否感到有权力挑战我?

没有一个人——即使是CISO——能够始终做出最佳决策，因此安全领导者应该欢迎有关其计划不足的信息。

“所以他们必须问自己：我的团队是否感到有权力挑战我的决策?我是否在鼓励异议?”Ansari说道。

Ansari建议，发现团队不认为自己可以发声的CISO应该通过鼓励讨论、积极回应挑战和征求意见来改善其工作场所文化。Ansari补充说，简单地问一句“我需要其他人对这个问题的看法”就可以有所帮助。

7. 我们的客户希望我们在安全方面做些什么?

CISO正通过近年来激增的第三方安全问卷从客户那里了解其安全优先级，Pollard说道。这些问题使CISO能够洞察客户关心的内容以及他们希望CISO的企业从安全角度采取的措施。

“如果你了解这一点，就可以为安全构建商业案例，”他说道，并解释说CISO可以使用某些客户要求的安全控制的成本以及这些客户产生的收入来计算安全工作的价值。“CISO需要绘制出这个图表：有多少客户向我们提出了这个要求，以及他们的收入是多少?”

8. 我们企业的所有数据实际上都存储在哪里?

科技公司Transcend的驻场CISO兼前UnitedHealth Group的CISO Aimee Cardwell深知提出这个问题的原因，她说道：“经验以最痛苦的方式告诉我，数据就在某个我没看到的地方。”

例如，她发现敏感数据隐藏在发票文件夹中以及来自旧影子项目的服务器和数据库中。她还指出，在公司收购和合并后，CISO可能在未知位置有数据。“然后你再将AI融入其中，就可能会泄露你甚至不知道的数据，”她补充道。

Maryville大学John E. Simon商学院副院长兼网络安全助理教授Brian M. Gant表示，CISO需要不断问自己：“我们企业最有价值的数据在哪里，以及我们如何保护它?”和“‘王国’的钥匙在哪里?”以帮助他们解决这个问题并确保充分保护敏感数据。

全球咨询公司SSA & Co.的应用解决方案主管Nick Kramer也建议CISO问自己是否对企业中非结构化数据的存储位置有足够的了解，以及这些数据是否得到了适当的保护。例如，他建议CISO让企业不再通过电子邮件发送附件，而是发送链接到存储在安全位置的文件，将文件从员工设备中移出到这些相同的安全位置，并实施加密。

9. AI将如何影响我的人员配置?

近年来，CISO已经培训了其安全团队以支持业务团队对AI的安全使用。现在，随着AI在安全部门内部成为越来越重要的工具，他们需要调整自己的人员配置策略。“他们需要探索AI对我人员配置的影响是什么?我的企业将如何不同?”Pollard说道。

他表示，CISO必须考虑其团队成员将如何与AI代理协同工作，以及他们是否准备好有效地这样做。他们还应该考虑安全运营中心(SOC)的人员配置将如何变化。例如，Pollard表示AI可能会减少对入门级员工的需求，但可能意味着需要更多二级分析师。这要求CISO思考如果更少的二级SOC分析师来自一级分析师职位，他们将如何招募和培训这些高级分析师。

10. 下一个可能让我感到意外的攻击是什么?

“下一个漏洞或下一个威胁是什么?”SSA的Kramer表示，这是需要提出并回答的关键问题。

当然，CISO长期以来一直担心零日漏洞，他们必须继续这样做，但他们还需要考虑不断演变的攻击面和攻击者日益增长的复杂程度如何几乎瞬间就在他们的安全计划中留下漏洞。

“我最害怕的总是我不知道的事情，我会在哪里感到意外。”Transcend的驻场CISO Cardwell说道。

为了缓解此类恐惧，Maryville大学的Gant建议CISO问自己：“我的攻击面是什么?”和“谁在攻击我以及为什么?”并使用答案来制定保护数据和系统的适当计划。

FS-ISAC的Denning表示，另一个需要问的问题是：“我的防御技术堆栈是否适合当前需求并面向未来?”

“强大的新工具正在武装不良行为者以实施更有效的欺诈、勒索软件和分布式拒绝服务(DDoS)攻击等威胁，”他补充道，“CISO需要评估他们是否拥有对抗这些威胁并应对新兴威胁的正确工具和人才。”

例如，Denning表示CISO应该对其加密资产进行盘点，以准备应对量子计算可能改变所有计划的那一天。

Kramer表示，CISO需要采取更多措施来领先于未来。他建议CISO任命工作人员来前瞻未来，就像首席技术官通常有人来研究新兴技术一样。

“CISO正在向前看，但往往他们是在等待其他人弄清楚并告诉他们该怎么做，这意味着修复措施是因为某些成功攻击而确定的，”Kramer说道，“但现在你必须有一个实验的视角，并真正尝试找出下一步是什么，或许可以使用模拟工具来发现新的攻击面。”

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。