尽管每位高管都面临着高压选择，但CISO尤其需要应对那些可能对其企业和职业生涯产生重大影响的权衡取舍。

CISO们越来越需要为那些他们并不总是拥有完全控制权的安全结果负责，他们深知这一动态。根据《2024年LevelBlue未来报告：网络弹性》，“73%的CISO表示担心网络安全会变得难以管理，需要承担高风险的权衡，而相比之下，只有58%的CIO和CTO有此担忧。”

此外，随着责任的增加，CSO和CISO更加需要将他们的安全策略与业务目标保持一致，这在确定安全指令与支持加速业务创新需求之间的界限时产生了额外的紧张关系。

为了帮助你更好地平衡作为安全高管和业务高管的相互竞争利益，以下是每位CISO必须考虑的关键权衡，以及来自安全领域同行和行业专家的建议，旨在促进业务和职业发展的双赢。

1. 在更大业务背景下重新校准风险容忍度

尽管大家都在谈论与业务保持一致，但CISO们普遍反映高层管理团队在风险问题上存在不一致。根据网络安全供应商Netskope的《现代CISO：平衡之道》调查，92%的CISO表示，对风险的不同态度导致了与更广泛高层管理团队的紧张关系，66%的CISO形容自己处于“走钢丝”的状态，需要在业务需求和安全合理性之间找到平衡。

科技公司Pendo的CISO Chuck Kesler表示，他不得不在风险问题上寻找中间立场。“这既是业务教育我了解其需求，也是我教育业务了解风险的过程。”他说。Kesler承认，在评估业务目标、对这些目标相关风险的初步评估以及已实施的安全控制后，他过去不得不“重新校准”自己的风险容忍度。

安永全球咨询网络安全负责人Richard Watson表示，这种情况很常见。“CISO们经常自问：‘我能容忍多少风险?’这是我们收到最多的问题。”他说。

2. 在预算限制下权衡安全投资

与风险权衡紧密相关的是CISO在安全投资方面必须应对的挑战。“对于大多数CISO来说，当他们必须做出艰难选择时，99%的情况下是由于预算限制迫使他们权衡风险与回报。”网络安全咨询公司MorganFranklin Cyber的董事总经理John Allen说。

鉴于没有CISO拥有无限的预算，Allen表示，他们经常询问如果不进行某个期望的安全项目(其价格超出预算)会发生什么，然后尝试将其纳入预算或如果无法实现则搁置。《Panorays 2025年CISO调查》提供了一个具体例子：98%的受访安全领导者表示，由于资源有限，他们不得不留下至少10%的第三方漏洞未解决。

CISO在其他领域也因预算限制而做出艰难权衡，国家大学网络安全中心主任Chris Simpson说。他们有时会在检测和事件响应上的投入少于期望，而更倾向于预防上的投入;或者他们在合规和监管要求上的投入超过期望，因为必须如此，导致在其他期望的安全投资上投入减少。

每位CISO的企业都有其独特的背景来权衡预算取舍，研究表明，并非所有的削减都是平等的，在某些环境下的某些选择对组织风险的影响更大。

3. 渴望但得不到理想的‘凯迪拉克’工具

安永的Watson表示，CISO经常在安全工具上做出妥协，指出“想要最好的一切的CISO不会每次都赢。”

Pendo的Kesler深有体会，他曾看中一款具有众多功能和特性的云安全态势管理工具，该工具能解决一系列风险，他将其视为“凯迪拉克选项”，但就像实际的凯迪拉克一样，这款安全工具价格不菲，最终，Kesler不得不接受这样一个事实：该平台的许多功能是“有了更好”而非“必须拥有”。“所以我们决定现在不是购买的时候。”Kesler解释道，并补充说他通过实施其他几款工具找到了中间地带，这些工具提供了公司当时所需的能力并解决了他希望减轻的风险。“市场上有这么多优秀的安全工具。我们看到演示就兴奋，认为它们能解决我们所有的风险，而现实是我们很难获得所有想要的预算，所以部分工作是弄清楚什么可行。”他说，“我本更希望拥有能为我解决一切的‘凯迪拉克’，但我们解决了特定于我们环境的风险，并且价格更低。”

4. 承担更多风险以促进创新

创新，特别是围绕新兴技术(如自主式AI)的创新，会引入风险——特别是如果创新是在没有积极安全参与的情况下进行的，这种情况今天仍然存在，尤其是在AI领域，这造成了许多CISO尚未准备好的安全风险。

“业务的创收部分在驱动决策;这不是五五开的事，不会因为‘CISO说我们不能做，因为有风险’就不做。”MorganFranklin的Allen说，“业务会说，‘自己解决，因为我们要做。’”但这并不意味着CISO无能为力，他解释说，他们仍然有能力——也有义务——“清楚地阐述业务想要做的安全顾虑、陷阱和缺点。”他们只需要在业务背景下阐述安全评估，“并提出一个业务认为能促进增长和他们想做的事情的解决方案。”

许多人(但远非全部)正在这样做。《LevelBlue 2025年未来报告：网络弹性与业务影响》发现，61%的受访CISO表示，他们的企业“因为采取适应性方法，可以在创新上承担更多风险”——这一比例在自认为是“网络弹性组织”的CISO中上升至79%。

5. 以业务速度确保安全

同样，CISO经常需要平衡业务希望的速度与安全较慢的节奏，科技公司Benifex的信息安全负责人Simon Backwell说，他是ISACA新兴趋势工作组的成员。他说，业务和安全在速度能力上几乎不匹配。专家表示，业务还可以选择迭代创新，但CISO通常必须满足合规法规和安全框架的要求，这些要求不允许同样的迭代方法。此外，业务团队在启动新举措时通常会获得大量资源来资助专门团队，但安全团队则不会。“安全可能正在处理其他20件事，有人希望安全现在处理新事情，安全必须决定然后放弃什么以腾出空间。”他补充道。

正如他们在试图找出什么可行时一样，CISO可以通过与业务保持一致，特别是通过将安全早期融入业务举措来更好地跟上节奏，从而找到平衡点，Simpson说。“这样做的CISO能够拥抱速度。”他补充道。

6. 在面对眼前与未来时进行前瞻性投资

随着CISO越来越少地被动应对而更多地采取战略行动，他们能够更好地看到业务机会和新兴威胁的未来趋势，但这让CISO陷入了困境：是现在投资新的安全工具或举措以领先一步——尽管还有其他需要立即关注的紧急需求——还是等到需求迫在眉睫时再投资?

Pendo的Kesler不得不面对这一困境。他确定，鉴于公司的战略计划，他最终需要加强公司对分布式拒绝服务(DDoS)攻击的防御——但当时DDoS攻击并不是一个重大威胁。“我们预见这将是对我们的一个威胁，但我们决定将其推迟。”他说，并指出他不得不做出艰难选择，专注于解决最紧迫的风险，同时知道他可以在安全路线图的后期解决DDoS攻击风险的上升。

7. 确保访问而不妨碍用户体验

任何经验丰富的CISO都会一再遇到的另一个长期存在的权衡：在安全机制与它们给用户体验带来的摩擦之间找到正确的平衡，但如今，随着客户和员工体验至关重要，以及信息窃取者增多和恶意行为者越来越多地滥用特权访问，这一权衡再次受到关注。

Kesler在之前担任一家医疗保健组织的安全负责人时，就不得不做出这样的权衡，当时他实施了多因素认证。他说，他的执行同事知道MFA的价值，但也担心它会增加访问应用程序的额外时间。“我们认识到，我们必须聪明地决定何时以及如何要求人们使用第二因素。”Kesler解释道，“我们决定不能每次他们访问计算机时都要求，因为我们的医生和护士整天在设备和患者之间频繁移动，我们不能要求他们每五分钟重新认证一次。在流程中，分钟和秒都很重要。”

因此，安全和业务共同决定，仅要求现场用户第一天首次访问时进行MFA，“这样他们就不会一整天都被不断要求进行第二因素认证。”Kesler说。

8. 在面对重大(且频繁)权衡时坚守岗位

或许CISO可能做出的最艰难权衡之一是，即使他们做出了比期望更多的权衡，也选择坚守岗位，Allen说，这种情况经常发生。

“CISO会感到沮丧，因为他们觉得自己是安全方面的主题专家，如果他们认为需要的事情没有完成，如果没有一致意见，如果这是一场持续的战斗，他们可能会想要离开。”Allen说。有些人离开了，有些人没有，他补充道。“最终，CISO必须遵循业务的意愿。”Allen说，“如果这不可行，他们就离开;那些能够适应的则能够与之共事并长期坚守。”

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。