因此，许多员工甚至高管并不完全了解所在企业的CISO的职责——这是许多CISO在履行企业主要职责时遇到的一个难题。

“CISO负责处理公司内无人愿意涉足的所有网络安全相关事务，”YL Ventures公司CISO、合伙人兼网络安全初创企业顾问安迪·埃利斯(Andy Ellis)表示。

“这听起来有些陈词滥调，但这就是对更长解释的精炼概括，即CISO是CIO的另一半。2000年后，CIO基本上不再负责创新和治理，而是成为了削减成本者，”埃利斯说，“总得有人关心网络安全，因为其他人都不管，因此，CISO的工作就是捡起那些本属于其他人职责范围内的网络安全碎片。”

这一职位的随意演变凸显了CISO在同事和监管机构对其职责知之甚少时所面临的问题，这种理解不足可能导致误解、资源分配不当，甚至潜在的法律责任，正如许多人所认为的，美国证券交易委员会(SEC)对SolarWinds公司CISO蒂姆·布朗(Tim Brown)的过度牵连，就是基于对其职责的误解而引发的一场长达数年、伤筋动骨的法律诉讼。

造成这种困惑的是，该职位的模糊性和多变性。尽管CISO职责繁重且头衔听起来像是高管级别，但大多数CISO的决策权仍不尽如人意，这进一步加剧了职责的不明确性。尽管如此，专家指出，CISO可以通过一些方式更好地定义自己的工作，并在企业内部和与外部利益相关者沟通时传达这些信息。

那么，CISO究竟是做什么的呢?

定义CISO角色的一个根本问题是，该角色因企业而异，且取决于企业的网络安全成熟度，此外，该职位的性质会随时间变化。

在成熟度较低的企业中，CISO“往往具备较强的技术能力，”凯雷集团(Carlyle Group)前CISO、荣誉退休的贝萨尼·德卢德(Bethany DeLude)表示，“他们可能是企业中最强的安全工程师。这类CISO会想，‘让我来灭火吧，让我确保我们不被黑客攻击，让我把内部事务整理好。’”

另一方面，在成熟度较高的企业中，CISO则是“一位专注于战略、业务关系、品牌建设以及思考网络安全如何为企业创造价值的高管领导者，”德卢德说。这类CISO会思考，“我如何通过我的专业知识为这个企业创造价值?这就是我认为存在模糊性的原因，此外，同一企业中合适的CISO人选也会随时间变化。”

CISO角色的不断变化，以及威胁和风险管理策略的转变，意味着确定CISO的具体职责几乎是不可能的。“这是一个不断演变的情况，每年都需要对CISO的角色进行重新分析，以确定，好吧，我需要做什么，”Cohesity公司现场CISO戴尔·“Z博士”·扎布里斯基(Dale “Dr. Z” Zabriskie)表示。

他补充道：“我们曾经历过这样一个阶段，董事会、CEO或公司会指着CISO说，‘保护我们是你的职责。’现在，我们已经摆脱了那种阶段，CISO能做的最好的事情就是与业务的各个层面建立联系，从每个部门负责人那里了解并要求他们说明自己负责哪些数据和系统，然后，CISO可以根据可接受的风险确定最佳行动方案。”

对一些专家而言，这意味着CISO需要在更具体地定义自己的工作之前，先在企业内部摸索一番。“本质上，CISO有责任最终确定自己的职位描述，并根据风险、战略以及实际存在的文化来设定期望。”Headway公司CISO苏珊·蒋(Susan Chiang)表示。

蒋认为，对所有企业中的CISO而言，一个重要的共通点是，最终“使命是相同的，即无论你是在公司、政府还是非营利企业，都要降低风险，尤其是传统安全方面的风险。”

尽管可能无法对CISO的职责形成一个恒定不变的定义，但如果存在一个标准定义，将有助于在企业内部理顺关系。“如果明确CISO需要做什么以及界限在哪里，将减少摩擦。”Databricks公司现场CISO兼安全副总裁、卡内基梅隆大学教职员工奥马尔·卡瓦贾(Omar Khawaja)表示。

仅凭“首席”之名，更添困惑

与其他听起来像高管的头衔一样，如首席营销官、首席营收官、首席技术官等，首席信息安全官听起来也像是拥有广泛决策能力的公司高管，但在大多数情况下，他们缺乏任何实际权力。

“有些CISO确实达到了公司高管的水平，无论他们的汇报关系如何，都会得到相应的对待。”卡瓦贾说。

“我见过有CISO在CEO之下四级，但他们被视为高管团队的一等成员，”他补充道，“我也见过有CISO直接向CEO汇报，但他们几乎没有任何影响力和权力。因此，这与实际的汇报关系和企业结构关系不大，而更多地与个人的精神风貌、行为方式以及他们与CEO、董事会和同事建立关系的质量有关。”

埃利斯说：“公司里出现了许多听起来像C级的高管头衔，但实际上并非C级职位，首席安全官(CSO)是第一个，我认为首席信息官和首席营销官是最后新加入高管层的，之后几乎所有新出现的头衔都不再是高管层的一部分，他们总是低一级。”

但埃利斯认为，鉴于网络安全的重要性，CISO所占据的这一较低职位不会持续太久。“我认为，我们更有可能看到CISO的角色演变为类似首席信息官或首席技术官的角色。如果你看看如今财富500强之外的首席信息官在做什么，他们就是商品硬件和软件即服务(SaaS)的采购员，那不是一个高管职位，但与CISO的职责结合起来，就是一个高管职位了。”

Headway公司的蒋认为，即使CISO不与首席信息官合并，他们也可能会获得更多权力。“我们正在围绕CISO的职责制定更多标准和规范，这在某种程度上是对CISO现在需要确保的事项的自然跟进，例如，被董事会指定为官员，因此在某些风险决策中享有与首席财务官同等的责任保险覆盖。”

CISO如何传达自己的工作内容

无论企业在网络安全成熟度曲线上处于什么位置，或者CISO真正拥有多少高管权力，专家表示，有一些方法可以传达CISO的职责，以便内部或外部利益相关者更清楚地了解他们的工作。

几乎没有什么标准文件可以帮助完成这项任务。网络安全董事会顾问拉菲克·雷曼(Rafeeq Rehman)每年都会制作一份“CISO思维导图”，这是一项视觉成就，概括了CISO的工作内容，但它很复杂，展示了任何一位CISO可能承担的数百项职责。

“我不会和同行分享那份思维导图，”蒋说，“那会让他们不知所措。”

埃利斯制定了《理想化的CISO职位描述》，全面描述了CISO职责的复杂范围，但是，很少有CISO承担过这么高水平的职责。埃利斯说，他只知道大约100名符合理想化标准的CISO，“他们现在大多都入选了CISO名人堂。”他说。

蒋说，CISO不应分享这些复杂且专业的文件，而是应该“寻找从我们共同客户的角度讲述故事的方式”，例如，描绘他们在提供访问或降低风险方面所做的工作。“这让我们不再认为CISO是决策者，而他们几乎从来都不是，他们是顾问、助手和推动者，在出现问题时出现。”

“CISO首先要学会用对方的语言说话，并确定他们的衡量标准，什么对他们最有利，”Z博士说，“确定对这个部门或这个办公室重要的事项，以及你如何展示自己与之的相关性。”

埃利斯认为，CISO亲自向客户展示自己的工作至关重要。“你希望一切都是面对面的，”他说，“你希望与人交谈，他们应该看到你做的工作，你不应该告诉他们，‘我们做了这件事。’他们应该看到你做了什么，以及你真正帮助其他人做了什么。”

此外，在企业内部进行沟通时，如果CISO能够给予他人认可，他们的信息将更有分量、更令人难忘。“提及公司内其他人的所作所为保护了公司，”埃利斯说，“这个工程团队刚刚为我们构建了一个出色的无缝多因素认证系统，这些才是你应该感谢的人，每个人都会愿意与你合作——只有那个感谢别人的人才会这样。”

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。