近些年來，CISO的角色是如何演變的，特別是在克服挑戰和以遠見引領方面?

Gartner觀察了每個公司的CISO的四個發展階段：控制經理->風險決策所有者->值得信賴的促進者->和價值創造者。每個階段都建立在它之前的階段上，因此，我們不會將這些階段中的任何一個階段定位為“糟糕的”或“不成熟的”，而是作為下一階段表現的先決條件和貢獻者。我們定期對CISO的有效性進行基準評估，大多數CISO自認為處于“風險決策所有者”或“值得信賴的促進者”階段。大多數CISO已經不再僅僅是控制管理者，“價值創造者”的角色仍然很稀有。

現在，當你進入這些階段，了解CISO的角色是如何演變的，最好的描述是這個角色仍然是一個“不穩定的分子”。現在，“不穩定分子”并不是貶義，而僅僅是對現實的描述。這并不令人驚訝——畢竟，CISO這一角色實際上是在20世紀90年代中期才出現的。金融領袖們花了一千多年時間(這并不夸張)來理清他們的職權范圍，而CISO的角色在很大程度上仍處于早期階段?？紤]到公司和政府機構對網絡安全的要求不同，角色的變化也是意料之中的，所以我們預計CISO的角色會有一些變化。

然而，作為一種不穩定的分子確實會給CISO帶來問題。首先，它讓CISO有別于他們預計將與之接觸的其他C級高管。在類似的C級領導中，CHRO、CFO、銷售主管、市場營銷主管等職位的差異很小，因此CISO的同行往往很難準確跟蹤CISO做什么和不做什么。對于CISO來說，當今最痛苦的現實之一是企業/機構對其CISO的期望與CISO的實際任務和資金交付之間的持續脫節。這種脫節目前最明顯的表現是圍繞CISO在支持其企業遵守最新的SEC披露規則方面所扮演的角色的不確定性——無論是來自更廣泛的高管團隊還是來自CISO本身，但還有許多其他例子。

為了達到值得信賴的促進者和價值創造者的階段，CISO需要集中精力縮小企業期望與CISO實際能力(和資金!)之間的差距，去交付。

在你看來，在2024年發展CISO最關鍵的技能是什么?

關于CISO應該發展哪些技能，世界上充斥著人們的意見。我的偏好是始終依賴數據!

Gartner的CISO有效性研究確定了14種行為和心態是CISO的必備條件。每年有200多名CISO為這一分析貢獻他們的績效和行為數據，最新版本顯示了前五名：發起關于不斷發展的規范以保持領先于威脅的討論、積極參與確保新興技術的安全、將定期發生的時間專門用于專業發展活動、與項目背景外的高級決策者建立關系，以及通過與高級業務決策者的合作定義風險偏好。

顯然，當人們讀到“積極參與確保新興技術的安全”時，人們的思維會轉向“弄清楚人工智能中的風險和機會”，但是，我從CISO那里得到的大多數問題都與在項目和問題的背景之外建立關系的挑戰有關。例如，我們的基準測試清楚地表明，與首席財務官和銷售主管的定期接觸是最有效的CISO的一個與眾不同之處，但這種與眾不同的部分原因是，這種接觸在CISO社區中很少見，而且幾乎總是與核心安全問題有關。

有效的CISO已經超越了“如何讓你的職能更安全”，而是創造雙向價值，這意味著需要真正了解CFO和CSO的優先事項是什么。劇透提醒：他們最優先考慮的不是，也不應該是網絡安全。

如上所述，在“不斷發展的規范”和“在項目背景之外建立關系”的聯系下，至少對于在美國市場交易的公司來說，支持企業努力遵守最新的SEC規則。CISO在這里過度擴張的風險很大，但也創造了巨大的價值，并展示了真正的C級領導能力。因此，在技能發展方面，CISO需要專注于設定一些界限。例如，如果你不是公司的管理人員，就不要簽署8-K或被迫決定什么是實質性。

CISO面臨的最大挑戰是什么?你建議如何解決這些挑戰?

更容易的任務是列出不重要的挑戰，因為這將是一個短得多的列表!作為一名網絡安全領導者的本質是，確實沒有任何小問題，其中一位我尊敬并從中學到很多的CISO在她的業績儀表盤上只有紅色和綠色。她告訴我，黃色在網絡安全中并不存在。有些東西要么壞了，要么沒有!我認為這種觀點很有洞察力。

對于CISO來說，最大的挑戰是時間管理。我們距離網絡安全領域“爭奪一席之地”的時代還有很長一段路要走——與我共事的大多數CISO現在都被邀請，甚至被要求在每一張桌子上!不出所料，效率飆升的CISO是那些無情地對待他們的時間的人。他們深思熟慮地決定與誰打交道，以及與他們打交道的程度，并委托/自動化其他所有事情。

可以肯定的是，網絡安全在很大程度上是一種生活方式選擇，因此，每個CISO的工作/生活平衡的構成將是不同的，但是，從多年的分析和經驗中可以清楚地看到，大多數CISO在進入這份工作時都認為，“始終在線”是該角色的一項要求，而且，‘爭奪餐桌一席之地’時代留下的遺產之一是想要無處不在，在我們能做的任何地方貢獻價值，這些行為和心態沒有規模，這從CISO角色令人難以置信的離職率和倦怠中可見一斑。

盡管聽起來很簡單，但解決辦法是開始把時間當作你最稀缺的資源。培養時間管理技能，就像培養角色的其他關鍵技能一樣。事實上，我支持客戶的最常見方式之一是，在他們看到我們的CISO有效性基準中的“個人發展”后，領導時間管理研討會來幫助他們培養這項技能。

CISO如何在網絡安全的技術方面與日益增長的業務敏銳性需求之間取得平衡?

CISO需要深層次的技術能力——如果沒有與技術的大規模連接，網絡安全是不會起作用的，而且，一旦你比CISO低了一兩層，技術就是一切!僅出于可信度的原因，CISO需要有技術印章，這樣他們才能在職能范圍內積極做出貢獻。根據你所在的行業或公司的規模，親身實踐技術可能是這一角色中適當且必要的一部分。我認為，大多數精明的CISO都不相信他們可以通過僅限于政策/治理來交付價值。

與此同時，由于大多數CISO來自技術和運營領域，當面對模棱兩可且往往是政治性的領導力世界時，很容易在他們的技術舒適區過度投資。因此，我們看到越來越多的CISO依賴高級安全架構師來保持與技術世界的聯系，從大量機會中篩選出真正需要高管級別關注的子集。同時，讓他們的領導團隊能夠自主做出更多決策，這樣CISO就不會被置于“親自選擇每一家供應商”的境地。

最后，你如何展望CISO角色的未來，該領域的專業人員應該為什么趨勢做好準備?

我的期望是，CISO的角色將繼續在職權范圍、報告結構和各種其他因素方面保持高度多樣化。同樣，在企業領導力的背景下，這一角色仍然是相對較新的，而且對信息保護的理解和需求在不同行業之間都存在很大差異，所有這些都意味著我們不太可能在短期內看到CISO角色被“確定”。

因此，利用你的時間，讓你的“北極星”縮小你的企業期望與真正必要和可能的之間的差距，這些將是每個CISO的重要焦點。

此外，Gartner剛剛發布了2024年最重要的網絡安全趨勢。簡而言之，我們建議CISO在2024年的工作中納入九個趨勢：

• 持續的威脅暴露管理
• 擴展IAM的網絡安全價值
• 第三方網絡安全風險管理
• 隱私驅動的應用程序和數據分離
• GenAI
• 安全行為和文化計劃
• 網絡安全成果驅動型指標
• 不斷發展的網絡安全運營模式
• 重新掌握網絡安全技能