從預見新威脅到平衡風險管理與業務賦能，CISO面臨著一系列復雜的挑戰，這些挑戰需要他們持續反思并戰略性地執行。

隨著CISO地位的提升和責任的加重，企業對這一頂級安全角色的要求變得更加嚴苛，除了需要不斷評估其安全態勢以確定如何做出適當調整來充分保護企業外，如今的CISO還必須以某種方式與業務保持一致，以強化關鍵業務目標——并將風險管理的問題和權衡置于聚光燈下。

為了在個人責任成為真正關切的時候履行這一日益復雜的職責，CISO必須不斷評估的不僅僅是其安全堆棧和態勢，還有其團隊的文化、業務的整體狀態和方向，以及他們在確保企業在眾多現有和新興風險中蓬勃發展方面的位置。

在此，思想領袖們提出了安全主管在持續的安全戰略和職業成長計劃中必須回答的10個最緊迫的問題。

1. 我是業務賦能者還是阻礙者?

安全職能有時可能被視為“‘不’的部門”，因此CISO應該思考自己和團隊是否真的如此，Protiviti全球咨詢公司的常務董事兼全球安全與隱私負責人Sameer Ansari說道。

“CISO需要問：‘我是被視為賦能者還是阻礙者?’”他補充道。

Ansari解釋說，如果CISO發現其執行同事避開他們或只在項目后期階段才與他們接觸，那么他們很可能被視為業務目標的阻礙者而非業務成功的賦能者。同樣，如果CISO是通過辦公室閑聊而非作為規劃會議中的伙伴得知某些倡議的，那么他們也可能被視為障礙者。

處于此類情況的CISO可以扭轉局面，Ansari指出。

“不要只是否決想法，要以咨詢的方式幫助他們實現目標，并且不要做出評判，”他解釋道，“向業務部門傳授風險知識，并讓業務部門決定要承擔多少風險，或者，如果這超出了企業的風險容忍水平，那么就說，‘讓我們升級處理這個問題吧?！?/p>

2. 我們如何為公司風險容忍度實現正確的安全平衡?

為了扮演好咨詢角色，CISO還需要提出并回答這個問題，公共會計和咨詢公司BPM的CISO Vandy Hamidi說道。

“我的角色是降低風險，使業務能夠自信地運營，同時有效地服務客戶。如果我們把一切都鎖得太緊，就會損害業務，讓用戶感到沮喪，并失去敏捷性，但如果我們保護不足，就會使公司面臨泄露、監管風險和聲譽損害，”他說道，“為了達到正確的平衡，我們專注于了解業務的運營方式、其優先級、挑戰以及人員，這意味著要跨職能合作，不僅要評估技術暴露，還要評估運營影響。”

為了做到這一點，Hamidi的團隊與業務領導者和同事緊密合作，在確?？蛻艉推髽I數據得到充分保護的同時，將安全與業務保持一致?！斑@不僅僅是關于技術保障;而是關于建立信任、用業務術語傳達風險，并使安全成為戰略賦能者而非阻礙者?！彼f道。

金融服務信息共享和分析中心(FS-ISAC)的CISO John Denning表示，CISO還可以問自己：“安全是否在支持業務的同時保護客戶和客戶?”

“CISO需要平衡這兩者，”他說道，“例如，我們正在看到‘智能摩擦’的興起——即在用戶體驗中戰略性地放置障礙物，以增加安全性并減緩支付授權?！?/p>

3. 應該向董事會呈現哪些合適的指標?

CISO需要展示他們是如何賦能業務的，這意味著要找出如何以董事會認為重要的方式衡量他們的工作，Forrester Research的副總裁兼首席分析師Jeff Pollard說道。

他表示，關于已修補系統數量、平均響應時間和平均修復時間的數據并不會讓董事會認為安全有助于推動業務發展。

相反，CISO需要找出能夠說明安全在支持業務目標方面作用的指標，以及能夠使高管和董事會做出更好決策的指標，Pollard說道。

4. 網絡安全對企業意味著什么?

CISO還需要了解安全職能在企業中的位置，以便他們能夠確定自己是否有權力影響正確的行動，咨詢公司S-RM美洲區網絡安全負責人Paul Caron說道。

“很多時候，CISO負責應對眼前的風險，但他們是否真的處于能夠應對這些挑戰的位置?他們是否會得到相應的支持和資源?他們是否真的擁有執行級別的支持來成為變革的推動者?這些都是現在每個CISO尤其需要問自己和他人的問題，”他說道。

在“CISO實際上要對并為企業未做好應對網絡事件的準備而負責，甚至可能被追究責任”的時代，Caron表示，CISO必須知道他們是否擁有與責任相匹配的權力。

“他們應該重新評估企業如何看待風險管理，以及他們在決策桌上被賦予了多少話語權。這些都是他們需要對自己非常透明的關鍵問題，”他說道，并補充說，“沒有權力的CISO是最糟糕的位置?！?/p>

5. 我是否有效地傳達了技術風險?

CISO還應該問自己是否能夠以業務能夠理解的方式闡述網絡安全風險，Protiviti的Ansari說道。

他看到安全主管們經常用技術術語談論風險，但與其他高管談論缺乏云容器安全或配置錯誤等問題，并不會幫助他們理解其中的利害關系。

“那會超出所有人的理解范圍。即使現在董事會中有更多對網絡有所了解的成員，他們仍然會問，‘這到底意味著什么?’”Ansari說道。

他建議CISO考慮自己是否真的在用業務能夠理解的方式講述安全和風險故事，他建議CISO向安全部門內外值得信賴的同事尋求反饋以幫助完成這項任務。

他補充說，這是值得努力的，因為講述更好故事的CISO在傳達業務風險方面更有效，這會使他們獲得更多權力、資源和與業務目標的一致性。

6. 我的團隊是否感到有權力挑戰我?

沒有一個人——即使是CISO——能夠始終做出最佳決策，因此安全領導者應該歡迎有關其計劃不足的信息。

“所以他們必須問自己：我的團隊是否感到有權力挑戰我的決策?我是否在鼓勵異議?”Ansari說道。

Ansari建議，發現團隊不認為自己可以發聲的CISO應該通過鼓勵討論、積極回應挑戰和征求意見來改善其工作場所文化。Ansari補充說，簡單地問一句“我需要其他人對這個問題的看法”就可以有所幫助。

7. 我們的客戶希望我們在安全方面做些什么?

CISO正通過近年來激增的第三方安全問卷從客戶那里了解其安全優先級，Pollard說道。這些問題使CISO能夠洞察客戶關心的內容以及他們希望CISO的企業從安全角度采取的措施。

“如果你了解這一點，就可以為安全構建商業案例，”他說道，并解釋說CISO可以使用某些客戶要求的安全控制的成本以及這些客戶產生的收入來計算安全工作的價值。“CISO需要繪制出這個圖表：有多少客戶向我們提出了這個要求，以及他們的收入是多少?”

8. 我們企業的所有數據實際上都存儲在哪里?

科技公司Transcend的駐場CISO兼前UnitedHealth Group的CISO Aimee Cardwell深知提出這個問題的原因，她說道：“經驗以最痛苦的方式告訴我，數據就在某個我沒看到的地方。”

例如，她發現敏感數據隱藏在發票文件夾中以及來自舊影子項目的服務器和數據庫中。她還指出，在公司收購和合并后，CISO可能在未知位置有數據?！叭缓竽阍賹I融入其中，就可能會泄露你甚至不知道的數據，”她補充道。

Maryville大學John E. Simon商學院副院長兼網絡安全助理教授Brian M. Gant表示，CISO需要不斷問自己：“我們企業最有價值的數據在哪里，以及我們如何保護它?”和“‘王國’的鑰匙在哪里?”以幫助他們解決這個問題并確保充分保護敏感數據。

全球咨詢公司SSA & Co.的應用解決方案主管Nick Kramer也建議CISO問自己是否對企業中非結構化數據的存儲位置有足夠的了解，以及這些數據是否得到了適當的保護。例如，他建議CISO讓企業不再通過電子郵件發送附件，而是發送鏈接到存儲在安全位置的文件，將文件從員工設備中移出到這些相同的安全位置，并實施加密。

9. AI將如何影響我的人員配置?

近年來，CISO已經培訓了其安全團隊以支持業務團隊對AI的安全使用?，F在，隨著AI在安全部門內部成為越來越重要的工具，他們需要調整自己的人員配置策略?！八麄冃枰剿鰽I對我人員配置的影響是什么?我的企業將如何不同?”Pollard說道。

他表示，CISO必須考慮其團隊成員將如何與AI代理協同工作，以及他們是否準備好有效地這樣做。他們還應該考慮安全運營中心(SOC)的人員配置將如何變化。例如，Pollard表示AI可能會減少對入門級員工的需求，但可能意味著需要更多二級分析師。這要求CISO思考如果更少的二級SOC分析師來自一級分析師職位，他們將如何招募和培訓這些高級分析師。

10. 下一個可能讓我感到意外的攻擊是什么?

“下一個漏洞或下一個威脅是什么?”SSA的Kramer表示，這是需要提出并回答的關鍵問題。

當然，CISO長期以來一直擔心零日漏洞，他們必須繼續這樣做，但他們還需要考慮不斷演變的攻擊面和攻擊者日益增長的復雜程度如何幾乎瞬間就在他們的安全計劃中留下漏洞。

“我最害怕的總是我不知道的事情，我會在哪里感到意外?！盩ranscend的駐場CISO Cardwell說道。

為了緩解此類恐懼，Maryville大學的Gant建議CISO問自己：“我的攻擊面是什么?”和“誰在攻擊我以及為什么?”并使用答案來制定保護數據和系統的適當計劃。

FS-ISAC的Denning表示，另一個需要問的問題是：“我的防御技術堆棧是否適合當前需求并面向未來?”

“強大的新工具正在武裝不良行為者以實施更有效的欺詐、勒索軟件和分布式拒絕服務(DDoS)攻擊等威脅，”他補充道，“CISO需要評估他們是否擁有對抗這些威脅并應對新興威脅的正確工具和人才。”

例如，Denning表示CISO應該對其加密資產進行盤點，以準備應對量子計算可能改變所有計劃的那一天。

Kramer表示，CISO需要采取更多措施來領先于未來。他建議CISO任命工作人員來前瞻未來，就像首席技術官通常有人來研究新興技術一樣。

“CISO正在向前看，但往往他們是在等待其他人弄清楚并告訴他們該怎么做，這意味著修復措施是因為某些成功攻擊而確定的，”Kramer說道，“但現在你必須有一個實驗的視角，并真正嘗試找出下一步是什么，或許可以使用模擬工具來發現新的攻擊面?！?/p>