在高層管理團隊中取得成功的關鍵之一在于能夠平衡多種相互競爭的利益。

盡管每位高管都面臨著高壓選擇，但CISO尤其需要應對那些可能對其企業和職業生涯產生重大影響的權衡取舍。

CISO們越來越需要為那些他們并不總是擁有完全控制權的安全結果負責，他們深知這一動態。根據《2024年LevelBlue未來報告：網絡彈性》，“73%的CISO表示擔心網絡安全會變得難以管理，需要承擔高風險的權衡，而相比之下，只有58%的CIO和CTO有此擔憂。”

此外，隨著責任的增加，CSO和CISO更加需要將他們的安全策略與業務目標保持一致，這在確定安全指令與支持加速業務創新需求之間的界限時產生了額外的緊張關系。

為了幫助你更好地平衡作為安全高管和業務高管的相互競爭利益，以下是每位CISO必須考慮的關鍵權衡，以及來自安全領域同行和行業專家的建議，旨在促進業務和職業發展的雙贏。

1. 在更大業務背景下重新校準風險容忍度

盡管大家都在談論與業務保持一致，但CISO們普遍反映高層管理團隊在風險問題上存在不一致。根據網絡安全供應商Netskope的《現代CISO：平衡之道》調查，92%的CISO表示，對風險的不同態度導致了與更廣泛高層管理團隊的緊張關系，66%的CISO形容自己處于“走鋼絲”的狀態，需要在業務需求和安全合理性之間找到平衡。

科技公司Pendo的CISO Chuck Kesler表示，他不得不在風險問題上尋找中間立場。“這既是業務教育我了解其需求，也是我教育業務了解風險的過程。”他說。Kesler承認，在評估業務目標、對這些目標相關風險的初步評估以及已實施的安全控制后，他過去不得不“重新校準”自己的風險容忍度。

安永全球咨詢網絡安全負責人Richard Watson表示，這種情況很常見。“CISO們經常自問：‘我能容忍多少風險?’這是我們收到最多的問題。”他說。

2. 在預算限制下權衡安全投資

與風險權衡緊密相關的是CISO在安全投資方面必須應對的挑戰。“對于大多數CISO來說，當他們必須做出艱難選擇時，99%的情況下是由于預算限制迫使他們權衡風險與回報。”網絡安全咨詢公司MorganFranklin Cyber的董事總經理John Allen說。

鑒于沒有CISO擁有無限的預算，Allen表示，他們經常詢問如果不進行某個期望的安全項目(其價格超出預算)會發生什么，然后嘗試將其納入預算或如果無法實現則擱置。《Panorays 2025年CISO調查》提供了一個具體例子：98%的受訪安全領導者表示，由于資源有限，他們不得不留下至少10%的第三方漏洞未解決。

CISO在其他領域也因預算限制而做出艱難權衡，國家大學網絡安全中心主任Chris Simpson說。他們有時會在檢測和事件響應上的投入少于期望，而更傾向于預防上的投入;或者他們在合規和監管要求上的投入超過期望，因為必須如此，導致在其他期望的安全投資上投入減少。

每位CISO的企業都有其獨特的背景來權衡預算取舍，研究表明，并非所有的削減都是平等的，在某些環境下的某些選擇對組織風險的影響更大。

3. 渴望但得不到理想的‘凱迪拉克’工具

安永的Watson表示，CISO經常在安全工具上做出妥協，指出“想要最好的一切的CISO不會每次都贏。”

Pendo的Kesler深有體會，他曾看中一款具有眾多功能和特性的云安全態勢管理工具，該工具能解決一系列風險，他將其視為“凱迪拉克選項”，但就像實際的凱迪拉克一樣，這款安全工具價格不菲，最終，Kesler不得不接受這樣一個事實：該平臺的許多功能是“有了更好”而非“必須擁有”。“所以我們決定現在不是購買的時候。”Kesler解釋道，并補充說他通過實施其他幾款工具找到了中間地帶，這些工具提供了公司當時所需的能力并解決了他希望減輕的風險。“市場上有這么多優秀的安全工具。我們看到演示就興奮，認為它們能解決我們所有的風險，而現實是我們很難獲得所有想要的預算，所以部分工作是弄清楚什么可行。”他說，“我本更希望擁有能為我解決一切的‘凱迪拉克’，但我們解決了特定于我們環境的風險，并且價格更低。”

4. 承擔更多風險以促進創新

創新，特別是圍繞新興技術(如自主式AI)的創新，會引入風險——特別是如果創新是在沒有積極安全參與的情況下進行的，這種情況今天仍然存在，尤其是在AI領域，這造成了許多CISO尚未準備好的安全風險。

“業務的創收部分在驅動決策;這不是五五開的事，不會因為‘CISO說我們不能做，因為有風險’就不做。”MorganFranklin的Allen說，“業務會說，‘自己解決，因為我們要做。’”但這并不意味著CISO無能為力，他解釋說，他們仍然有能力——也有義務——“清楚地闡述業務想要做的安全顧慮、陷阱和缺點。”他們只需要在業務背景下闡述安全評估，“并提出一個業務認為能促進增長和他們想做的事情的解決方案。”

許多人(但遠非全部)正在這樣做。《LevelBlue 2025年未來報告：網絡彈性與業務影響》發現，61%的受訪CISO表示，他們的企業“因為采取適應性方法，可以在創新上承擔更多風險”——這一比例在自認為是“網絡彈性組織”的CISO中上升至79%。

5. 以業務速度確保安全

同樣，CISO經常需要平衡業務希望的速度與安全較慢的節奏，科技公司Benifex的信息安全負責人Simon Backwell說，他是ISACA新興趨勢工作組的成員。他說，業務和安全在速度能力上幾乎不匹配。專家表示，業務還可以選擇迭代創新，但CISO通常必須滿足合規法規和安全框架的要求，這些要求不允許同樣的迭代方法。此外，業務團隊在啟動新舉措時通常會獲得大量資源來資助專門團隊，但安全團隊則不會。“安全可能正在處理其他20件事，有人希望安全現在處理新事情，安全必須決定然后放棄什么以騰出空間。”他補充道。

正如他們在試圖找出什么可行時一樣，CISO可以通過與業務保持一致，特別是通過將安全早期融入業務舉措來更好地跟上節奏，從而找到平衡點，Simpson說。“這樣做的CISO能夠擁抱速度。”他補充道。

6. 在面對眼前與未來時進行前瞻性投資

隨著CISO越來越少地被動應對而更多地采取戰略行動，他們能夠更好地看到業務機會和新興威脅的未來趨勢，但這讓CISO陷入了困境：是現在投資新的安全工具或舉措以領先一步——盡管還有其他需要立即關注的緊急需求——還是等到需求迫在眉睫時再投資?

Pendo的Kesler不得不面對這一困境。他確定，鑒于公司的戰略計劃，他最終需要加強公司對分布式拒絕服務(DDoS)攻擊的防御——但當時DDoS攻擊并不是一個重大威脅。“我們預見這將是對我們的一個威脅，但我們決定將其推遲。”他說，并指出他不得不做出艱難選擇，專注于解決最緊迫的風險，同時知道他可以在安全路線圖的后期解決DDoS攻擊風險的上升。

7. 確保訪問而不妨礙用戶體驗

任何經驗豐富的CISO都會一再遇到的另一個長期存在的權衡：在安全機制與它們給用戶體驗帶來的摩擦之間找到正確的平衡，但如今，隨著客戶和員工體驗至關重要，以及信息竊取者增多和惡意行為者越來越多地濫用特權訪問，這一權衡再次受到關注。

Kesler在之前擔任一家醫療保健組織的安全負責人時，就不得不做出這樣的權衡，當時他實施了多因素認證。他說，他的執行同事知道MFA的價值，但也擔心它會增加訪問應用程序的額外時間。“我們認識到，我們必須聰明地決定何時以及如何要求人們使用第二因素。”Kesler解釋道，“我們決定不能每次他們訪問計算機時都要求，因為我們的醫生和護士整天在設備和患者之間頻繁移動，我們不能要求他們每五分鐘重新認證一次。在流程中，分鐘和秒都很重要。”

因此，安全和業務共同決定，僅要求現場用戶第一天首次訪問時進行MFA，“這樣他們就不會一整天都被不斷要求進行第二因素認證。”Kesler說。

8. 在面對重大(且頻繁)權衡時堅守崗位

或許CISO可能做出的最艱難權衡之一是，即使他們做出了比期望更多的權衡，也選擇堅守崗位，Allen說，這種情況經常發生。

“CISO會感到沮喪，因為他們覺得自己是安全方面的主題專家，如果他們認為需要的事情沒有完成，如果沒有一致意見，如果這是一場持續的戰斗，他們可能會想要離開。”Allen說。有些人離開了，有些人沒有，他補充道。“最終，CISO必須遵循業務的意愿。”Allen說，“如果這不可行，他們就離開;那些能夠適應的則能夠與之共事并長期堅守。”