信息安全重新定義首席安全官

近期，“300 萬年薪招不到勝任首席安全官” 的話題成為刷屏熱點。隨著信息安全事件頻繁、國家監管的加強，“首席安全官”（CSO），這一知名度并不高的職位，逐步得到更多關注。伴隨著身價持續暴增、職責不斷擴大，首席安全官自身也在經歷巨大的轉變。

一、首席安全官的起源和職能

“首席安全官”一詞主要用于描述機構中負責 IT安全的主管，信息時代下有的機構也將之稱為“首席信息安全官”（CISO），常常與首席技術官、首席安全官和首席數據官等技術領導職位并列。

但首席安全官職位在機構中常處于邊緣地位，在管理層中的發言權與首席信息官等高管完全不可同日而語。甚至由于其對業務發展的“掣肘”或“負面影響”，而被視為麻煩制造者。直到今天，多數機構一直沒有設立這一職位，在董事會為首席安全官設置席位，更是一種奢望。

當前，重大數據泄露與勒索攻擊日益頻繁，網絡安全防護合規需求日益加強，推動更多機構設立這一職位。同時，這一職位也被賦予更多職責與期望。首席安全官正在由諳熟安全技術與工具的領導，轉變為倡導安全文化、具備良好的溝通與領導能力，賦能業務發展的商業領導。首席安全官的職能與角色正在被重新定義。

1995 年，一名黑客闖入了花旗銀行的計算機系統，竊取了超過 1000 萬美元。隨后，信息安全專家斯蒂夫·凱茨（Steve Katz）加入花旗銀行，并被任命為首席信息安全官，被公認為全球第一個首席信息安全官。企業和機構從此引入了一個新職位，以應對維護技術基礎設施的信息和運營安全的不斷增長需求。在時任首席執行官的支持下，斯蒂夫幫助花旗銀行建立起了安全團隊，全球專兼職安全人員超過 600 人。

1999 年，美國通過“格雷姆 - 里奇 - 比利雷法案”(GLB Act)，即金融現代化法案，要求金融企業的董事會任命一名首席信息安全官，并每年讓首席信息安全官向董事會報告安全狀況。這一法案再次推動了首席信息安全官的設立與普及。

目前在上市公司中，我們會看到首席信息安全官（CISO）、首席安全官（CSO）或首席信息官（CIO）等不同的頭銜。很多人對這些技術領導職位之間的關系和職能劃分感到困惑。

實際上，首席信息安全官（CISO）、首席安全官（CSO）或首席信息官（CIO）三者存在著某種交叉關系。

作為最重要的 IT 負責人，首席信息官主要負責戰略 IT 投資、領導數字化轉型計劃、管理 IT 運營等。首席信息安全官則負責制定和實施機構的網絡安全計劃、與安全供應商合作、對員工進行安全培訓等。最初設立首席信息安全官這個職位是為了應對針對金融機構的網絡攻擊。在某些機構中，安全主管需要監督網絡安全政策，負責保護人員、產品和流程的安全，其職責大大超過“信息安全”的范疇，因而會被稱為首席安全官（CSO ）。

根據工作和性格類型，研究機構 Forrester 認為首席安全官可以分為六種類型：

• 變革型：通常“活力四射”，積極推動變革計劃，樂于推動實現扭轉的項目。
• 救火隊型：負責重建安全團隊，在后臺默默努力降低損失和應對公關危機，在動蕩中實現成長。
• 合規專家型：通常在監管嚴格的行業，諳熟監管機構和合規要求。
• 戰術 / 運營型：可以輕松應對技術復雜性的行動派。
• 穩定型：通常服務于不需要立即轉型的機構。
• 直面客戶的布道者：愿意成為網絡安全代言人，可以憑借自身魅力獲得支持。科技企業此類首席安全官較多。

二、首席安全官認可度有待提升

隨著信息技術的發展，越來越多的機構設立了首席安全官。根據調查，2018 年至 2019 年期間，擁有首席安全官的全球機構數量增加了 6%。根據 Gartner的數據，到 2025 年，40% 的公司將擁有一個由董事會成員監督的專門網絡安全委員會——今天這個數字是 10%。

出色的信息安全主管可以提升機構安全戰略，降低安全事件的負面影響。

但現實情況是：首席安全官并未獲得所需的資源和認可。

10 多年前，首席安全官還是職級較低的安全負責人，大部分工作內容可能是簡單的病毒查殺。今天，機構負責人在碰到網絡入侵問題時都要向首席安全官求助，要求實施安全響應，降低影響和經濟損失。

根據 Forrester 公司 2020 年的研究報告，只有13% 的首席安全官被認為是最高層管理人員，盡管這一數字已經遠遠高于幾年前的 5% 或 6%。這種狀況導致首席安全官很難擴大其在機構內的影響力。大多數受訪者（56%）承認：在機構管理層進行戰略決策時，并不會咨詢網絡安全團隊，或者咨詢得太晚。網絡安全也經常缺席職能部門的重要評估。約六成（58%）受訪者表示，在實施新技術時并未留出足夠的時間進行適當的網絡安全評估或監督。

首席安全官向誰直接匯報工作，這往往被視為判斷在機構地位的最簡單方式：如果向首席執行官（CEO）匯報，則表明該職位屬于高管；如果向財務、風險或合規部門報告，則意味著其不屬于高管之列。

自首席安全官職位設立以來，大多數都向首席信息官 (CIO) 匯報工作，目前多數機構仍是這種情況。這種架構有其優點：首席信息官是最了解網絡安全問題的高管，并且大部分網絡安全支出都與 IT 有關。

但這種設置也帶來多種內在沖突：安全負責人與技術負責人并沒有處于平等地位，首席安全官無權從安全角度影響首席信息官推動但存在安全問題的創新項目；此外，如果首席信息官不得不減少企業 IT 支出，重要的安全項目往往會首當其沖。

首席信息官與首席安全官之間有著諸多不同：首席信息官關注確保使用正確的數字工具，最大限度提高效率，并不斷尋找和使用更好的數字技術。首席安全官則負責保護數據安全性、完整性；首席信息官往往是是經驗豐富的職場老手和領導者，而首席安全官更年輕、更專業。首席信息官主要是考慮 IT 相關的工作，首席安全官則需要領導團隊應對實時威脅和緩解攻擊，構建安全架構與開展基礎設施保護，實施和管理安全策略，以及開展安全意識培訓和建設安全文化。向首席信息官匯報，可能會令首席安全官專注于技術解決方案，而犧牲了更全面的安全視角和思考。

網絡安全在機構中的重要性日漸提升，成為作出任何重大決策前都需要考慮的第一因素，這也進一步影響了首席信息官與首席安全官的關系。

為了將首席安全官的職位獨立出來，美國紐約市在 2017 年設立了“網絡安全指揮部”，負責制定信息安全政策和標準、開展網絡防御和應急響應，以及提供網絡防御和風險管理指導。負責領導這一部門的紐約市首席安全官，由原來的向 CIO 匯報，改為直接向第一副市長匯報。這一設置提高了紐約市各部門對網絡安全的認知，同時為紐約各相關機構打造了更加便于溝通聯系的中心點。

在專業的安全人士看來，對于金融、醫療、公共事業等對網絡安全具有嚴重依賴的行業，直接向諸如 CEO此類的最高業務領導匯報工作可能是最有效的架構，這有助于安全主管獲取所需的影響力和支持。一旦遭受網絡攻擊或出現數據泄露，首席安全官與 CEO 直接溝通，可以加快決策流程，更快地解決網絡安全問題。

近年來，已經出現了將安全治理與安全運營分離的趨勢。將基礎運營職責轉給其他主管，首席安全官可以更多關注治理和戰略工作，真正承擔起安全治理的角色。

三、高危職位：流動率高得驚人

與其他技術主管相比，首席安全官的流動率仍然高得驚人。根據 Cybersecurity Ventures 對財富 500 強的統計，大約 24% 的首席安全官的任職時間僅僅為 1年。而根據 ZDNet 的統計數據，首席安全官的平均任期僅為 26 個月。與此相對照的是，美國前 1000 家大型公司 CIO 的平均任期為 54 個月。

傳統觀點認為，首席安全官離職的主要原因，是他們往往成為數據泄露事件的替罪羊。在 IBM 的調查中，近一半的受訪者認為 CISO 是對任何數據泄露“最負責任”的人。因此，在一些知名的安全事件被披露后，均出現安全高管遭解職的現象，包括第一資本、Equifax、優步、臉書、塔吉特百貨（Target）、摩根大通和舊金山州立大學等。因安全事件導致首席安全官被解雇的真實數量還有待統計，因為大部分安全事件都會低調處理，更多細節不會被披露。

但有的時候，對首席安全官來說，發生安全事件可能是一件好事。事件會促使企業負責人開始重視安全工作，安全團隊會獲得更多的資源和支持。

但首席安全官面臨的職業倦怠、工作與生活的平衡、不斷增加的壓力、持續惡化的網絡環境、人際關系，都讓其每天面臨巨大的挑戰，而很容易選擇離職。

數據顯示，工作壓力對首席安全官人群造成了巨大負面影響，甚至引發了精神和身體健康問題、人際關系問題，在某些情況下導致職業倦怠，平均在 26個月任期之后，首席安全官就選擇會選擇新工作。

安全公司 Nominet 對 800 位首席安全官、企業高管進行了調查，得出以下數據：88％的首席安全官稱面臨“中度或極大壓力”；48％的首席安全官表示，工作壓力對心理健康造成了不利影響。現階段的首席安全官仍然普遍遭遇安全預算低、工作時間長、缺乏足夠權力等問題，面臨的壓力持續不斷。

首席安全官也會因為積極的因素而選擇離開，比如，離職實現經濟回報和其他職業空間的提升。作為炙手可熱的人選，安全主管獲得的新工作機會遠超其他高管。與網絡安全事件可能造成的巨大經濟損失與合規風險相比，首席安全官個人的薪水就不算什么了。“300 萬年薪招不到勝任首席安全官”的現象出現，代表著在巨大需求與人才匱乏之間的落差。

頻繁的離職率對安全團隊帶來負面影響，就類似專業運動隊教練的變化，可能會影響團隊的士氣和成績。因此，即使是“好的離職理由”也可能導致內部權力爭奪和增加安全團隊組織的不穩定性。

四、不斷轉變：從風險防御到業務賦能

從 1995 到現在的 20 多年來，首席安全官的職責與要求也在不斷發生變化。

作為全球首位首席安全官，斯蒂夫從 1995 年到2001 年在花旗公司任職六年。與斯蒂夫當年面臨的情況相比，今天的世界已經大不相同，安全態勢已經發生了根本性變化。數字技術和互聯網滲透到業務的方方面面，導致攻擊面急劇擴大。同時，攻擊者掌握著更加先進的工具，網絡攻擊的技能顯著增長。

20 年前，首席安全官通常只需具有 IT 背景、掌握良好技術，知道哪種技術解決方案最能阻止攻擊者，而不必非常了解要保護的對象。

過去十年見證了首席安全官的職責從保護 IT 系統，到保護數據和信息的轉變。除了純粹的數字威脅，首席安全官的角色跨越到了物理安全領域，負責保護物聯網、工控和關鍵系統，甚至保護遠程操作人員。從安全運營、風險管理到合規要求，以及其他方面，首席安全官需要全面考慮和應對各種各樣的問題。

隨著數字化轉型的深入，首席安全官目前正面臨一大關鍵時刻：如果能夠支撐數字化轉型，首席安全官將真正成為企業發展戰略的重要推動者。根據《安永 2021 年首席執行官研究報告》的數字，68% 的首席執行官正規劃未來 12 個月內在數據和技術方面進行重大投資。

對首席安全官在數字化轉型中的角色而言，安全不再僅僅是風險問題，它與業務密切相關，事關企業的競爭力：打造穩定可靠的數字業務，無疑是在數字化日益加深的商業環境中贏得先機的保障。

其實，作為全球第一個首席安全官，斯蒂夫至少有一半的時間是承擔安全布道者角色：倡導網絡安全，將安全知識文化嵌入到業務線中。斯蒂夫這種將安全視為業務問題，而非技術問題的想法到現在來看都非常重要。定期與業務領導會面，建立一定程度的可信度，有助于首席安全官贏得更多的支持和合作。

這種對安全本身的認識變化，無疑會推動首席安全官的職責發生根本改變。首席安全官的職責范圍比以往任何時候都廣泛，必須將自己定位為業務推動者，需要熟悉業務基本活動，使用業務語言進行溝通。一個出色的首席安全官，除了具有技術背景和能力，還需要了解業務、掌握溝通能力，了解隱私保護，包括法律法規。

在復雜的網絡安全形勢下，首席安全官被賦予了太多期望與需求。首席安全官需要學會用商業語言來說明，安全團隊是企業的價值中心，以及風險管理戰略的重要組成部分，而不是成本中心。對一些只熱衷于技術的首席安全官來說，這樣可能有些強人所難，但卻可以有助于其獲得更多的話語權和資源。

長遠來看，隨著信息技術和數字社會的深入發展，首席安全官的職責可能還會發生變化。

五、艱難探索：呼喚國內首席安全官

自 2015 年開始，國內信息安全產業界就持續呼吁建立首席安全官制度，但至今為止，國內首席安全官制度尚未走向成熟。

根據 2018 年的《中國首席安全官（CSO）調研報告》，僅有 30.2% 的政企機構設立了 CSO 或相應級別崗位。近一半的機構，在當時從未考慮過設置這一崗位。

業內人士認為，首席安全官這一人群規模仍然相對較小，目前多存在于外資企業和機構，以及數據安全和隱私合規要求較高的互聯網公司中。在大型企業中雖然已經有專門負責信息安全的部門，但其管理者的角色尚未上升到首席安全官這個高度。

2021 年，我國的《數據安全法》《關鍵信息基礎設施安全保護條例》和《個人信息保護法》相繼落地實施，加上此前的《網絡安全法》、網絡安全等級保護制度，網絡安全法律體系日臻完善，給企業帶來的安全合規壓力劇增，相關處罰案例屢見不鮮。“滴滴出行”受網絡安全審查，眾多過度收集個人信息 App遭下架。網絡安全與隱私保護問題已經直接影響到企業業務運行，高薪尋求合格的信息安全負責人成為市場熱點，這必將推動更多機構重視并設立首席安全官崗位。

作為一個新興的群體，首席安全官的培養與成長顯然不會一蹴而就，也不能苛求候選人具備技術、溝通、管理、法律等面面俱到的專業素養，如前所述，首席安全官本身分為多個類型，機構選擇設置適合自己的信息安全主管才是最現實的選擇。

文│ 奇安信虎符智庫、安全內參負責人 李建平