首席信息安全官如何在组织中掌握更多权力 - 《华尔街日报》

Anthony Vance and Michelle Lowry

2022-12-05

许多首席信息安全官对被排除在战略决策之外表示沮丧。插图：乔恩·克劳斯许多首席信息安全官（CISO）似乎都面临着同样的困境：他们得不到应有的尊重。

尽管头衔中带有"首席"二字，且在日益数字化的经济中对企业安全起着关键作用，但他们通常不被视为董事会或高管层的平等成员。因此，他们经常被排除在战略决策之外。

“如果你不能参加CEO的班子会议，那你名字前的’首席’头衔就只是营销噱头，并非实权。“一位在标普500强企业担任CISO超过十年的前高管在接受采访时表示，该访谈是关于董事会如何监督网络安全的深度实地研究的一部分。

安全主管们表示，这种公信力的缺失具有破坏性，因为他们需要与高层管理团队合作，以确保网络安全保持优先地位，并使组织得到充分保护。

为促进与CISO的更多互动，美国证券交易委员会今年早些时候提出新规，要求上市公司必须说明是否设有CISO职位、CISO向谁汇报工作以及CISO与董事会会面的频率。美国联邦贸易委员会也通过了适用于金融机构的类似规定，将于明年生效。

我们的研究表明，这些规则只是第一步。我们发现许多安全主管对无法参与高层战略会议感到沮丧，除了提交年度报告外，与董事会几乎没有有意义的互动。一些人报告称被其他高管边缘化，甚至更糟的是，因为他们的工作与其他高管的优先事项相冲突而被解雇。具体来说，首席信息安全官（CISO）经常试图减缓技术部署以解决安全问题。正如一位安全主管所说：“高管们仍然认为[安全部门]是一个只会说‘不’的地方，他们把我视为‘说不博士’。”

首席信息安全官的不满程度可以从Ponemon研究所进行的一项全球调查中看出，其中51%的安全高管表示缺乏高管支持，53%的人声称高层领导不了解他们的角色，63%的人认为他们的预算不足。此外，64%的人报告称，他们在汇报层级上比CEO低三级或更多。因此，根据Nominet的另一项研究，首席信息安全官的平均任期仅为26个月左右，这并不令人惊讶。

然而，根据我们对首席信息安全官、董事以及为董事会提供咨询的网络安全顾问的采访，我们发现，首席信息安全官可以通过逐步但有意义的方式与董事会成员互动来提升他们的地位。如果他们能赢得董事们的支持，首席信息安全官很可能在高层管理团队中获得影响力，从而获得更多的权力和资源。

“突然间，我们的高管、CEO及其直接下属开始对网络安全表现出更大兴趣，因为董事会正在向他们提出质询。”一位首席信息安全官告诉我们。

以下是受访者提出的具体建议，帮助CISO成为高管层和董事会值得信赖的不可或缺的合作伙伴。

主动出击

受访者指出，太多CISO被动等待董事会传唤，这是个错误——年度汇报周期的时间窗口过于有限，无法充分讨论推进企业安全计划所需事项。CISO应主动寻找机会与董事保持全年互动。

他们建议的方式包括：

• 了解你的董事。 与每位董事任职企业或其他董事会成员企业的安全团队交流，洞悉他们的关注点和过往安全事件经历。这些洞察能帮助CISO制定更具共鸣的沟通策略。

• 在常规汇报周期外保持沟通。 经CEO许可后，当重大网络安全事件引发董事关注时，安全负责人可单独联系董事进行说明。这种主动沟通能让CISO在董事会质询前澄清事件与企业的关联性。

• 成为董事会的专属"极客顾问团”。 有顾问建议CISO可主动表示：“作为新任CISO，我想派团队成员为各位董事检查社交媒体账户安全"或"所有董事会成员是否都已启用双重认证？“这类看似琐碎的服务能让董事将CISO视为解决问题的专家，由此建立的信任将延伸至重大事项的决策中。

**• 为董事会成员提供“安全基础”培训课程。**许多董事可能愿意接受首席信息安全官（CISO）设计的培训以提高他们的网络安全智商，特别是如果这些培训与定期报告同步进行。

清晰沟通

除了更频繁地与董事会互动外，首席信息安全官还必须用董事们能理解的语言进行交流。这意味着要传达安全计划如何与业务重点保持一致。例如，“这个风险重要吗？”应该始终放在“它可能如何损害公司？”的背景下讨论。

我们听到的其他建议包括：

**• 避免提供过于详细的细节。**典型的行业威胁报告充满了统计数据，但这种详细程度通常不是董事会想要的。这是因为他们在治理层面而非操作层面运作。一位首席信息安全官指出：“我花了很长时间才意识到，‘好吧，董事会并不关心我的漏洞管理项目。他们真的不关心。’”相反，董事会想知道的是：安全计划是否在控制之中？它是否在进步？首席信息安全官是否实现了其路线图上的目标？

• 不要利用恐惧作为杠杆。避免使用恐惧来吸引董事会的注意力——例如，通过描述最坏的可能结果。相反，通过理性、冷静的讨论，在董事会中培养对网络安全风险以及您的团队如何评估和消除这些威胁的更深入理解。

良性循环

通过有目的和主动的参与，董事会可以在与高层管理人员出现分歧或冲突时，将其力量借给安全团队。一位安全主管告诉我们一个经历，其中一位高管决定忽视首席信息安全官对产品过早发布的担忧，而是“接受风险”。首席信息安全官向董事会成员提出了同样的问题，董事会成员告诉高管：“我们不在乎你的发布时间表。去修复漏洞。”

当董事会站在安全主管一边时，这向高管层传递了一个强有力的信息。这位信息安全官反思道，在董事会就此问题支持他后，他在高管层中的角色得到了提升。“其他高管突然意识到，我并不只是困在自己那个技术小圈子里。作为信息安全官，我可以通过更广阔的视角来[推动]公司的长期价值。”

万斯博士是弗吉尼亚理工大学的商业信息技术教授和英联邦网络安全计划研究员。劳里博士是弗吉尼亚理工大学的会计学助理教授。可通过[email protected]联系他们。

刊登于2022年12月7日印刷版，标题为《企业领导者对信息安全官缺乏尊重。本不必如此》。