Gartner网络安全领导者报告

就像他们的CIO同行一样，作为首席信息安全官(ciso)的信息安全专家也需要随着他们作为高管的角色而不断发展。

趋势:

• 将战术或“动手”网络安全工作或风险缓解委托给员工或其他业务领导者，以专注于信息风险安全规划的战略监督和实施。
  
• 随着首席信息安全官(CISO)和首席信息官(CIO)的高管们对数字技术的熟练程度不断提高，网络安全专家们正在不断发展，以协调更具战略性的分布式数字计划。

挑战:

• 信息风险和安全领导成为分布式的高管层责任，而不仅仅是IT管理的责任。这导致IT以外的高级领导者越来越多地雇佣自己的技术人才，并积极制定数字战略，以测试和扩展数字业务理念。
  
• 数字基金会的管理，包括跨领域平台、整合和人才协调。随着决策变得更加分布式，ciso和cio将不得不专注于架构和管理横切平台(例如，开发环境、客户体验、分析和集成能力)，并培养跨分布式融合团队的共同工作方式。
  

与许多关键业务功能一样，有效的网络安全专业人员需要与非it利益相关者保持牢固的关系。首席信息安全官的影响力需要得到理解、尊重和坚持，因此与负责决策和实施安全风险策略的管理层和高管建立融洽的关系至关重要。

虽然当前职位的经验、当前行业的经验和严格的行业法规是成功的首席信息安全官输出的关键，但一个组织的首席信息安全官的有效性可以由他们对以下四个结果的执行能力来决定:

1. 功能的领导。作为信息安全职能的领导者，CISO的领导对于实现安全目标至关重要。

2. 提供资讯保安服务。如今，几乎所有的业务功能都是由技术实现的，ciso不仅要保护他们的组织，还要通过交付支持业务目标的高质量服务来帮助组织实现目标。

3. 按比例缩小的治理。分布式决策已经扩大了网络风险专家需要支持的信息风险决策的数量和种类，因此成功的首席信息安全官需要能够扩展治理以满足需求并增加与信息安全建议的合作。

4. 企业的响应能力。除了确保治理之外，ciso还必须培养一种环境，使决策者能够理解和关心信息安全，并在他们的决策中考虑安全影响。他们必须有效地捍卫信息风险和网络安全的重要性。

安全领导者，包括CIO和CISO，需要领导他们的组织完成数字化转型，但重要的是，还需要在整个过程中交付价值。为企业提供价值的关键包括:

• 通过与业务领导者/执行人员/非it决策者的协作，识别并定义组织对风险的偏好
  
• 持续推动有关不断发展的数字环境的业务讨论，以领先于潜在威胁
  
• 确保业务决策者了解组织当前和潜在的未来安全风险
  
• 积极参与新兴技术的采购、实施和扩展
  
• 设计和实施战略继任计划
  
• 将战术活动委派给员工或其他利益相关者，以重新分配他们自己的时间来进行战略规划