“傻瓜”是否属于企业CISO职位描述的一部分？

企业安全性任务很明确：保护系统，数据和人员免受网络威胁。安全负责人的角色还包括保护组织的品牌。 研究已经量化了数据事件的成本；但是，对形象，声誉和信任的影响是持久的，很难用风险陈述来表达。
安全领导者要负责什么？当出现问题时，安全领导者要负责什么？ 企业安全主管的角色压力很大。它需要跟上新的IT计划的安全需求。新项目需要进行风险评估并确定合适的团队技能才能应用。
IT技能短缺在企业网络安全中显而易见，并且继续对资源紧张的团队施加压力。在某些情况下，外包可能是唯一的选择。 部门领导的IT计划可能在没有任何安全监督的情况下启动，因此被称为Shadow IT。
一个对事后对“被搁置”的业务项目作出反应的安全团队将发现很难执行其安全性在整个组织中统一摆姿势。 与最终用户一起提高意识，以支持基本的网络卫生，应该是一个持续不断的过程，涉及组织的每个部门。每年的网络合规培训和所有形式的“监管”网络政策都会与最终用户产生摩擦。
一些组织甚至将基本的网络卫生与战略安全计划一起放在优先位置。 除了这些要求外，还需要与业务利益相关者有效地交流网络风险并跟上不断增长的工作量，现代安全领导者已经导致了许多人无法“脱离”工作，担心休假并无法正常工作的行为。他们认为自己的时间有限的环境。 参见相关：网络安全专业人员的倦怠和您的健康 当出现问题时，可以将CISO的标准保持在比同行更高的水平上。
如果销售团队未能实现四分之一的目标，那么领导者会放手吗？这种现实证明了安全领导者的重要性，同时也提出了一个问题，“这公平吗？” 主持人乔治·里塔斯（George Rettas）和CNBC网络安全记者凯特·法兹尼（Kate Fazzini）在7号任务电台的播客中，讨论了大型企业CISO对其进行的内部和公开审查。 Rettas说：“我们都会度过糟糕的一天。” Fazzini补充说：“我不知道没有发生太多内部冲突的单个违规事件。” 当他们遇到痛苦的真相时，Rettas和Fazzini之间的对话达到了顶峰。 Rettas说，CISO“正在努力确保非常不完善的基础设施和网络的安全”。 “您认为这些CISO被用作这里的堕落者吗？” Fazzini说：“我认为他们肯定会被当成一个秋天家伙。”
“在某个时候，没有CISO不会违反协议的。” 许多安全主管已经转向幽默来应对这种压力。在RSA期间，一位CISO询问我是否听说过CISO现在代表的缩写？他打趣道：“首席牺牲官。”
Fazzini进一步指出，Equifax如何不仅取代了CISO，而且在发生数据事件后还改变了CEO，CIO和其他许多人的角色。新的CISO不仅具有丰富的企业安全经验，而且以能够说出首席执行官和董事会的语言而闻名。 该观察结果支持需要重新检查CISO的定义，并意识到它可能具有多种角色。
请参阅相关内容：网络安全的5个压力最大的方面 CISO的客户流失率相对较高。 Nominet在2019年11月对800名英国和美国CISO进行的研究发现，平均生命周期现在只有26个月。工作诱发的压力影响了从关系到CISO的心理健康的所有方面。最糟糕的情况是由于倦怠而导致职业生涯缩短。 网络安全中心的这种认识使我们改变了对问题和持续对话的方法。
随着从业者的压力和焦虑日益加深，也许CISO的定义正在不断发展，不应被视为一个单一的定义。目的。 随着企业的不断发展和数字化，我们观察到市场动态，CISO正在采​​用战略或战术这两种方法（或角色）之一。 随着组织的发展，趋势越来越趋向于更多的战略机会。
技术要求不会降低；技术要求不会降低。但是，未来的需求并不大。 两位CISO角色都不能为持续学习的需求辩解。无论是否有机会获得更多的技术或业务知识，组织都希望安全领导者可以与公司一起成长。
为了克服组织和安全领导者之间的当前行为，必须进行公开讨论。每个组织的需求都是独特的。了解组织的安全计划的成熟度以及进一步提高安全状况的必要性。
CISO与组织的协调不是千篇一律的过程，需要双方共同努力以确保每个人的成功。 请参阅相关内容：成功企业CISO的六项特质。