這篇是2025年 1月 14日在Forbes上刊載,Tony Bradley寫的” The Evolving Role Of The CISO”。
資安長角色持續演變,而且在最近幾年經歷到巨大轉變。雖然過去曾視其為網絡安全守門人,但現在資安長已被視為是策略營運伙伴。IANS Research與Artico Search的《2025年資安長狀態報告》(2025 State of the CISO Report)強調,這個轉型正重新塑造組織如何認知安全主管,以及這些主管如何面對其變化中的責任。
資安長角色範圍之變化
資安長責任正在擴張,超出網絡安全領域。資安長正在參與的領域—像企業風險管理、資訊科技監督,以及數位轉型。這些擴大的範圍反映了外界日益認識到—網絡安全不僅是技術問題,也是企業策略的基石。
對許多資安長而言,這個轉變會帶來機會—影響組織優先事項、貢獻更廣的企業目標。然而,它也會帶來挑戰,包括平衡這些擴張的責任以及維持健全安全架構之需求。
現代資安長的三個面貌
該報告依其組織影響力以及與高階主管接觸狀況,將資安長劃分為三個不同的類型。
1.策略性資安長(28%):這些主管善於接觸長字輩主管和影響董事會,將自己定位為關鍵策略伙伴。他們會較同業有更高的薪酬及工作滿意度。
2.功能性資安長(50%):雖然在與高階主管接觸或董事會議合上頗強,但對兩方而言因能見度不足,限制了他們推動全面影響力的能力。
3.戰術性資安長(22%)通常被視為技術實踐者,這些資安長在接觸高階主管和董事會時,會面對巨大的阻礙,限制了他們的影響力。
瞭解這些類型有助於組織認識到資安長面對的多重挑戰,並突顯在各環節內成長的機會。
長字輩主管和董事會議合的重要性
高階經理人的能見度以及董事會的議合,對於資安長要使網絡安全與企業策略一致而言十分關鍵。該報告顯示,僅47%的資安長會與其董事會每個月或每季接觸一次。能夠進行報告者,工作滿意度和職業晉升機會明顯較高。
為提高能見度,資安長應該:
*與董事會成員建立正式會議以外的關係。
*舉辦企業風險和機會方面的網絡安全討論。
*展現安全措施如何支持組織目標。
薪酬與職涯成長趨勢
儘管負擔了更廣的責任,但大多數資安長在薪酬上卻沒看到相應的成長。調查中僅3%受訪者會因責任範圍擴大而增加薪酬。然而,混合性的職位比如資安長/資訊長,或者風險長會要求更高的薪酬,顯示了這些職位的策略價值。
資安長的職涯新路徑包括像信任長(Chief Trust Officer)以及外部董事會成員,如此他們就可運用其專長推動企業營運上的信任和透明。
資安長面對的挑戰
雖然資安長職位之演變帶來新機會,但也帶來巨大挑戰:
*戰術性資安長難以接觸到管理階層,因此降低了他們的影響力。
*功能性資安長通常面對領域擴張,故給策略措施的時間有限。
*策略性資安長或許會被邀請參與會議,但發現自己被視為技術顧問,而非真正的企業伙伴。
要處理這些挑戰,需要對每個類型設計專屬的策略。比如,戰術性資安長可透過跨部門措施強化其能見度,而功能性資安長或許要注意授權,將時間投入到策略工作上。
資安長策略的未來
資安長的角色會持續演變。當組織日益仰賴數位創新,資安長在一些領域(比如人工智慧治理、併購安全及數位轉型)上可能會扮演核心角色。這些責任會進一步升高資安長職位的策略重要性。
此外,在外部董事會職位上資安長的需求預計也會成長,突顯了網絡安全在公司治理內的價值。
培育明日的策略領導人
從網路守門人邁向策略企業領導人的旅程,兼具挑戰與回報。一如《2025年資安長狀態報告》所示,接納其擴張角色並將安全措施和企業目標一致的資安長,可以推動巨大的組織影響力。對組織而言,在此轉型中支持資安長不只有效益—對長期成功而言也很關鍵。
藉由將網絡安全重新塑造成策略推手,今日的資安長正在定義其角色,並形塑企業的未來。對於準備好面對此挑戰安全主管而言,可能性一如他們所保衛的數位環境一樣廣闊。
資料來源:https://www.forbes.com/sites/tonybradley/2025/01/14/the-evolving-role-of-the-ciso/
沒有留言:
張貼留言