首位CISO、已故的史蒂夫·卡茨(Steve Katz)于1995年在花旗銀行(Citicorp)擔任CISO一職，此前俄羅斯黑客從該金融機構竊取了超過1000萬美元。三十年后的今天，這一相對新興的領導角色在很大程度上仍被誤解，而且相較于CFO等更為傳統和穩固的領導角色，其責任的不確定性更大。

因此，許多員工甚至高管并不完全了解所在企業的CISO的職責——這是許多CISO在履行企業主要職責時遇到的一個難題。

“CISO負責處理公司內無人愿意涉足的所有網絡安全相關事務，”YL Ventures公司CISO、合伙人兼網絡安全初創企業顧問安迪·埃利斯(Andy Ellis)表示。

“這聽起來有些陳詞濫調，但這就是對更長解釋的精煉概括，即CISO是CIO的另一半。2000年后，CIO基本上不再負責創新和治理，而是成為了削減成本者，”埃利斯說，“總得有人關心網絡安全，因為其他人都不管，因此，CISO的工作就是撿起那些本屬于其他人職責范圍內的網絡安全碎片。”

這一職位的隨意演變凸顯了CISO在同事和監管機構對其職責知之甚少時所面臨的問題，這種理解不足可能導致誤解、資源分配不當，甚至潛在的法律責任，正如許多人所認為的，美國證券交易委員會(SEC)對SolarWinds公司CISO蒂姆·布朗(Tim Brown)的過度牽連，就是基于對其職責的誤解而引發的一場長達數年、傷筋動骨的法律訴訟。

造成這種困惑的是，該職位的模糊性和多變性。盡管CISO職責繁重且頭銜聽起來像是高管級別，但大多數CISO的決策權仍不盡如人意，這進一步加劇了職責的不明確性。盡管如此，專家指出，CISO可以通過一些方式更好地定義自己的工作，并在企業內部和與外部利益相關者溝通時傳達這些信息。

那么，CISO究竟是做什么的呢?

定義CISO角色的一個根本問題是，該角色因企業而異，且取決于企業的網絡安全成熟度，此外，該職位的性質會隨時間變化。

在成熟度較低的企業中，CISO“往往具備較強的技術能力，”凱雷集團(Carlyle Group)前CISO、榮譽退休的貝薩尼·德盧德(Bethany DeLude)表示，“他們可能是企業中最強的安全工程師。這類CISO會想，‘讓我來滅火吧，讓我確保我們不被黑客攻擊，讓我把內部事務整理好。’”

另一方面，在成熟度較高的企業中，CISO則是“一位專注于戰略、業務關系、品牌建設以及思考網絡安全如何為企業創造價值的高管領導者，”德盧德說。這類CISO會思考，“我如何通過我的專業知識為這個企業創造價值?這就是我認為存在模糊性的原因，此外，同一企業中合適的CISO人選也會隨時間變化。”

CISO角色的不斷變化，以及威脅和風險管理策略的轉變，意味著確定CISO的具體職責幾乎是不可能的。“這是一個不斷演變的情況，每年都需要對CISO的角色進行重新分析，以確定，好吧，我需要做什么，”Cohesity公司現場CISO戴爾·“Z博士”·扎布里斯基(Dale “Dr. Z” Zabriskie)表示。

他補充道：“我們曾經歷過這樣一個階段，董事會、CEO或公司會指著CISO說，‘保護我們是你的職責。’現在，我們已經擺脫了那種階段，CISO能做的最好的事情就是與業務的各個層面建立聯系，從每個部門負責人那里了解并要求他們說明自己負責哪些數據和系統，然后，CISO可以根據可接受的風險確定最佳行動方案。”

對一些專家而言，這意味著CISO需要在更具體地定義自己的工作之前，先在企業內部摸索一番。“本質上，CISO有責任最終確定自己的職位描述，并根據風險、戰略以及實際存在的文化來設定期望。”Headway公司CISO蘇珊·蔣(Susan Chiang)表示。

蔣認為，對所有企業中的CISO而言，一個重要的共通點是，最終“使命是相同的，即無論你是在公司、政府還是非營利企業，都要降低風險，尤其是傳統安全方面的風險。”

盡管可能無法對CISO的職責形成一個恒定不變的定義，但如果存在一個標準定義，將有助于在企業內部理順關系。“如果明確CISO需要做什么以及界限在哪里，將減少摩擦。”Databricks公司現場CISO兼安全副總裁、卡內基梅隆大學教職員工奧馬爾·卡瓦賈(Omar Khawaja)表示。

僅憑“首席”之名，更添困惑

與其他聽起來像高管的頭銜一樣，如首席營銷官、首席營收官、首席技術官等，首席信息安全官聽起來也像是擁有廣泛決策能力的公司高管，但在大多數情況下，他們缺乏任何實際權力。

“有些CISO確實達到了公司高管的水平，無論他們的匯報關系如何，都會得到相應的對待。”卡瓦賈說。

“我見過有CISO在CEO之下四級，但他們被視為高管團隊的一等成員，”他補充道，“我也見過有CISO直接向CEO匯報，但他們幾乎沒有任何影響力和權力。因此，這與實際的匯報關系和企業結構關系不大，而更多地與個人的精神風貌、行為方式以及他們與CEO、董事會和同事建立關系的質量有關。”

埃利斯說：“公司里出現了許多聽起來像C級的高管頭銜，但實際上并非C級職位，首席安全官(CSO)是第一個，我認為首席信息官和首席營銷官是最后新加入高管層的，之后幾乎所有新出現的頭銜都不再是高管層的一部分，他們總是低一級。”

但埃利斯認為，鑒于網絡安全的重要性，CISO所占據的這一較低職位不會持續太久。“我認為，我們更有可能看到CISO的角色演變為類似首席信息官或首席技術官的角色。如果你看看如今財富500強之外的首席信息官在做什么，他們就是商品硬件和軟件即服務(SaaS)的采購員，那不是一個高管職位，但與CISO的職責結合起來，就是一個高管職位了。”

Headway公司的蔣認為，即使CISO不與首席信息官合并，他們也可能會獲得更多權力。“我們正在圍繞CISO的職責制定更多標準和規范，這在某種程度上是對CISO現在需要確保的事項的自然跟進，例如，被董事會指定為官員，因此在某些風險決策中享有與首席財務官同等的責任保險覆蓋。”

CISO如何傳達自己的工作內容

無論企業在網絡安全成熟度曲線上處于什么位置，或者CISO真正擁有多少高管權力，專家表示，有一些方法可以傳達CISO的職責，以便內部或外部利益相關者更清楚地了解他們的工作。

幾乎沒有什么標準文件可以幫助完成這項任務。網絡安全董事會顧問拉菲克·雷曼(Rafeeq Rehman)每年都會制作一份“CISO思維導圖”，這是一項視覺成就，概括了CISO的工作內容，但它很復雜，展示了任何一位CISO可能承擔的數百項職責。

“我不會和同行分享那份思維導圖，”蔣說，“那會讓他們不知所措。”

埃利斯制定了《理想化的CISO職位描述》，全面描述了CISO職責的復雜范圍，但是，很少有CISO承擔過這么高水平的職責。埃利斯說，他只知道大約100名符合理想化標準的CISO，“他們現在大多都入選了CISO名人堂。”他說。

蔣說，CISO不應分享這些復雜且專業的文件，而是應該“尋找從我們共同客戶的角度講述故事的方式”，例如，描繪他們在提供訪問或降低風險方面所做的工作。“這讓我們不再認為CISO是決策者，而他們幾乎從來都不是，他們是顧問、助手和推動者，在出現問題時出現。”

“CISO首先要學會用對方的語言說話，并確定他們的衡量標準，什么對他們最有利，”Z博士說，“確定對這個部門或這個辦公室重要的事項，以及你如何展示自己與之的相關性。”

埃利斯認為，CISO親自向客戶展示自己的工作至關重要。“你希望一切都是面對面的，”他說，“你希望與人交談，他們應該看到你做的工作，你不應該告訴他們，‘我們做了這件事。’他們應該看到你做了什么，以及你真正幫助其他人做了什么。”

此外，在企業內部進行溝通時，如果CISO能夠給予他人認可，他們的信息將更有分量、更令人難忘。“提及公司內其他人的所作所為保護了公司，”埃利斯說，“這個工程團隊剛剛為我們構建了一個出色的無縫多因素認證系統，這些才是你應該感謝的人，每個人都會愿意與你合作——只有那個感謝別人的人才會這樣。”