网络安全官CISO的重要性与挑战

关键要点

许多企业尚未设立CISO，但在日益增长的网络威胁下，考虑增加这一职位的理由愈发明显。目前，仅有约45的美国企业设有CISO，招聘和保留CISO的成本是阻碍企业设立这一职位的主要原因。在没有CISO的情况下，许多组织依赖其他部门管理网络安全，例如IT或合规团队。有九个信号表明公司可能真正需要CISO。

随着网络攻击威胁的增加，许多美国首席执行官CEO失眠，但其中不足一半的公司设有网络安全官CISO，以确保公司的网络安全。根据2024年会议委员会的CEO调查，网络攻击被评为第二大地缘政治担忧，但根据Navisite的2021年调查，仅45的美国企业设有CISO。这一数据表明，仍有大量企业未设立这一重要职位。接下来我们将探讨许多公司未设CISO的原因、他们如何管理网络安全，并列出九个迹象，表明公司需要CISO。

为何部分企业不设CISO？

企业的规模在招聘CISO时至关重要。小型公司可能不需要或者说实际上无法吸引CISO。Fractional CISO公司的CEO罗布布莱克Rob Black表示：“想象一下，你是一家有200名员工的公司，业务线简单，真的需要一位全职CISO吗？他们每天会做什么？这可能没有意义。”

即便是一些较大企业，也可能选择不设CISO。布莱克还指出：“我们时常遇到没有CISO的1000人公司，以及甚至更大规模的企业。”

招聘和保留CISO的成本是阻碍一些企业设立该职位的主要因素。根据数据，全职CISO在美国的年薪平均高达565000美元，这还不包括填补这一职位所需的其他费用。

“如果是一家大公司，那他们需要在CISO的背后组建一个团队，包括建筑师、安全运营中心SOC和工程师。因此，资源成本自然会加大，”位于英国的Riviera Partners的首席合伙人Sistla Vaishnavi表示。

黑洞加速器最新版本

Navisite的调查还指出，招聘CISO面临另一个障碍：永无止境的技术人才短缺。“网络安全技能短缺连高层都受到了影响。企业重视并希望拥有网络安全领导力，但越来越难以找到和留住这些人，”Navisite的研究称。总体而言，全球网络人才的稀缺使许多企业不愿意花费大量时间和金钱去寻找CISO，最终可能收效甚微。

非CISO的网络安全方案

在没有CISO的企业中，谁在管理网络安全？Navisite的调查显示，60的公司依赖其他部门来管理网络安全，比如IT、管理层或合规人员。通常情况下，这涉及到首席信息官CIO。2023年的一份报告显示，CIO在没有CISO的公司中，最有可能负责管理网络安全。该报告估计，大约90的全职CIO公司，并未雇佣全职CISO。

对于一些CIO来说，管理网络安全与自身职责之间的平衡是一项艰巨的任务。InfoTech Research Group的网络安全与数据隐私顾问领袖卡梅伦史密斯Cameron Smith表示：“CIO有很多与安全无关的目标和职责，这些目标有时相互冲突。安全常常与某些生产力目标存在对立关系，但是这两个角色都应该旨在推动组织的成功。”

尽管将网络安全任务委派给组织内其他人员如CIO、CTO、IT主管或合规经理比雇佣CISO更快且更便宜，但Vaishnavi警告这种临时解决方案可能带来的潜在缺陷：

CIO或CTO可能缺乏CISO所具备的网络安全认证和专业知识。将网络安全加入到CIO或CT