在网络安全领域,CISO的角色至关重要,然而,并非所有CISO都千篇一律,他们可以根据角色期望、优势和经验被分为不同类型。选择合适的CISO类型对于企业的安全和发展至关重要。
当一家初创公司的管理层请安全领导者乔治·格乔(George Gerchow)就选择CISO提供建议时,格乔建议寻找一位具备扩展安全项目、处理事件和与客户互动技能的安全主管。
然而,该公司却聘请了一位技术型极强的CISO,这位CISO的工作方式就像格乔曾经那样亲力亲为,但在安全事件发生时却缺乏安抚客户所需的领导力。这种技能缺陷让CEO不得不匆忙填补空缺,而客户也感到不满。
格乔(现为IANS Research的教职工,兼MongoDB的临时CISO/信任负责人)表示,这个故事说明这位CISO并不适合这个角色。这个轶事和格乔的观察突出了这样一个观点:领导者,包括广泛意义上的企业高管,特别是CISO,可以分为不同类型。
这一观点的支持者表示,安全高管应该知道自己属于哪种类型的CISO,以及他们希望成为哪种类型的CISO,这样他们才能将自己的才能与当前任务相匹配,从而提高在角色中成功的几率。
“你必须让自己处于成功的境地。”格乔说道。
那么,究竟有多少种类型的CISO呢?
IANS Research和Artico Search发布的《2025年CISO现状报告》提出了三种CISO类型:战略型、功能型和战术型。
其他人则列出了更长、更多样化的CISO类型清单。例如,Forrester Research多年来在多份报告中探讨了CISO类型的概念。其在2024年12月发布的最佳实践报告《CISO的未来》中,列出了六种类型:
- 变革型,如项目构建者或扭转局势者。
- 运营型,通常是职业生涯早期的CISO,他们更接近技术,并在中小型公司工作,仍承担一些技术职责。
- 合规型,即通常在高度监管行业中的风险专家。
- 稳态型CISO,与变革型相反,他们保持一切平稳运行。
- 客户导向型CISO,通常出现在技术供应商、网络安全公司和B2B领域,他们需要谈论对公司产品的信任。
- 事后处理型CISO,即在事件发生后空降入职,利用其事后处理的经验帮助企业度过难关,然后再转战其他类似任务。
一些CISO可以在类型之间转变
Forrester副总裁、首席分析师兼报告合著者杰夫·波拉德(Jeff Pollard)表示,研究表明,CISO职位在所需技能集和经验方面具有“明显的区别,这确实有助于明确公司在该职位上想要什么样的人才”。
波拉德表示,这些类别并不是绝对的,因为安全高管通常具备不止一种类型的特质。此外,他说,随着职位的演变、职业生涯的推进和个人需求的变化,他们经常会在一种主导类型与另一种之间转变。
他举了一个CISO的例子,该CISO在职业生涯的大部分时间里都属于变革型,但后来由于各种原因(包括个人希望限制与工作相关的旅行)而成为了稳态型CISO。
其他人也提出了自己对CISO身份的分类。
非营利网络安全培训和认证组织ISC2的CISO乔恩·弗朗斯(Jon France)表示,“就像有不同类型的CEO一样,CISO也确实有不同类型。”他看到一些CISO更具创业精神和成长导向,这通常使他们选择在初创公司和快速成长的小公司工作。
他将其他人描述为稳态型CISO,在合规需求适中的组织中领导相对成熟的安全职能。还有一些被他认定为“恰到好处型”CISO,“被请来解决问题”。
他还谈到了作为传道者的CISO,“总是展望未来”,并表示他们通常活跃在咨询界、新兴技术领域和演讲舞台上。
弗朗斯称自己部分属于技术专家类型,因为他是从IT领域一路成长起来的,同时他也是一位有远见的CISO,因为他被期望“对量子等将对我们的行业意味着什么有一个观点”。
随着企业需求的变化,CISO也必须随之变化
当被问及自己的类型时,非营利专业和IT认证协会CompTIA的CISO兰迪·格罗斯(Randy Gross)认为自己属于“务实型”。“我的工作是消除不必要的技术风险,以便[业务]能够自由运营。我制定安全解决方案,以让企业蓬勃发展,”他解释道。
他还使用了“技术型CISO”一词,表示“我必须了解我们想要使用的不同技术的优势是什么。”并且他用“顾问型”来描述自己,指出他必须为企业提供“这是风险,这是我建议的做法,这是我们前进的方式”。
此外,他指出了自己角色的“变革性”组成部分,即他正带领安全部门从爬行、行走到奔跑的模式发展。
格罗斯表示,他混合的CISO类型反映了典型CISO角色在不断演变和扩展。“很少看到CISO只属于一个类别。”他补充道。
尽管如此,格罗斯强调,尽管对CISO的需求可能因组织而异,但从一个组织到另一个组织,该职位的相似之处多于不同之处。所有CISO,无论他们可能被如何定义,都需要具备大致相同的基础商业敏锐度和技术知识,才能在安全主管的职位上取得成功。
“这与其他高管职位相似,”他说。“如果你不了解业务、其目标和轨迹,作为高管,你将会失败。”
事实上,CISO职位之间的这些共性让一些人对CISO类型的概念持反对意见。
专业CISO协会(PAC)的联合创始人兼常驻CISO泰森·科普琴斯基(Tyson Kopczynski)对此持怀疑态度。
“我们在PAC的观点是,这个职位实际上需要标准化。而不是我们现在看到的这种高度碎片化的混乱局面。相反,CISO需要达到一定的标准才能获得认可。这非常像医生或律师。虽然可能会有专业化(就像专利律师一样),但所有CISO都应该具备相同的基础技能集,而不是我们今天所看到的这样。”他说。
将CISO类型与角色相匹配
尽管如此,波拉德等人认为,不仅存在CISO类型,而且安全高管了解自己属于哪一种类型也很重要。
波拉德指出了一位安全领导者,他现在是自己第五家初创公司的CISO,“因为他喜欢构建项目,喜欢与开发人员在一起解决问题。他知道自己在其他角色中会感到无聊。”
他补充道:“知道自己属于哪种类型,以及自己即将担任的角色是自己关心的事情,这非常重要,这能让你充满活力。”
资深安全领导者海伦·巴顿(Helen Patton)也持类似观点。“CISO并不是一个同质群体。在‘CISO’这个头衔下,有许多子类型,”她在就这一主题撰写的文章中写道。
巴顿(前CISO,现任思科网络安全执行顾问)表示,多种因素会影响公司可能需要哪种类型的CISO。一个拥有庞大复杂技术栈的大型老牌公司,与一个快速增长和变化的云原生初创公司,所需要的人员在技能、经验和领导力品质上会有所不同。金融服务、医疗保健或公用事业等受到严格监管的行业,需要深谙如何应对所有合规要求的人员。
与其他人一样,她说这些分类在一定程度上是渗透的,允许从一个转变到另一个。
巴顿表示,她已经从传统上领导企业安全团队的CISO角色,转变为思科负责产品安全的CISO,负责产品的安全性,现在又转变为现场CISO,与公司的销售组织合作,帮助客户将思科产品融入其技术栈中。
CISO的起点可以指引他们的职业道路
Executive Advisors Group的首席执行官、CISO和执行顾问,兼ISACA圣地亚哥分会董事会成员马特·斯坦珀(Matt Stamper)补充说,专业人士踏上CISO职位的道路也会影响他们倾向于成为哪种类型的CISO。
他说,不同的职业道路会塑造出不同类型的高管。那些通过技术角色晋升的人通常保留了技术倾向,而那些通过治理和风险职能晋升的人则通常倾向于合规导向的角色。
斯坦珀、巴顿和其他人都承认,大多数CISO并不会轻易给自己贴上标签。他们不会将自己定义为某一种类型的CISO。
但他们也不必如此。
然而,同时他们也表示,对于安全专业人士来说,就像其他角色的领导者一样,思考自己的优势、才能等是很重要的,这样他们才能理解哪些角色最适合自己所能提供的。
“CISO应该并且倾向于依靠自己的天赋,”Tiro Security的虚拟CISO兼首席技术官杰奈·马林科维奇(Jenai Marinkovic)说道,她还是IT治理协会ISACA新兴趋势工作组的成员。
马林科维奇认为,她的“天赋更多在于战略基础设施,以及理解未来、业务将走向何方,然后确定架构需要如何发展”。
与格乔一样,IANS教职工兼Artico Search网络安全实践合作伙伴史蒂文·马塔诺(Steven Martano)也见证过CISO与角色不匹配的情况。他举了一个公司的例子,该公司有一位战术型、稳态型CISO,但发现自己被拥有由变革型CISO领导的敏捷安全项目的竞争对手所超越。
“这就是为什么公司和CISO对自己在这些角色中的定位保持诚实很重要。”马塔诺说道。