随着计算机网络技术的高速发展，一个企业的安全状况逐渐成为成功与否的重要因素。随着网络安全重要性的日益增强，首席信息安全官这一角色，与其职业道路，也在不断演变。

Forrester公司最近一份题为“选择成为2018年首席信息安全官还是选择灭亡”的报告强调，首席信息安全官的角色正在向专于变更管理与过程监督的业务经理转变。

过去几年里，许多大公司深受数据泄露之苦，这使得现代首席信息安全官的责任愈发重大。数据泄密会对企业造成巨大的持续性影响，包括收入损失与企业名誉损害。

关键问题是，与众多第三方服务和应用的交互，导致现代企业的受攻击面变大。例如，社交网络、物联网和云计算正不断扩大企业的暴露面，网络威胁的复杂度也在快速上升。

正如报告所述，安全风险需要仔细评估，并努力降低。「企业领导人无法再对信息和网络威胁视而不见。不幸的是，当他们向安全风险团队求助时，得到的答案几乎无法理解。」

一个不断变化的角色

随着科技在现代商业中的迅速扩散，网络攻击亦不断变化，首席信息安全官（CISO）的技能也需要因时而变，掌握不断发展的商业技能与关系也已成为他们的责任。信息安全职业道路的改变也包括与业务和客户相关的新领域，比如说隐私和规范等。

传统意义上，CISO 更趋向于注重科技，但是角色的变革要求他们学会其他企业职能，例如金融决策和沟通交流。“角色变革带来的新责任意味着 CISO 的职业道路将非常不同。他们将不得不决定是继续从事技术还是丰富必要的商业技能以便使保住工作，并与新的公司结构与时俱进。”该报告指出。

新的信息安全职业道路对于造就新一代的安全领导者是必需的。信息对企业的重要性会不断加深，现代 CISO 也需要对网络安全风险和个人隐私问题有更深刻的认识。

信息合规问题的各个方面都将受到 CISO 的管辖。随着企业与第三方生态系统的交互不断深化，企业讲面临更加复杂的环境，信息技术的合规问题也将成为安全高管的另一严峻挑战。CISO 必须促进企业从各个方面收集和管理数据、实施适当的安全控制和授权机制。

首席信息安全官的明天

正如 Forrester 的报告所述，CISO 必须通过自我提升计划来跟上时代，该计划应包括涵盖技术与非技术层面的话题以达到持续训练的目的。CISO 必须理解企业的商业模式，以及如何调整安全措施以适应企业的商业目标。只有当这些专业人士们对市场及其发展有了深刻的认识，上述目标才能实现。这些新的领导人必须能与商业伙伴建立稳固的关系，并找出能促进企业发展、帮助实现企业目标的盟友。

新的 CISO 必须在企业内部传播新的观点和倡议，在提高企业安全的同时，努力寻找增加企业收入和客户满意度的商业机会。

信息安全职业道路已经走到了一个十字路口。未来的 CISO 是在公司里支持技术部门，还是成为用于面对新挑战、掌握多学科技能和责任的业务经理人。

机会之窗正在关闭，做出选择的时刻已经到来，是成为更加注重商业问题的领导还是继续关注于信息技术，该是做出选择的时候了。

原文地址：https://www.veracode.com/blog/2015/10/new-information-security-career-path-cisos-sw

原文作者 Pierluigi Paganini，本文由 OneASP 工程师翻译整理。如今，多样化的攻击手段层出不穷，传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术，可以为软件产品提供精准的实时保护，使其免受漏洞所累。想技术文章，请访问 OneAPM 官方技术博客。 本文转自 OneAPM 官方博客