2025-12-22 03:57:13 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 创新型CISO正寻求以人为核心推动安全转型，借助AI夺回时间与战略空间。文章提出三大主题：解决战术遗留问题转向战略远见，构建统一集成的防御体系打破孤岛，以及将安全作为以人为本的业务推动者。未来CISO将从防御者转变为AI赋能的战略业务合作伙伴，通过人才培养和人际互动推动业务发展。 综合评分： 85 文章分类： 安全建设,安全运营,AI安全,安全意识,安全培训

cover_image

创新型CISO的必做清单：以“人”为核心推动转型

原创

Lior Div

信息安全D1net

2025年12月19日 16:25 北京

点击上方“蓝色字体”，选择 “设为星标”

关键讯息，D1时间送达！

企业网D1net

在持续升级的网络威胁下，CISO正寻求摆脱被动救火模式，借助AI夺回时间与战略空间。真正的转变不在于增加安全工具，而是重构安全职能本身：清理长期遗留的战术问题，夯实基础，打破安全、合规与隐私之间的孤岛，构建统一、自动化的风险视图，以业务风险语言与董事会对话。AI负责关联数据、提升效率，而人类专注于信任、协作与人才培养。未来的CISO将不再只是防御者，而是以人为本、AI赋能的战略业务合作伙伴。

如今的CISO希望减少救火式的工作，增加影响力，借助AI摆脱繁杂事务，凝聚团队力量，并将安全工作的重心重新聚焦于人员和企业价值。

随便问一位CISO是什么让他们彻夜难眠，你很可能会得到一份熟悉的、持续存在的威胁清单：勒索软件、具备AI能力的国家级行为者，以及在不断扩大的数字足迹中隐藏的漏洞被野外利用的情况。多年来，这一角色一直处于持续警戒状态，以被动应对的姿态抵御无休止的围攻。

如今，在我与CISO的几乎每一次对话中，我都会问他们，如果能夺回25%的时间，他们会做什么，我听到的不是想要更多热带度假的愿望，相反，他们的回答形成了一份以创新和变革为重点的新愿望清单。

受AI的强大能力和潜力所激励，CISO们列出的清单描绘了一幅安全领域新常态的图景，这种新常态是主动的、深度以人为本且自主的，这并非是在安全架构中再添加一个闪烁的盒子，而是一份实用——有时甚至是意义深远的——重新设计安全职能本身的路线图，这关乎从根本上转变安全创造价值的模式，从成本中心转变为真正推动业务发展的创新中心。

根据我的对话内容，以下是体现创新型CISO新集体愿望清单的三大主题。

从战术性遗留问题到战略性远见

在CISO能够展望未来之前，他们必须先稳固脚下的根基。每位CISO清单上的首要主题，都是渴望建立一个卓越的基础，以实现真正主动的战略，这首先要解决消耗大量时间的战术性遗留问题。领导者们渴望最终解决日常事务问题——完成那些完成度已达90%却仍遗留10%的项目。

在安全领域，最后那10%绝非微不足道，它包括未打补丁的系统、配置错误或被忽视的云资产，以及其他攻击者可能轻易利用的漏洞，这些未完成的项目不仅代表着持续存在的安全缺口，还意味着预算和资源的巨大浪费，CISO们迫切希望夺回这些资源。

这项基础性工作延伸至整个生态系统，领导者们希望有时间系统地分析所有供应商评估。在API相互连接、存在第三方依赖关系的时代，CISO的防御能力取决于其最薄弱的供应商，他们不断思考下一个Log4j事件(一种安全漏洞事件)的可能性，并深知如果没有妥善处理供应链风险，他们的整个战略都将岌岌可危。

最后，清理遗留问题意味着完善审计中的每一个行动计划和里程碑(POAM)，这不仅仅是简单的打勾确认，而是展示机构诚信，它向董事会和监管机构证明，安全是一个成熟、负责且持续的过程，而不仅仅是在收到不良报告后进行的永无止境的打地鼠游戏。

通过清理遗留问题和弥补现有差距，他们可以将注意力转向更大的格局：预防性安全，在攻击发生前就阻止它们，这种基础性的卓越表现赋予了他们可信度和思考空间，使他们能够将关键时间用于风险计算，例如，分析更快的检测能力是否允许他们调整或减少特定的预防性控制措施。

这也使他们能够以商业接受度和风险容忍度为框架，与董事会进行更有效的战略沟通。

构建统一、集成的防御体系

愿望清单上的第二个主要主题是打破长期困扰安全组织的孤岛现象，应用安全、云安全以及治理、风险和合规团队各自使用不同的电子表格和工具，且往往目标各异。这种模式效率低下、成本高昂，并留下了大量可被攻击者利用的漏洞。

CISO们旨在开发创新流程和解决方案，以整合不同的团队。正如一位领导者向我生动描述的那样，最终目标是构建一个“美丽的自动化网络”。例如，这意味着在所有安全工具中自动化控制证据，以便审计员要求提供合规证明时，能够在几秒钟内生成——而不是通过一场为期三周的紧急行动，让10名分析师偏离其主要职责。

这一愿景使所有安全职能能够无缝协作，AI从所有来源关联数据，以提供单一、统一的风险视图。

这种集成不仅限于安全团队本身。一个关键优先事项是从隐私角度将“安全的和谐性融入法律领域”，并将合规深度嵌入安全工程中。在《通用数据保护条例》、《加利福尼亚消费者隐私法案》以及其他各种法规并存的世界里，隐私不再仅仅是法律问题：它是核心的安全和工程挑战。CISO们希望与他们的总法律顾问合作，将隐私设计嵌入开发生命周期中，而不仅仅是对数据泄露或隐私请求做出反应。

这一愿景也是务实的，CISO们厌倦了束之高阁的昂贵复杂工具——他们的团队忙得无法正确部署这些工具，他们的清单中包括用于战略问题解决的时间：深入研究现有平台，寻找提升能力的创新方法，而不是仅仅追逐下一个万能解决方案，这是关于创造性工程，构建一个正如一位CISO告诉我的那样“就是能正常运行”的环境。

安全作为以人为本的业务推动者

最后，CISO的愿望清单极具人文关怀，这始于思维方式的深刻转变，从守门人转变为合作伙伴，他们的最终目标是通过有效的风险管理推动业务发展，使领导者摆脱运营任务的纠缠，让他们能够真正作为高层管理团队的一员发挥作用，这需要投入时间了解业务，与产品经理共事，参与销售电话，了解推动收入的因素。

虽然AI可以自动化任务，但它无法建立信任。CISO们坚持抽出时间进行人际互动——与合作伙伴建立关系、指导团队成员以及与其他高管合作，这是创造推动真正变革所需的政治资本和跨职能协调的不可替代的人类工作。

这种以人为本的观点也是解决安全领域最持久挑战——人才缺口的关键。愿望清单中充满了对人才培养的强烈渴望，在内部，这意味着加大对能够成长和创新的人才的投入，CISO们希望为团队成员提供获得所需教育学分的时间和预算，以及进行真正创新的空间，这不仅仅是一种福利，而且是一种关键的留人策略，这是他们防止顶尖分析师因警报疲劳而倦怠，并赋予他们解决公司最独特和最具挑战性问题的能力的方式。

在外部，这种热情延伸到回馈社区，与初中和高中合作培养下一代防御者，从根本上解决人才短缺问题。

通过营造学习和创新的环境，CISO们赋予员工实现愿望清单上最后一项——或许也是最重要的一项的能力：有时间打破并重塑他们在整个职业生涯中观察到并不得不忍受的低效安全流程。

未来将以人为本、AI赋能

综合来看，这些愿望清单主题清晰地描绘了安全领导力的未来图景。在未来中，CISO不再仅仅是首席防御者，而是培养韧性并推动创新的战略业务合作伙伴。实现这一愿景意味着从追逐警报转向预测威胁，赋能安全专业人员开展最有意义的工作，并利用AI不是取代人类专业知识，而是放大其作用。

目标是构建一个与其核心人类一样智能、适应性强且富有创造力的安全职能，这是我们所有人都应努力追求的未来。

（来源：企业网D1net）

如果您在企业IT、网络、通信行业的某一领域工作，并希望分享观点，欢迎给企业网D1net投稿。

投稿邮箱：

[email protected]

合作电话：

010-58221588（北京公司）

021-51701588（上海公司）