根据 Splunk 和牛津经济咨询公司对首席信息安全官 (CISO) 的目标、优先事项和战略进行的全球研究显示,目前 82% 的 CISO 直接向 CEO 汇报,相比 2023 年的 47% 有显著增长。
《2025年CISO报告》还揭示,83% 的 CISO 经常或大部分时间参与董事会会议。但是,仅有 29% 的 CISO 表示其董事会中至少有一名具备网络安全专业知识的成员。
这项全球研究于 2024 年 6 月和 7 月与牛津经济研究院合作开展,调查了 600 名受访者,其中包括 500 名 CISO、CSO 或同等级别的安全领导者,以及 100 名董事会成员。
受访者来自 10 个国家:澳大利亚、法国、德国、意大利、印度、日本、新西兰、新加坡、英国和美国。他们代表了 16 个行业,包括农业、金融服务、政府、医疗保健、制造业和零售业。
牛津经济研究院还采访了 8 名 CISO 和董事会成员。
分歧依然存在
尽管研究发现 CISO 在组织最高领导层的参与度有所提升,但研究也发现 CISO 与董事会之间仍存在差距。
最大的差距包括新兴技术创新 (52% 的 CISO 将其列为优先事项,而董事会成员仅为 33%)、安全人员技能提升或再培训 (CISO 为 51%,董事会为 27%),以及对收入增长计划的贡献 (CISO 为 36%,董事会为 24%)。
仅 15% 的 CISO 将合规状态列为首要绩效指标,这与董事会的 45% 存在显著差异。21% 的 CISO 表示曾受到压力不报告合规问题,59% 表示如果其组织违反合规要求,他们会成为举报人。
只有 29% 的 CISO 表示他们获得了适当的网络安全预算来实现其安全目标,相比之下,41% 的董事会成员认为网络安全预算完全足够。
64% 的 CISO 表示当前的威胁和监管环境使他们担心安全工作不足,18% 表示在过去 12 个月由于预算削减而无法支持业务计划,64% 表示缺乏支持导致了网络攻击。半数 CISO 还表示成本节约计划减少了他们可用的安全工具,导致招聘冻结 (40%),以及减少或取消安全培训 (36%)。
几乎所有 (94%) CISO 报告称遭受过破坏性网络攻击,其中 55% 至少经历过几次,另有 27% 经历过多次。
网络安全专业人员的现状
这幅描绘网络安全专业人员与董事会之间持续存在分歧的细致画面,尽管有所进展,但仍在 Informa TechTarget 的企业战略集团与信息系统安全协会 (ISSA) 合作发布的持续研究中得到印证。
"随着 CISO 角色变得越来越复杂且对组织至关重要,CISO 必须能够平衡安全需求与业务目标和文化,并清楚表达安全投资的价值。" - Shefali Mookencherry,伊利诺伊大学芝加哥分校
在该研究的第七次迭代中,分析师荣誉退休人员 Jon Oltsik 和综合研究高级总监 Bill Lundell 表示:"网络安全专业人员希望他们的 CISO 能在高管和董事会中为他们发声。虽然这种情况正在发生,但 24% 的受访者认为 CISO 与企业领导层的互动不够。危险的威胁环境和新的法规可能会在不久的将来放大 CISO 的声音。与此同时,网络安全专业人员强调 CISO 最需要强大的沟通和领导技能,这反映了该职位的商业性质。"
该报告发现,近三分之二的受访者表示他们的 CISO 定期与董事会互动,但只有略超过一半的人认为这种互动程度足够。
在 Splunk 的报告中,53% 的 CISO 表示自从上任以来,他们的职责和工作期望变得更具挑战性。
在被问及 CISO 应该发展哪些技能时,最大的差距是:
商业敏锐度 (董事会 55%,CISO 40%) 情商 (董事会 45%,CISO 35%) 沟通能力 (董事会 52%,CISO 47%) 法规和合规知识 (董事会 44%,CISO 57%)
Splunk 的 CISO Michael Fanning 在谈到这份报告时说:"随着网络安全日益成为推动业务成功的核心,CISO 和他们的董事会有更多机会缩小差距,获得更好的协调一致,并更好地相互理解以推动数字韧性。"
"对 CISO 来说,这意味着要了解 IT 环境之外的业务,并找到新的方式向董事会传达安全计划的投资回报率。对董事会成员来说,这意味着要致力于建立安全第一的文化,并在影响企业风险和治理的决策中将 CISO 作为主要利益相关者咨询。将这些群体聚集在一起需要教育董事会了解网络安全的细节,同时 CISO 也要理解业务语言和需求,同时使安全成为业务推动力。"
伊利诺伊大学芝加哥分校的首席信息安全和隐私官 Shefali Mookencherry 补充道:"在高等教育机构领导和管理网络安全和隐私计划需要与董事会成员、隐私领导者、员工、教职员工和学生进行密切合作和沟通,以确保安全融入组织的各个方面。随着 CISO 的角色变得越来越复杂且对组织至关重要,CISO 必须能够平衡安全需求与业务目标和文化,并清楚表达安全投资的价值。通过与各个部门和利益相关者建立牢固的关系,CISO 可以为推动网络安全和隐私计划提供指导和领导。"
研究发现,具有 CISO 背景的董事会成员报告说他们与安全团队的关系更强,对组织的安全态势更有信心。
董事会成员自己报告了 CISO 与董事会在制定和调整战略性网络安全目标方面的优秀或很好的工作关系——有 CISO 成员的董事会为 80%,而没有 CISO 成员的董事会为 27%。有 CISO 的董事会在项目进展沟通和目标实现方面表现更好——有 CISO 成员的董事会为 60%,而没有 CISO 成员的董事会为 16%。
与董事会关系良好的 CISO 也更有可能获得生成式 AI 用例的批准,如创建威胁检测规则 (43% 对比其他 CISO 的 31%)、分析数据源 (45% 对比 28%)、事件响应和取证调查 (42% 对比 29%),以及主动威胁捕获 (46% 对比 28%)。
