随着越来越多的公司安排了CISO，在企业责任方面CISO似乎越来越接近其他的高管。不过有些CISO尚不知道如何与其他高管合作，另外一些CISO则仍然在试图弥合技术和业务之间的沟通鸿沟。

无论在哪种情况下，这个职位还在不断发展，CISO面临着很多挑战。在2016年RSA大会的小组讨论会中，Baxter International医疗设备网络安全技术主管Pavel Slavin表示，企业通常会优先处理错误的事情，而没有发现他们真正面临的挑战。

“我们通常专注于制造安全错觉的东西——漂亮的报表、图表和我们成功阻止的威胁，然而，63%的用户已经丢失了其私人医疗信息，并且去年我们有两个输液泵被攻击，”Slavin表示，“我们可能过于强调我们的保护力度了。”

SANS研究所新兴安全趋势主管兼该讨论小组主持人John Pescatore认为，CISO需要发现其企业面临的具体网络安全挑战，并能够解决这些问题。“CISO的挑战是根据企业以企业所在的垂直行业、企业数据的价值以及其他因素平衡安全的重要性，”Pescatore称，“为什么有些公司没有遭遇数据泄露事故？那是因为他们有高质量的成熟的安全团队，并且，他们能够在企业中引领某些变革。他们还有优秀的CISO，以应对企业、技术以及人员面临的真正挑战。”

那么，CISO面临的共同挑战是什么？下面让我们来看看这些挑战：

CISO面临的真正挑战

据安全专家表示，有时候信息安全团队没有做好的都是简单的事情。Herjavec Group首席执行官兼创始人Robert Herjavec表示，“密码重置可能是大多数公司会遗漏的最简单的事情之一。”

RSA大会另一个小组成员是Rich Products公司首席信息安全官Don Smyczynski，他谈到了他最关注的问题：

1.知识产权遭窃取。Smyczynski称：“人们认为数据是他们的，他们可以任意处理数据；我们可以很好地保护流程，但数据仍能够被复制。这是真正重要的。”

2.工业控制系统。“我们在冻结方面做了很多，而这些冰柜需要进行适当管理在白天保持足够低温，在晚上不会太冷，”Smyczynski表示，“我们非常需要了解相关风险，以及保护所有IP连接的工业控制系统，无论是冻结还是离心机，这关系到生命安全。”

3.物联网。“工业工程师认为他们知道一切，在他们操作之前，不想等待IT安全来给他们指示；他们想要安全而迅速地工作。”

4.第三方供应商管理。“我们的生产和制造工厂雇佣了很多人员，他们有权限访问每个位置；查看多少人访问系统是一项艰巨的任务，有些人甚至已经离开公司，”Smyczynski称，“考虑到供应商的网络是公司自己网络的扩展，供应商网络也应该被考虑进来。你的供应商的安全做法可能最终成为最大的影响因素。”

CISO面临的其他挑战包括合规性挑战。对于添加到企业网络的新设备或系统，CISO可能需要采取冗长而复杂的步骤来确保企业的合规性。vArmour公司首席信息安全官（也是Sears online前任首席信息安全官）Lazarikos表示：“大多数CISO会围绕合规性来制定预算，将项目与投资关联在一起。”

例如，如果设备或机器将被放在监管网络中，那么，对该设备的投资应该考虑到以下安全成本：

• 我必须执行供应商审查
• 设备如何进行修复？
• 谁有权限访问该设备/系统？
• 该设备需要何种类型的安全监控？
• 谁在监控该设备的安全问题，供应商还是最终用户？
• 如果设备被攻击，谁将会通知最终用户以及如何通知？

无论是合规性、IoT安全性还是基本的密码管理，现在的CISO都面临着很多挑战。而且，更重要的是，这些挑战和技术都在不断变化，迫使CISO和企业领导团队不断发展并调整自己的安全计划。

结论

CISO的责任是保护其管辖范围内的东西，但说起来很容易，事情不止如此。对于不是CISO管辖范围内的问题该怎么办呢？下一部分将会侧重这些问题并探讨如何解决这些问题。