過份專注工程技術的資訊安全總監(CISO),可能令企業面臨更大風險。網絡安全專家 David Schwed 近日於 Dark Reading 撰文指出,工程導向的 CISO 未能真正消除風險,只是將風險轉移至監控較鬆懈的系統區域。全球企業正面臨日益嚴峻的監管壓力和個人法律責任,85% 網絡安全專才已視溝通能力為 CISO 最關鍵技能,技術專業反而退居次席。本文將剖析純技術背景資安領導者為何難以滿足現代企業需求,並探討全方位安全策略核心要素,以及組織如何培養兼具技術深度與商業視野的新世代 CISO。
風險轉移陷阱:工程思維盲點
純工程背景的 CISO 往往陷入「技術完美主義」迷思,專注核心系統技術防護,卻忽略企業風險管理大局。David Schwed 擔任 Robinhood 經紀業務與貨幣部門 CISO 期間觀察到,這類領導者傾向集中資源於可見的技術控制措施,導致第三方供應鏈、人為操作流程和組織文化等「軟性」風險領域成為防護盲區。更嚴重的是,當安全措施過於技術化且缺乏業務脈絡,反而產生虛假安全感——系統表面符合技術標準,實際卻將風險推向難以量測的邊緣地帶。
Halborn 前營運總監 Schwed 強調,現代安全並非二元狀態,而是持續務實改進過程。工程型 CISO 常犯錯誤是將安全視為技術問題解決,而非視作商業風險管理。這種思維落差在 2025 年第三季 CISO 社群調查中得到印證:危機管理和業務連續性已躍升為首要關切議題,個人法律責任亦重新進入前十大擔憂清單,反映單純技術防護已無法滿足監管機構和董事會期望。
溝通斷層:技術語言與商業決策鴻溝
當今 CISO 面臨最大挑戰並非技術能力不足,而是無法將複雜網絡威脅轉譯為董事會能理解的商業語言。Gartner 旗下 CISO 社群調查顯示,42% 資安總監認為「競爭優先順序」是風險溝通最大障礙,因為技術導向領導者難以將安全投資與企業核心目標連結。有受訪 CISO 坦言:「我們除了要與團隊釐清真正風險,亦要向高層有效傳達這些資訊——這是兩個截然不同的挑戰。」
Schwed 在 Onyxia 大師課程中分享,安全部門不應只懂大喊「這很危險」,而是要成為夥伴,安全地促進創新並維持客戶信任。這需要 CISO 具備「T 型技能組合」:在特定技術領域(如威脅建模、DevSecOps)擁有深度專業,同時對合規框架、風險管理、危機應變等跨領域議題有廣泛理解。英國網絡安全雜誌報道指出,監管複雜度和個人責任危機正導致經驗豐富的 CISO 大量流失,部分原因正是技術背景領導者無法適應日益商業化的角色要求。
法律風險攀升:個人責任成新常態
2025 年監管環境已將 CISO 個人責任推向前所未有高度。美國證券交易委員會(SEC)針對 SolarWinds 前 CISO Timothy Brown 提出的訴訟雖遭駁回,但已為業界敲響警鐘——高管可能因網絡安全漏洞的誤導性陳述而面臨個人法律責任。歐盟 NIS2 指令更直接規定高階管理層對網絡安全合規負有個人責任,允許對被認定無法履行職責的主管實施臨時停職等個人制裁。針對金融機構的《數碼營運韌性法案》(DORA)也授權對疏忽的高管處以最高 100 萬歐元(約港幣 848 萬元)罰款。
這些法規變革突顯純技術背景 CISO 另一項弱點:缺乏建立可防禦治理框架的能力。Somos 首席法務暨信任總監 Daniele Levy 在 2025 年 CISO 責任研討會中指出,SEC 網絡安全揭露規則要求及時準確的事件報告和清晰治理文件,這令可驗證數據對於可防禦的揭露至關重要。工程導向領導者往往專注技術日誌和系統指標,卻忽略董事會監督、風險決策文件化等法律防護所需的治理證據鏈。ISO 27001 等國際標準之所以能在美國俄亥俄州資料保護法案中獲得明確法律安全港地位,正是因為它強調高階管理層參與和持續改進流程的文件化。
全方位領導力:2025 年 CISO 必備能力
世界經濟論壇 2025 年 2 月報告指出,網絡領導力正面臨三大宏觀趨勢重塑:地緣政治緊張、變革性技術和世代轉移。在此背景下,成功 CISO 需要超越技術專業,發展策略思維和業務敏銳度。Schwed 強調「向左移」(Shift Left)並非工具,而是方法論——在工程師動手前就參與討論,將安全整合到開發流程最早期階段。這種預防性網絡安全思維需要理解業務優先順序,而非僅僅執行技術控制清單。
現代 CISO 必須視自己為「賦能業務目標的高管」,而非「在高管層運作的安全專業人士」。這種心態轉變使領導者能夠統一 IT、企業安全和產品安全的聲音,在整個產品開發生命週期中整合安全考量。喬治城大學分析指出,管理軌道的網絡安全專業人士專注大局——設計政策、領導團隊、管理合規並將安全策略與業務目標對齊。成功 T 型 CISO 結合技術根基與策略視野,透過團隊協作處理多重需求,即使在小團隊中也能透過互補背景相互支援。
信任經濟:安全作為競爭優勢
Schwed 反思未來趨勢時強調,信任是終極商業優勢。當安全從成本中心轉變為業務促進因素時,組織文化決定安全效能——支持性文化將安全視為業務賦能者而非阻礙者,這為技術型 CISO 成功創造條件。Sprinto 2025 年報告指出,CISO 正從傳統資料守護者角色轉變為業務策略和組織文化關鍵架構師,日益成為增強客戶信任和建立競爭優勢的企業門面。
這種轉變要求 CISO 掌握「董事會外交」等新技能,並對零信任架構等新興技術保持敏銳,同時在面對不斷演變威脅和業務需求時展現前所未有適應力。長期成功來自展示持續價值和維持跨組織影響力——正如 Schwed 所言,「過去我們可能是扮演壞警察的安全領導者,但現在我們對業務來說至關重要,因為許多事情如果沒有這些實踐根本無法實現」。在 2025 年監管強化、威脅複雜化環境中,企業需要的不是僅會修補漏洞的技術專家,而是能夠平衡風險與創新、將安全轉化為商業價值的策略型領導者。
來源:darkreading