隨著IT相關業務需求的變化，IT領導者的角色和職責也隨之變化。首席信息官(CIO)和首席信息安全官(CISO)的情況也是如此，數字化轉型加劇了他們的角色轉變。CISO控制數字風險的管理工作對于保護當今的企業至關重要，也是成功數字化轉型不可或缺的一部分，因此CIO與CISO的角色越來越重疊。兩個角色是否合并、如何合并都尚待確定，但它們肯定已經正在融合中，這凸顯了網絡安全從服務器機房到董事會會議室的發展軌跡。

　　如果你回顧20年前，很明顯這兩個角色已經結合了相當長一段時間。早在2000年代初，CIO的任務就是監督和管理組織的IT基礎設施和應用程序，這些基礎設施和應用程序通常位于公司擁有的數據中心，由使用公司計算機的工作人員從公司園區和分支機構網絡進行訪問。他們的任務是確保運營效率、業務連續性和風險管理，并使IT與業務目標保持一致的同時控制好成本。然而，隨著數字化轉型、自帶設備(BYOD)、云計算和更多遠程訪問等IT趨勢，直接管理基礎設施和硬件的CIO越來越少，他們現在充當的是IT服務的經紀人。

　　雖然CIO仍然負責制定和實現技術目標并控制預算，但他們的主要任務是確定公司如何利用技術進行創新，并采購、管理相關資源。盡管許多公司仍然保留著龐大的本地IT資產，但他們進行數字化轉型只是時間問題。不管怎樣，隨著時間的推移，CIO角色的實操性顯然已經變得不那么強了。

　　另一方面，自2000代初以來，為了應對不斷出現的合規要求、數據泄露和新興網絡安全威脅，CISO的地位不斷提高，但需要與CIO更加協同工作。雖然數據泄露可能迫使企業越來越關注安全性，但為其提供資金的卻是合規性要求。從HIPAA和PCI DSS再到GDPR、SOC 2等，合規性對于CISO來說一直是一把雙刃劍。

　　合規性增強了網絡安全團隊的作用，使他們在IT和整個業務中更加引人注目，為CISO提供了更多的預算和更大的支出自由度。然而，他們在合規性方面付出的所有努力并沒有阻止網絡釣魚、勒索軟件、內部人員的重大違規和/或惡意行為。起初這強化了“安全是財務和運營的陷阱”的看法，因此迫使CISO（其中許多人偏向技術）開始“講業務語言”。

　　與此同時，數字安全和合規性在董事會層面的可見性和重要性迫使CIO們（通常是所有數字化事物的主要代言人）越來越多地參與了解所有的網絡安全問題。這也進一步模糊了角色間的界限。

　　CISO與CIO角色融合面臨的挑戰

　　數字化轉型提供的是從根本上改善網絡安全的機會，或者至少是“安全左移”的機會。數字化轉型固有的戰略和戰術決策都要求CISO與CIO比以往任何時候都更加步調一致。CIO雖然掌舵，但CISO不再是事后諸葛亮，而是從一開始就積極主動充分參與運營決策的合作伙伴。

　　隨著公司繼續擁抱云、軟件即服務(SaaS)和遠程辦公作，最重要的問題是，接下來將如何發展？在這一點上，不存在也不應該有單一、容易的路徑。

　　兩個角色如何結合在一起（或者說是否應該結合在一起）取決于很多因素，例如公司規模、所處行業、組織架構、企業文化、現有IT環境和未來的數字化轉型計劃等等。一些安全領導者認為“結合”將進展順利，還有一些人建議將其分為兩個不同的職能：一個面向業務，專注于風險管理和合規性；另一個技術性更強，專注于威脅防護、檢測和響應。

　　無論這兩個角色如何演變，這些轉變都表明，CISO與CIO之間的協調協作對于數字化轉型的成功越來越重要。

　　*本文為晨雨編譯，原文地址：https://www.darkreading.com/cybersecurity-operations/ciso-cio-convergence-ready-or-not-here-it-comes