如果想要保证在企业安全和风险方面的绝对话语权，CISO（首席信息安全官，Chief information security officers）们必须重新思考自己的角色、职责、举措以及为企业所提供服务的价值。他们必须重新审视安全团队所需的技能，并且积极面对安全架构和流程的重塑。简而言之，就是CISO要重新定位自身角色，向CBSO（首席业务安全官，chief business security officer）转型。

　　上述结论的理由何在呢？因为一个听似悲观却客观存在的事实：企业仍然视安全团队为发展和创新的阻碍。我曾经和一个专业顾问交流过，其常常从很多客户高层处获得对于信息安全职能的负面信息。“很多企业高层和CISO的交流很不顺畅，这一点今天仍然严重扭曲着他们对于安全的看法。这些高层通常把信息安全专家看成纯技术类人员，并且常常抱怨很难和那些技术专家打交道。”

　　事实上，由于这种困惑，企业高层们会单独设立一个职位——通常称为IT风险副总裁或者业务信息安全官。担任这个职位的人员需要能够理解业务的需求并向CISO反馈 – 而CISO则只负责具体的专业工作。

　　在向CBSO转型的过程中，CISO需要弥补IT和业务之间的裂痕。除了拥有IT方面的技能外，业务知识和咨询技巧也是必不可少的，如此才能在工作初始阶段就使业务端参与进来，从而加速工作进度，消除事后对于监管和隐私风险的恐惧。安全职能的转型一直都在继续 – 从数年前开始至今从未停止过 – 从监视管控转变为推动业务的发展。为了实现这些愿景，未来的CBSO们必须做到以下几点：

　　·确保业务和安全工作之间的、可追溯的协调一致。首先关键的一点是，能够清晰描绘出安全和业务工作目标之间的相关性。以此为基础，CISO就可以在给股东的年度报告中简要地指出公司业务、CIO工作和他自身职责之间的关系，以及相应的评估标准。Forrester公司建议制定公司级的评估标准。

　　·引入更多的财务和风险机制。随着关注度的提升，对工作的审核需求也随之而来。因此，CISO们需要从财务角度来证明相应的战略投资回报（return on strategic investment，ROSI），即制定业务语境下的度量标准并尝试证明ROSI – 尽管可能不尽如人意。

　　·向业务团队一样管理安全团队。责任的界定也是重要的方面。所有的安全项目同样需要管理制度。预先对项目收益做出假定，然后从启动阶段开始进行跟踪，直至证明假定的正确性。在证明了自己能够管理好预算并按预期进行交付之后，CISO才能赢得高层的重视和尊重。

　　·改善流程以便提升效率。安全事关具体人员、流程和技术。Forrester公司曾经采访了一些成功的CISO，他们都通过流程的重整来提升工作，具体举措有访问权限管理、补丁管理和员工审查等。这些措施都不需要额外的投入。

　　·摆脱具体的安全运维工作。为了不像转盘上的仓鼠一样疲于奔命，CISO们必须把具体的工作转交给IT专家，后者离业务端更近。这样做可以把CISO解放出来，由此使其注意力更加专注在战略层面上（比如风险管理和架构重整等）。CISO们也可以找机会把安全职能和流程外包给那些高级的安全服务和云服务提供商。

　　·调整安全团队的技术组成。安全团队应该变得更加精干，主要由内部顾问和架构师组成。团队成员应该主要负责制定战略、架构和政策，同时对外包出去的安全运维工作进行监管。

　　比之以前任何时候，CISO现在更应该将自己的关注点上移。因为信息风险事关企业业务，CISO必须能够对业务决策做出支持。CBSO角色的出现说明了安全专家们应该加深对业务的了解、提升自己的沟通技能、支持业务的发展，以此打消以前的一切恐惧、迷茫和疑惑。