网络运维管理之2026年CISO需掌握的核心技能

随着技术的发展，CISO取得成功所需的技能和认证也在不断演变。一些资质证书已失去相关性，而另一些——特别是那些专注于云安全和AI的证书——则已成为安全领域领导者的关键区分因素。

三十年前，当Steve Katz在花旗集团/花旗银行担任全球首位CISO时，他很快意识到自己的职责远不止于用技术解决问题。Katz必须具备良好的沟通能力，与高层管理人员会面，并尽其所能降低风险。

他在一次采访中表示：“我一直秉持的基本理念是，数据安全、信息安全、信息风险是商业风险问题，而非技术问题。”

Katz意识到，高效的CISO需要兼具技术技能和软技能：他们既要了解新兴技术，又要懂得商业战略，而到了2026年，情况将变得更加复杂，因为CISO们将在预算紧张和地缘政治紧张的艰难环境中开展工作。

随着角色的演变，一些曾经对CISO们至关重要的技能已不再是区分因素。取而代之的是，新的能力开始受到关注，尤其是那些与新兴技术相关的能力。如今的CISO们正置身于一个以云原生基础设施为基础构建的世界，面临着AI生成的攻击以及不断变化的监管规则。

在此背景下，CISO需要成为增长的推动者，而非阻碍者。

Cyber Resilience联合创始人、渣打银行前集团首席信息安全风险官Darren Argyle表示：“到2026年，成功的CISO将更像是一位商业价值和韧性高管，而非技术守门人。”

如今的CISO们被期望能够影响战略、确保投资并指导转型，而不仅仅是保护企业边界。如果没有正确的技能组合，这一切都将无从谈起。

2026年CISO的必备技能

询问安全专家2026年什么样的CISO才算强大，他们会反复提到三个品质：对业务和更广阔世界的深刻理解、对AI的深入了解以及塑造和影响企业文化的能力。

第一个品质——理解业务及其所处的环境——是基础。掌握更广泛背景的CISO们能够更好地发现新兴威胁、使安全与业务目标保持一致，并做出更明智的决策，从而增强韧性并支持增长。

这种知识还使他们能够在风险出现之前就参与关键决策的制定，而这正是现代CISO们需要达到的境界。Singulr AI首席安全官Richard Bird表示：“CISO们必须刻意培养影响战略的能力，而不仅仅是执行控制。”

如果CISO们能够作为“业务翻译者”，将安全视为价值驱动因素而非仅仅是成本，那么他们就能在领导层中赢得一席之地。WithSecure的CISO Christine Bejerasco表示：“一个被认为理解业务的CISO会被接纳，而不仅仅被视为一个守门人。”

这种合作通常对双方都有益，HackerOne副CISO Blake Entrekin补充道：“随着安全越来越深入地融入战略决策中，双向阐述价值的能力至关重要。”

但在企业内部拥有社会权力和影响力并不仅仅意味着能够进入董事会，它还来自于在各个层级建立信任和安全意识，这可以通过对人们的日常工作表现出真正的兴趣来实现。

Bejerasco表示：“思考如何通过利用现有员工的工作将安全嵌入企业的各个领域，以及如何对他们进行足够的培训，将安全融入他们现有的流程中。”

第二个必备技能支柱围绕AI展开，CISO们需要了解AI的现状，并掌握最新的威胁和滥用案例。Bejerasco表示：“这种知识有助于他们‘让一个常常急于将AI融入一切的企业恢复理智’。你不再是阻止采用新技术的反对者，而是成为房间里更理智的声音。”

了解AI系统的优势和不足，使CISO们能够指导AI的采用，但仅有技术知识是不够的，他们还需要能够清晰地传达这些信息，将复杂的风险转化为董事会能够理解的商业语言。

Argyle表示：“他们可以这样说：‘这是从财务、运营和声誉角度考虑的风险，这是投资的权衡。’不可替代的CISO们将利用AI作为商业成本效益分析的倍增器，但判断力和讲故事的能力仍要牢牢掌握在人类手中。如果你不能可信地挑战你的企业使用AI和数据的方式，那你就是在盲目行事。”

在培训方面，Argyle建议CISO们参加“由大学或行业认可的提供商提供的AI治理、大语言模型的安全使用、数据保护和模型风险方面的知名课程”。

CISO们可能会犯的一个错误是，假设自己对AI已经足够了解，可以做出明智的决策，而实际上这个领域发展太快，静态知识远远不够。Entrekin表示：“AI将继续缩短侦察和利用之间的时间，要求CISO们预测对手可能如何使用AI，以及防御者如何利用相同的工具保持领先。”

最后，到2026年，第三个必备技能是在企业的各个层级建立强大的安全文化，因为正如Argyle所说，“网络安全20%是技术，80%是行为。”

他表示：“杰出的CISO将是那些能够将董事会叙事转变为积极支持文化变革的人，当企业各个团队将安全设计原则视为第二天性时，你就知道文化已经深入人心了。”

顶级技术技能

除了对AI系统有深入了解外，如今的CISO们还需要对定义现代企业环境的技术有扎实的基础。(ISC)²的CISSP认证仍被广泛认为是安全架构、风险管理和治理方面广泛专业知识的黄金标准。Argyle表示：“监管机构会对此有所期待，而且它几乎出现在所有CISO的职位中。”

Cyber Leadership Institute的Cyber Leadership Program也备受推崇。该计划专注于CISO们塑造战略和确保投资所需的领导力和影响力技能。

其他有用的认证包括与云安全架构相关的认证，如CCSP。Bejerasco表示：“如果你不了解云安全，这些课程可以帮助你了解共享责任模型、身份驱动的安全以及现代基础设施如何大规模运行。”

最后，Bird强调了网络安全领导力中财务流利度日益增长的重要性。他表示：“现代风险量化或网络经济学课程至关重要，因为董事会越来越期望CISO们用财务术语而非技术分数来表达风险。”

顶级软技能

除了技术技能外，CISO们还因其战略规划、沟通和领导能力而受到评判。到2026年，他们预计将面临来自董事会、监管机构和供应商等各方面的压力，而不仅仅是攻击者。

Bird表示：“战略判断是基础，尤其是要知道何时不采取行动与何时进行干预同样重要。”

提高战略判断力始于模式识别——将事件、威胁情报和公司更广泛的商业背景联系起来，然后，CISO们需要将这种复杂性提炼成几个清晰、可行的选择，每个选择都有明确的风险、收益和成本。Argyle表示：“这就是你如何从灾难报告者转变为战略顾问。”

到2026年，战略思维将越来越具有伦理维度。Bird表示，最明显的考验之一将出现在AI驱动的环境中，CISO们必须在没有明确法律界限的情况下做出复杂决策，他认为，这是一个可以“将领导者与操作者区分开来”的领域，尤其是在法律指导落后于技术现实的情况下。

如果灾难发生，有时必须在关键时刻做出关键决策。在这种情况下，在压力下保持冷静的能力至关重要。Argyle表示：“CISO在前72小时内的职责是降低紧张气氛、从模糊中创造清晰，并与董事会、当局、监管机构、客户和员工保持信任。”

2026年需要掌握的另一项软技能是建立联盟并与产品、数据、法律、人力资源、财务、采购和外部合作伙伴进行良好谈判的能力，这意味着CISO们需要学会如何在没有直接权力的情况下施加影响。Entrekin表示：“安全不能孤立运行。影响力和合作是关键。”

与此紧密相关的是良好的沟通能力，能够说监管语言并在技术、法律和商业世界之间流畅转换。Bejerasco表示：“能够用商业术语与董事会交流，使我从每年三次的董事会报告减少到每年两次，他们理解并确信我已经涵盖了所有内容。这对我和他们都有帮助。”

所有这些技能都必须传授给团队中的其他人，CISO的一个关键职责是指导、创造成长机会，并帮助团队成员逐渐步入领导岗位。Entrekin表示：“投资于人才可以确保连续性、韧性和长期企业能力。”

获取顶级技能的低成本策略

许多CISO和兼职CISO都希望继续学习，但预算往往无法满足这一雄心。正式课程和认证可能耗资数千美元，而且还需要离开工作岗位，然而，专家们认为，对此有低成本解决方案。

其中之一是加入区域CISO社区，这意味着加入同行小组和圆桌会议，专业人士可以在这里比较应急预案并交换事件故事。CISO们还可以寻找导师或反过来指导年轻专业人士，在回馈社区的同时加强自己的技能。Entrekin表示：“区域CISO社区可以以很少或零成本提供共享知识、同行支持和集体专业知识访问权限。”

供应商、云服务提供商和合作伙伴也往往提供免费培训，以及参考架构和应急预案。Argyle表示：“聪明的CISO会在合同中谈判获得学习访问和工作坊的机会。”

另一项低成本策略是使用大语言模型探索新兴主题，这些工具可以总结论文或威胁情报报告、生成实践场景并作为策略的“陪练伙伴”。AI订阅相对实惠，高管们可以重新利用企业内退役的硬件，这种设置使CISO们能够亲身体验AI的能力、局限性和风险，而无需大量预算或正式计划。

Bejerasco还建议阅读书籍：“关于谈判、领导力、决策和战略的书籍尤其有帮助，并且直接适用于CISO角色，往往比正式培训更有用。”

但另一个被忽视的资源是CISO自己的团队，Argyle建议创建内部“学习循环”：由风险专家、工程师、架构师和产品负责人进行简短、低成本的自带午餐学习会，相互教学。他表示：“预算不足是一种限制，但不是借口，我所知道的最优秀的CISO一直都是自我导向的学习者。”

相关性较低的课程

并非所有课程和认证都能为CISO的简历增色，在网络安全职业生涯早期有用的资质证书，到安全专业人员达到高管职位时可能已远不那么相关。例如，通用的入门级安全认证以及专注于按钮点击而非系统架构的工具特定资质证书。

Bird表示：“它们并非无用，但不应再被视为高级安全领导力的信号。”

到2026年，对CISO来说区分度较低的其他资质证书还包括单一供应商、产品特定的认证。对特定防火墙或端点解决方案的深入了解在过去可能很有价值，但对于担任CISO角色的人来说，这已经没有太大分量。

Argyle表示：“在CISO层面，这现在很少具有决定性作用，架构是异构的，而且我们越来越购买平台成果，而非英雄产品，这些认证对专家来说没问题，但对高管来说影响不大。”

纯粹专注于记忆标准和通过考试——而不要求参与者应对现实世界的权衡——的课程在高管层面的价值也在降低。Argyle表示：“作为CISO，你被期望将合规转化为成果，而不仅仅是背诵标准中的条款。”

然而，对于CISO来说，认证是必要的，但并不充分，它们需要得到经验的支持。雇主正在寻找能够从头到尾运行安全计划、在压力下做出艰难权衡、自信管理事件并与董事会自信沟通的领导者。在竞争激烈的就业市场中，除非有实际经验支持，否则一长串认证并不会让人走得太远。