在您的企業(yè)中CIO和CSO是盟友還是敵人?
每次發(fā)生數(shù)據(jù)泄露事故,都暴露了一家企業(yè)的安全做法中存在的問題。在Target泄露事故中,最有趣的的發(fā)現(xiàn)是,Target公司所有安全責(zé)任都在***信息官(CIO)身上,該公司甚至都沒有***安全官(CSO)。
毫不奇怪,當(dāng)Target公司CIO兼技術(shù)服務(wù)執(zhí)行副總裁Beth Jacob上個月辭職時,很多人提出的***個問題是CIO Jacop是否應(yīng)該承擔(dān)責(zé)任,因為運(yùn)行IT基礎(chǔ)設(shè)施(通常是CIO的責(zé)任)和保護(hù)信息(通常是CSO的責(zé)任)涉及不同的責(zé)任,這兩者可以是互補(bǔ)的,但經(jīng)常存在分歧。
首先,任何規(guī)模的企業(yè)(特別是Target這樣規(guī)模的企業(yè))需要有一個負(fù)責(zé)安全的高管,并且,安全部門需要在董事會有一席之地。如果安全完全交給IT部門(其主要職責(zé)是運(yùn)行可靠的基礎(chǔ)設(shè)施),可能會出現(xiàn)糟糕的決策和泄露事故。
現(xiàn)在,企業(yè)沒有CSO就像是足球隊沒有后衛(wèi)。為了讓企業(yè)取得成功,他們必須擁有可靠的基礎(chǔ)設(shè)施以及對信息的適當(dāng)保護(hù)。如果企業(yè)只有CIO而沒有CSO,沒有人會側(cè)重于安全性,壞的事情將會發(fā)生。缺乏CSO意味著缺乏安全性。
最有可能的情況是,Target有一個安全團(tuán)隊,對所有安全問題大喊大叫。但管理層沒有人聽他們的投訴或者幫助他們解決問題。工程師需要能夠與CEO進(jìn)行溝通,CSO就是他們的溝通渠道。如果沒有CSO,關(guān)鍵的安全信息無法傳達(dá)到管理層。筆者猜測,如果Target高管收到了關(guān)于安全的正確信息,他們可能會作出不同的決定,這個故事可能會有一個快樂的結(jié)局。
平等的代表權(quán)
CIO和CSO應(yīng)該是盟友,在董事會有著平等的代表權(quán)。通常情況下,CIO直接向***運(yùn)營官報告,CSO向CFO報告。COO和CFO直接向CEO報告。但無論組織結(jié)構(gòu)如何,CIO和CSA必須有著不同的報告結(jié)構(gòu)。而且,為了讓CIO和CSO建立有效的工作關(guān)系,他們必須有明確的責(zé)任界限。
通常情況下,***的做法是,讓CSO定義適當(dāng)?shù)陌踩剑珻IO來部署安全,審計員來驗證這種安全性的實現(xiàn)。CSO定義的安全性應(yīng)該基于企業(yè)可接受水平的風(fēng)險,提供明確的指導(dǎo)方針,并提供衡量合規(guī)性的簡單方法。
隨著越來越多的安全泄露事故被公開,我們應(yīng)該更容易說服高管他們需要一個CSO。真正的問題是,很多CIO不希望有一個CSO,因為如果由他們控制IT基礎(chǔ)設(shè)施的所有方面, 他們能夠更容易地完成工作。這些內(nèi)部政策創(chuàng)造了這種局面,即CIO不會游說高管設(shè)置一個CSO。因此,企業(yè)需要另外的人來告訴***執(zhí)行官,“你對企業(yè)的安全水平感到滿意嗎?你是否收到了正確的安全指標(biāo)來作出決定?”
在很多情況下,***執(zhí)行官想要創(chuàng)建一個CSO的職位,但CIO說服他們,他們并不需要CSO。雖然他們有著良好的意圖,往往是CIO在抵觸CSO,因為CSO減弱他們控制權(quán),可能使他們的工作變得更加困難。筆者的預(yù)測是,在未來五年內(nèi),大多數(shù)企業(yè)都會有一個CSO,直接向高管報告。
在你的企業(yè),CIO和CSO是什么關(guān)系呢?他們是盟友還是敵人呢?
