一直以來，CISO應該向誰匯報的疑問，因為數字安全的上升，讓企業高層有了新的緊迫感。

數字安全在企業內已經上升到了新高度，而CISO則是它的守護者。

“趕緊找一位CISO，”Nemertes Research的總裁和創始人。

網絡安全專家Candy Alexander認為企業需要一位CISO。 “這是至關重要的。絕對至關重要。企業絕對不能沒有CISO。”

比較有爭議的是，一旦這位安全高層上任，最佳的匯報架構應該是什么。他或她應該向CIO匯報?還是向運營或者法務部門匯報?還是直接向CEO匯報?

“自從CISO這個職位誕生，就一直有爭議。” Alexander說，他之前也是一位CISO，現在是獨立顧問。

根據Cloud Security Alliance and Skyhigh Networks最近的一份報告， 61%的企業有一位CISO。其中，42%的向CIO匯報，32%的向CEO匯報， 26%的向其他高管匯報，包括總法律顧問和CFO。

之所以有CISO匯報架構的爭論，和CISO為什么如此重要有關：保護公司的業務不受各類信息安全的威脅。匯報給不合適的上級，他可能會從業務角度施加不正當的影響，限制CISO展開工作的能力。

信息安全需要IT計劃，當然，是屬于CIO的職能范圍，但全面數字安全則不屬于， Alexander說。

“他們不一定像我們這些處于該領域內的人一樣，擁有對于安全技術和/或實踐和方法的遠見，洞察力。”

CISO匯報架構的多樣化

不僅僅是管理信息安全，CISO需要管理整個公司的信息安全戰略。他或她需要與高管合作，讓他們意識到網絡安全威脅是業務的威脅，然后確保消息層層傳遞下去，到達中層經理和他們的業務部門。

如果CISO向CIO匯報，可能會有生產力和安全之間的沖突， Alexander說。CIO的職責是創新，推動盈利的業務戰略，讓新的應用上線，并確保在用戶需要的時候，有IT服務可用，理論上，會掩蓋安全措施。Alexander說，CISO與CIO之間會發生預算上的爭論，多少資金應該分配給安全，多少分配給支持業務的IT基礎設施。

“你很難向公司的高管進行匯報，述說IT應該配合這個項目，當你的老板也坐在其中，”她說。“你真的不想那樣做。”

CISO也不應該向CEO匯報，在Alexander看來。CIO與CISO之間的爭論經常需要CEO做出裁決，而CEO沒有這樣的時間。

正確的架構根據公司有所不同，她說，但是COO應該是CISO的老板，因為這種模式將安全和風險意識直接帶入企業的日常運營。CFO也可以，因為作為負責財務報告質量的高管，明白相互制衡對于企業安全的重要性。

總之，最重要的是，CISO需要和CIO平級， Alexander說。這樣，CIO會重視CISO，當他警告某個應用或其他IT資源對企業構成了威脅。他們之間的對話不應該是“為什么你不能保護你的邊界?”而應該是“讓我們一起想想，能做些什么。”

網絡犯罪合作伙伴

Equinix公司位于硅谷，為全球的企業提供數據中心資源，它的CISO向CIO匯報。George Do擔當這一信息安全職位，他知道所有圍繞CISO匯報架構的爭論。在某些企業內，首席IT和安全官之間，可能是對立的，無法合作的，但是在Equinix卻不是。 他的老板是CIO， Brian Lillie。

“我們是數據中心公司，但實際上我們的使命是和我們的客戶相互連接，” Do說。公司為了這一使命，在IT和云計算上投入巨資。“CIO是一個巨大的利益相關者。對我來說，安全應該支持這一使命;安全不主導，但是支持。”

企業在全球范圍內運行145個數據中心，Do為公司開發了一個安全戰略。除了風險評估和制定長期和短期的目標，他負責的常規運營項目還包括防火墻，為安全事故起草響應計劃，部署新技術來減少風險。他向Lillie匯報這一切，然后，他會給反饋，然后簽字。

在Lillie之后，Do將有關安全和風險意識的信息傳遞給公司內的其他人。他丟棄了在象牙塔內管理安全的想法，使用良好的，傳統的溝通技能和同事進行交流。

“我們使用合理化的安全政策，為什么我們有這些政策，為什么我們使用這種方式，”Do說。“10次中有9次，用戶能夠明白和理解。”

業務關聯

Nemertes的Johnson最近就安全戰略采訪了一些公司，發現在擁有最成熟的網絡安全戰略的企業內，CISO直接向業務高管匯報。

這項研究，調查了17個企業，發現CISO和業務方面的距離越近，企業應對當前和未來的安全挑戰準備的越充分。

Johnson在3月8日的網絡研討會上發表了這一研究。 如果CISO距離業務高管2個或以上級別，“你匯報的對象的匯報對象向業務高管匯報”——這樣的企業的安全成熟度就較低。擁有這樣相距兩個級別的CISO匯報架構的企業擁有應對網絡攻擊的基本技術和員工，但它不能在問題發生之初，就阻止。

匯報給CIO的情況稍好，但是距離業務高管仍有一個級別。

“錯誤不在CIO，” Johnson在接受采訪時表示。“這是CISO的工作，將信息安全風險轉化為業務風險。” 而CISO向哪位業務高管匯報則不那么重要：可以是CEO，CFO，COO或者首席風險官。

CISO也應該定期與董事會保持溝通， Johnson說，每個財政季度向負責風險和合規審計的運營委員會進行更新。

“并不需要，向8個人進行正式的演講，” Johnson說。“也許是每隔一個周四，和負責風險委員會的三個人一起吃頓飯。”