近几年来，在发生了这么多信息安全事故和惨案后，在魔高一尺道高一丈的今天，任何一位神志清醒的CEO都深知：信息安全如今不再是500强企业用来炫耀的奢侈品，而是中小企业都不可或缺的必需品。

长久以来，大多数企业习惯性选择将信息安全管理的事务交给CIO，这似乎是天经地义的事情——将与信息技术有关的一切丢给CIO。

但越来越多的事实证明，CIO兼任CISO一职是个错误的决定。以创下美国银行卡数据泄露记录的美国第四大零售商Target以及最近曝光的Home Depot数据泄露事件（9月20日更新，实际上是Home Depot创下了信用卡数据泄漏的新纪录），这些事件的严重性不仅仅表现为泄露的数据量巨大，更加骇人的是这些企业被黑客持续攻击数月之久而没有察觉任何异样。

事实上，直到失窃信用卡的发卡银行发出警告，Home Depot才意识到自身的信息系统出了大篓子。这就好比头发着火很久了，自己居然不知道，需要别人提醒才灭火。

对于黑客来说，这些缺乏信息安全痛觉、警觉和知觉能力的传统企业是真正的大号肉鸡。而对于这些企业的CIO来说，他们面临太多的项目、救火杂务以及日程规划，在信息安全体系建设上难有作为，而且CIO的核心KPI是用信息技术提升企业的竞争力和创新能力，而不是加固护城河。但真到了城门失火的时候，在那些缺少CISO职位的企业中，CIO是CEO目所能及的替罪羊，正如Target数据泄露事件后，其CIO第一时间就地引咎辞职。

黑客攻击使Target去年第四季度利润同比暴跌46%，对于那些习惯了在信息安全预算上雁过拔毛的CEO们来说，这种真金白银的损失比斯诺登事件来得更加刺激，Target随后花费重金招募了新的CIO，此人曾任美国国土安全部技术顾问。选择一位更懂信息安全策略和管理的CIO仅仅是个开始，Target还设立了公司历史上首位信息安全官。

根据Verizon 2014年的报告，今天黑客攻击技术的增长速度和企业安全管理能力的增长速度是完全不对等的，实时上两者的差距在不断加大，这导致越来越多的企业，面临的信息安全威胁越来越大，造成的损失也越来越触目惊心。

如今越来越多的企业，甚至中型企业都开始考虑设置首席信息官（CISO）一职来保一方平安。

实时上，企业要想打赢信息安全战争，不仅需要CISO，而且还要“全民皆兵”。网络安全政策管理服务供应商AlgoSec公司在其2014年网络安全状态报告中指出：超过90%的受访者（企业安全和网络运营专业人士）认为企业利益相关者应该承担与应用相关的“自己的风险”，而不是让这种风险全部由安全和网络团队承担。

现在回到本文开头的命题：CIO、CISO一个都不能少。我们发现，企业不仅仅需要一个懂安全的CIO，还需要一个专门负责安全策略和管理的CISO（闹心的是CISO还分为技术派、业务派和战略派三个流派）；这还远远不够，企业的各业务部门甚至高级管理层都需要将安全与业务作为一个整体而不是对立面来看待，用全体员工的信息安全能力构筑竞争优势，并承担相应的风险。