【CS论坛】首席信息安全官的进化:你准备好了吗?
作者:星期四, 一月 8, 20150

2

回顾近期有关数据泄露的头条新闻,我们可以得出结论:首席信息安全官(CISO)的角色对一个组织的成功和健康发展正起着前所未有的关键作用。作为这一结论的副产品,我们还可以认为:信息安全组织及其报告呈送对象也同样重要。这也许就是为什么近期的CISO事件总是引发CISO和信息安全项目在组织中应位于何处的大讨论的原因。而无论这些辩论有多和谐,关于CISO和他/她的部门应该向谁报告的问题却常常终结于‘那得看情况’。要使辩论演变为有建设性的行动,也许问题不在于CISO该向谁汇报,而是为什么CISO如此重要?

坦白讲,CISO重要的原因有很多,而不仅仅是CISO(或者说管信息安全的头儿)与其所代表的公司共同承担数据泄露被媒体曝光的影响。成为新闻头条对泄露事件而言可不是好事,这也是为什么CISO在组织中的位置值得进一步深入讨论和采取果断行动的原因。

首先,关于角色问题的讨论。对信息系统和数据的保护在商业运作中是不可或缺的,就像人力资源和财务部门对大多数组织而言是基础中的基础一样。而且,正如人力资源主管和财务总监不用为所有员工的行为负责,CISO也不用为每一位员工的行为负责,毕竟CISO仅与信息保护相关。事实上,与其他执行官一样,CISO也是解决某种问题的专家而已,负责诠释规则,制订策略,影响员工行为和监测相应的结果。

其次,信息安全不单单是技术问题。全美董事联合会(NACD)专门指出:“网络安全是企业级风险管理问题,而不仅仅是IT问题。”当公司扩展业务,启用第三方进行关键系统和数据管理的时候(通常会绕过内部IT部门),这一点尤其重要。

再次,当出现数据安全漏洞时,如果CISO与他们的公司一起享受同等的媒体曝光,那么,CISO也就应该与首席财务官(CFO)、首席信息官(CIO)和其他主要执行官一样享有同等的影响公司行动的权力。这包括:享有与首席执行官(CEO)和董事会直接对话的渠道,有权跨越IT领域在全公司范围内任何有网络风险的地方投入网络安全预算。

最后,采取行动。作为一个行业,信息安全相对不成熟,即没有通行的职业描述,也缺乏公认的汇报架构。即使CIO们也会因公司不同而有相异的汇报层级:CEO、CFO、首席行政官(CAO)等等。CISO社区内部在教育、商业和技术领域也有所不同。

基于有经验的信息安全从业人员严重短缺的现状,我们不妨假设根本没有“正确”的报告架构,也没有可以赋予CISO成功的人格类型。但是,经过大量讨论,可以得到一个共识:信息安全项目和项目负责人必须与公司战略紧密结合。为了达到这一要求,CISO需要与其他主管级执行官保持联系以确保对接或参与感;要可以影响员工行为;享有汇报进展和难题的权限;以及得到公司的支持允许不可避免的‘安全问题’发生。另外,NACD表示,网络风险应作为企业风险进行管理,应聚集主要利益相关者组成跨部门团队来制订信息安全战略。

每个组织都需要确立自己的一套全局部署信息安全的方案,但有3件事是应该即刻采取行动的:

1. 审查当前信息安全报告的角色及其通向业务主管的访问级别,使所有网络风险清晰可见。

2. 企业、学术界和信息安全业界应通力合作,培养和指导下一代安全领袖。其中必须重点强调如何沟通及吸引公司利益相关者和董事会参与信息安全事宜。

3. 因为信息安全漏洞经常见诸报端成为头条,组织应保证信息安全项目不是受媒体驱动。对数据和系统的合理保护不应只是一时之选,聚集主要利益相关者开始信息安全战略部署宜早不宜迟。

CISO的角色含义还会继续发展,近期各种事件也谕示着增强CISO职能任重道远。确保CISO嵌入组织中的合适层级非常关键,打造CISO领导职能也变得前所未有的重要。每个组织都必须考虑如何处理网络风险,以及CISO在各自业务中扮演的角色。

CS论坛

关注网络空间安全(Cyber Security),解读趋势前瞻,聚焦管理策略,为企业、机构安全规划提供咨询建议。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章