如果看看最近业界数据泄露的消息,我们可以得出结论,CISO(首席信息安全官)对组织的成功和维持起着至关重要的作用,在这样的情况下,我们也可以说信息安全组织及其汇报途径同样重要。这可能是为什么最近一谈到CISO,就会讨论CISO和信息安全规程在组织中的位置。然而目前面临的挑战是,关于CISO和他的部门应该向谁报告的问题,一般以“视情况而定”结束。要从讨论上升到实际执行,问题也许并不在CISO应该向谁报告,而在于为什么汇报途径这么重要。
坦率的说,这当中涉及的原因很多,不仅仅是CISO(或信息安全主管)和他们所代表的公司共同承担数据泄露的后果。这非常令人困惑,也是为什么CISO在组织中的角色或汇报关系值得进一步讨论并立即开展行动的原因。
首先,来讨论一下,对信息系统和数据的保护是业务运作不可或缺的一部分,就像人力资源和财经模块是大多数组织的基础。正如人力资源和财经高层管理者不负责每个员工的行为,由于涉及到信息保护,CISO也不用为员工的个人行为负责。同时,如同其他的高层管理者一样,CISO是专业领域专家,他们解释规则,制定政策,约束员工行为并监控结果。
第二,信息安全不仅仅是技术问题。美国公司董事协会提供了非常具体的指导来说明“网络安全是一个企业范畴的风险管理问题,不只是信息技术的问题”这一点很重要。因为公司都在扩大与第三方组织的合作,这些第三方组织一般不必通过公司内部的信息科技部门,直接管理着公司关键的系统和数据。
第三,如果CISO持续获得公司级的管理权限,当发现数据安全漏洞时,CISO应该有权与CFO(首席财务官)、CIO(首席信息官)或其他关键高层管理者一起,按照标准实施整改,这包括直接面对CEO(首席执行官)和董事会,并跨出信息技术领域,在公司网络风险引入的全职能领域内支配预算。
现在,谈到执行,虽然不同公司的CIO可以有不同的汇报路线,如向CEO、CFO、CAO等老板汇报,但信息安全是相对不成熟的专业领域,没有一个固定、通用的工作说明或汇报结构,CISO们也有不同的教育背景和对业务及技术的理解。
由于专业信息安全人员的短缺,当技术没有突发猛进的发展的时候,“正确”的报告结构或人员资质将保证CISO的成功。然而,大量的研讨表明,信息安全规程及其领导必须与企业战略保持一致。为了达到这个目标,CISO需要与其他高层管理者沟通,以确保达成一致;可以影响和改进员工行为;有权报告进展和面临的挑战,并得到公司支持以应对无法避免的安全事件。
根据美国公司董事协会的指导,网络风险需被作为企业风险管理。跨职能模块的关键权益人应被召集起来,共同发布信息安全策略。每一个组织都需要建立自己的涵盖信息安全的企业风险管理计划,以下三项工作应立即开展:
- 组织需检查当前的信息安全报告角色,以及与业务高层管理者的沟通层级,以创建清晰的、全领域的网络风险视图。公司应审视如何管理信息安全,如何安排其风险缓解措施的优先级和资金。
- 公司、学术界和信息安全行业必须在下一代安全主管的培训和辅导方面的通力合作,而且特别强调如何与公司权益人、董事会沟通及紧密合作。
- 由于信息安全漏洞不断占据新闻头条,组织需要确保不为热点问题轻易改动信息安全规程。恰当的数据和系统保护并不是一个暂时的问题,组织迟早需要召集关键权益人研究相应的战略发展。
CISO的职责将继续发展,最近的事件表明,要增加CISO的有效性仍有很多工作要做。跨出第一步至关重要,就是确保CISO位于组织的适当层级和建立CISO的领导能力。每个组织都应该考虑如何解决网络风险,以及CISO在组织中发挥的作用。
作者:王婷
