精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當涉及安全問題時，CIO這一角色是否面臨著一種內在的利益沖突?而信息安全的責任又應該由誰來參與承擔?

在企業當中，誰應該承擔起網絡安全工作的領導責任?CIO職位在這方面工作當中又該扮演怎樣的角色?在今年5月于馬薩諸塞州坎布里奇市召開的麻省理工學院Sloan CIO研討會當中，這兩大問題成為發言者們關注的焦點。

在其中一次題為《網絡安全：評估與改進保護手段的新方法》的對話環節中，多位信息安全領導者紛紛認為，CISO及類似職位應該成為網絡安全戰線中的關鍵性角色。

事實上，CISO的重要作用完全有據可查。根據Ponemon研究所發布的《2014年數據泄露成本調查》顯示，在影響到企業數據泄露成本的全部因素當中，有八分之一的權重取決于CISO(或者類似的職位與領導角色)能否“承擔起企業數據保護的整體責任”并領導好緊急事務響應團隊。在這方面條件得到滿足的情況下，數據泄露造成的人均成本平均可下降10美元。(為了幫助大家理解這一下降幅度，2014年內企業數據泄露事故造成的人均成本為201美元。)

不過，CISO與CIO之間應該保持一種怎樣的關系?再有，CIO應該從哪種角度切入到企業信息安全體系中來?在對話環節進行的一次非正式民意調查當中，與會者們以舉手方式表達了自己對于企業安全保護工作的認識——結果表明，大部分與會者認為企業安全工作包括CISO本身應當隸屬于CIO的權限范疇之下。而臺上的安全專家們則對這一概念表現出爭議。

“很明顯，在CIO之下安插一個安全管理角色必然會產生利益沖突，”施耐德電氣公司網絡安全主管兼副總裁George Wrenn指出。這是因為CIO職位(主要負責控制CISO的預算支出)的績效往往與經濟掛鉤，而良好的網絡安全實踐可是要花錢的。相反，Wrenn表示，CISO其實應該直接向“公司中的非技術類領導角色”報告工作。

在制定理想的安全決策時，我們往往需要從道德與利益的沖突當中作出權衡——現場對話安全專家們提到了1986年挑戰者號航天飛機失事的災難，而這也充分證明了這一問題的重要性。這起事故的調查人員認定，相關安全問題未能得到應有的高度關注。而隨著“可接受風險”開始在企業文化當中持續普及，生產至上的舊有觀念已經受到嚴重沖擊，而溝通機制當中的固有缺陷也越來越多地暴露了出來。

“美國宇航局每年需要多次對項目的經濟狀況作出評估與證明，”Wrenn指出，這也暗示著當政治因素與預算水平被作為優先要素時，會引發怎樣可怕的后果。

不過與此同時，信息安全也高度依賴于可接受風險的實際管理水平。

“真正的問題在于實現風險管理，并弄清楚在企業體系當中，誰最適合承擔風險處理任務，”ADP公司首席安全官兼副總裁Roland Cloutier在對話當中指出。Cloutier同時強調稱，數據泄露的預防責任應該成為一種常規成本，并成為董事會成員在考量信息安全決策時需要始終堅持的思維前提。

“一切最終都將歸結于成本，”與會專家1E北美公司總裁兼COO Nick Milne-Home指出。“過去幾年來所產生的種種變化，無非是讓這種成本表現得更加明確。”

從個人角度出發，Wrenn闡述了他自己的偏好，認為CISO應當直接向CFO報告。這是因為CFO的工作重點——也包括成本管理——相較于CIO職能更貼近CISO的優先級考量方式。

不過，Cloutier認為CIO在保障網絡安全的相關工作中同樣扮演著重要的領導者角色——特別是企業將信息安全更多地定義為質量控制中心而非成本中心的情況之下。

對于與會專家Shape Security公司產品管理副總裁Shuman Ghosemajumder來說，質量控制正是安全保障工作的核心要務。當被問及CIO未來應當將哪類培訓內容作為主要關注點時，Ghosemajumder不假思索地給出了答案：“質量第一。”

Ghosemajumder關于Cloutier提出的難題，Ghosemajumder給出的解決思路在于“向企業解釋”網絡安全能夠給產品質量帶來的改進作用。在圍繞信息安全決策進行成本考量與風險評估工作時，Ghosemajunder認為安全領導者應當學會向更高級別的企業管理層講故事——而最標準的對話開頭就是“讓我們想象一下”。

“這樣有助于從DNA層面徹底扭轉企業的安全認知水平，”Ghosemajumder表示。

各位讀者朋友會以怎樣的方式向企業管理層闡述網絡安全工作的重要意義?您與所在企業中的網絡安全團隊是否保持著緊密合作?您所在企業的CISO又在向哪位高管直接報告?請在評論欄中分享您的切身體會。