CSO或CISO向CEO而不是CIO報告的情況并不少見。雖然每家公司都有自己的組織和報告結構,但是CSO的位置和他們的報告對象無疑會影響公司內部的關系。這包括了CISO和CIO之間的關鍵關系。
在倫敦舉行的英國CIO峰會上,兩位CIO討論了他們與安全的關系,以及他們的角色是如何與安全功能協同工作的。
在英國,很少有CSO能夠與CIO并肩同行
根據英國CIO 100調查的結果,在英國大約65%的公司有一個CISO或類似的需要向CIO進行職能報告的人。只有12%的組織認為CISO與CIO是同級的,這個比例在近幾年增長了三倍之后,在去年的基礎上略有下降了。
這一比例落后于美國。在美國,根據2019年的CIO狀況調查發現,近四分之一的CISO或類似機構會向首席執行官匯報--其中有43%的CSO和18%的CISO--只有45%的CISO需要向CIO匯報。然而,無論他們坐在哪里,CISO都應該努力讓CIO也站在他們這邊。
CIO/CSO的協作是關鍵
作為News Corp全球業務的首席信息官,Sabah Carter負責監督該公司在班加羅爾的設施,包括數據工程、產品工程、安全和基礎設施運營,以及公司所有旗艦產品的運營,包括News UK、Dow Jones & Company和News Australia。其他業務部門也有自己的CIO和CISO,他們需要負責不同的地理位置、服務和產品線,她將其描述為一個“高度的矩陣結構”。
“我發現解決這個問題的最好辦法就是劃定非常嚴格的界限。這周我和我的CISO以及CISO小組進行了一次非常有趣的對話,討論誰應該對此負責,我最后說,‘好吧,如果班加羅爾出了什么事,而且不太對勁,我的命就保不住了。所以,給我一份CISO報告肯定有利于這種控制,我認為如果沒有它,我就可能會失去這種控制。”
除了向Carter報告,她的CISO還需要向總法律顧問報告,這對預算和促進董事會的認識等方面都有好處。“如果(CISO)是為首席技術官(CTO)或首席信息官(CIO)工作,那么這個人就有責任在(CIO)的預算范圍內解決一切問題,因為他們會從CEO那里得到很多壓力,”她表示。“如果那個人真的被安插到了首席執行官或首席法律顧問的位置上,那么這種風險就會在董事會層面上得到分擔,而在那個層面上,你很難說不。你不會覺得你真的必須為安全開支辯護。”
“我覺得在我的預算范圍內,我控制了很多交付安全方面的問題,但是如果它可能會影響到全球的潛在品牌,那么其他人就必須提出一個案例和董事會層面的問題,這是非常有幫助的,”Carter說。
Carter表示,無論報告結構如何,重要的是合作與協作。“如果你有一種文化,在這種文化中,人們會因為為彼此幫助而得到獎勵,那么你就會有這個問題,”她說。“如果CISO的工作是進行評估,指出網絡安全哪里不好,或者我們在哪些其他方面做得不好,那么顯然你是在一個敵對的環境中建立起來的,這是兩個對立的因素。”
“不久前,有人宣傳說,他們想要對所有不同的首席信息官進行全公司范圍的安全評估,我們都拒絕了,因為我們不需要有人給我們的作業打分,”Carter說。“這絕對是錯誤的設置。”
相反,Carter認為CIO和CISO應該一起尋找解決方案,而不是相互指責。“我不希望任何人來找我,告訴我他們發現了同事的一些東西,因為他們的回答總是,‘為什么會這樣?你有什么計劃嗎?你們先不要來找我,等你們有了計劃再一起來。’”
CSO需要對CIO表現出信任
CSO需要意識到,一些CIO可能不會把新安全主管的到來視為完全積極的事情--尤其是在這個職位是最近才設立的時候--如果他們以前只負責安全的話。“我想知道處于同一級別的平行模式是否真的會削弱CIO的角色,”Alan Hill說,他是埃克塞特大學的信息和數字總監,“因為我們應該以企業的最大利益為出發點來運營,而且我覺得我能夠親自來平衡這些風險的技術解決方案和商業風險。”
因為學校沒有CSO,所以Hill也在負責著安全的工作。該大學也確實有一個資深的信息風險負責人(教務長,相當于副首席執行官),他負責大學內部的風險管理,他將允許埃克塞特將商業和技術風險合并到一個地方。他認為,至少對于較小的組織來說,如果已經有了CIO,通常就不再需要CISO了。
“這種觀察威脅、分析威脅并把它們運用到商業活動中的能力,以及圍繞這些威脅提出政策、指導和投資的能力,就是我的職責。我認為CIO們應該完全能夠明白這一點。如果我處于那個位置,而他們又給了我一個CISO,我會感到有點委屈。這意味著他們不再信任我的工作了。”
“這對人們來說是個挑戰,”Hill繼續說道。“究竟是不是因為我們作為CIO的工作做得還不夠好,所以你才需要一個CISO和一個CSO,還是我沒有抓住要點?”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號