作為麥當勞公司的首席信息安全官,蒂莫西·揚布洛德(Timothy Youngblood)的職責范圍很廣且有影響力,這與幾年前像他這樣的大多數高管有很大不同。
作為這家快餐業巨頭的首席安全執行官,揚布洛德的職責不僅是在全球范圍內保護麥當勞品牌,還包括推進和支持業務計劃和目標。他向高層領導匯報工作,具有董事會級別的重要性和責任心,并在公司的關鍵業務決策中有話語權。
揚布洛德說:“10到15年前,首席信息安全官的角色更像是一個獨角獸。”“很少有公司配有首席信息安全官,甚至不知道首席信息安全官是做什么的。”
揚布洛德表示,如果已配有負責安全工作的主管,它通常會向基礎架構副總裁或類似角色匯報工作,并且僅限于負責圍繞訪問控制之類的業務工作。如今,首席信息安全官不僅要向董事會匯報工作,而且還是其中的一員。“由于今天的頭條新聞,大多數董事會都想在與首席信息官溝通之前先與負責安全工作的主管進行對話。”
首席信息安全官的快速發展
由于人們對數據隱私和保護方面的期望不斷變化,首席信息安全官的角色正在迅速發展。數據泄露、法規遵從性和第三方風險管理都已成為人??們關注的重點。
經歷過數據泄露的組織可能需要付出巨大的代價和造成品牌損害。Equifax公司在2017年的數據泄露導致其損失3.81億美元進行違約賠償。此外,美國聯邦貿易委員會(FTC)強制性要求該公司在未來五年內投入至少10億美元用于安全工作的改進。
諸如歐盟的《通用數據保護條例》(GDPR)和《加利福尼亞消費者隱私法案》(CCPA)等法規正在通過要求組織機構對客戶和消費者數據實施新的、更細致的控制措施來對他們施加壓力。由于供應鏈和第三方之間的漏洞而導致的數據泄露,使企業面臨承擔新的責任,迫使他們做出反應。
首席信息安全官正處于如此多的變化當中,并且越來越多地被賦予責任來制定隱私風險計劃,管理第三方風險和供應商。對于許多人來說,這些都是新領域,他們幾乎沒有經驗,或者沒什么現有技術可以借鑒,布魯斯·波特(Bruce Potter)表示。他是Expel公司首席信息安全官,是奧巴馬總統“增強國家網絡安全委員會”成員的高級技術顧問。
波特說:“我認為,首席信息安全官現在所處的環境與過去迥然不同。”“從很多方面來說,我們是一邊逃離一邊在建造飛機。”
不同的風險和監管環境
例如,許多組織機構發現自己必須實施用于數據映射和跟蹤數據流的新功能,這樣它們才能符合《通用數據保護條例》和《加利福尼亞消費者隱私法案》的要求,從而使消費者能夠更好地管理自己的個人資料。波特表示,很少有組織機構具有這種能力,因為到目前為止,他們還不需要知道個人資料在其整個企業中所保存的位置。
同樣,這些法規中對數據最小化的要求與許多組織機構近年來實施的數據挖掘和數據分析舉措背道而馳,波特表示。他補充說:“您讓首席技術官和首席信息官出去收集盡可能多的數據,然后將其放入數據倉庫中,然后讓業務變得更智能。” “沒有人真正考慮過隱私問題,因為根本沒有處罰措施。”
第三方風險管理和供應商管理是另外的領域,會提高首席信息安全官的重要性,以及使其變得更引人注目。如今,首席信息安全官的一個不錯且不斷增加的職責是為其組織機構審核供應商的產品和服務。最近的很多數據泄露事件都是利用攻擊合作伙伴網絡中的漏洞引發的,而且安全性組織越來越多地被要求來查找和清除潛在問題。
例如,揚布洛德最近就身處麥當勞公司的三筆技術收購中。波特說:“首席信息安全官的角色已經發生了巨大變化,成為了可以與哪些公司開展業務的仲裁者。”他最近接觸的一些安全性組織將40%的時間用于管理第三方風險。他說:“這使他們符合采購等方面的條件,而在過去他們是不符合采購條件的。”
在這一領域,首席信息安全官在整個企業中變得越來越引人注目和有影響力。從僅限于主要負責運營和技術工作的一個角色,安全主管們第一次發現自己在越來越多的公司中擔任更廣泛和更具影響力的角色。
PAS Global公司的前首席信息安全官、匈牙利石油公司MOL Group的前首席安全主管賈森•黑沃德-格勞(Jason Haward-Grau)表示,首席安全主管正在獲得更多機會來影響、合作和支持整個企業的變革。“我認為,各個行業的許多首席信息安全官都感到了來自同事、同行以及自身的期望。”
不斷變化的環境要求首席信息安全官對自身角色進行不同的思考。以前,首席信息安全官具有運營和技術能力就足夠了,如今,他必須能夠展示出具有商業頭腦,同時清楚安全性工作如何創造價值和商機。
首席信息安全官需要能夠與業務主管、高管層和董事會合作;理解業務需求;成為新計劃的推動者,以及成為不同業務職能部門(例如IT部門和運營技術部門)之間的仲裁者。黑沃德-格勞說:“首席信息安全官現在不僅需要了解安全性、風險和合規性,還需要了解對其業務、客戶以及目前的供應商群體的潛在后果和影響的細微差別。”
首席信息安全官的匯報工作途徑成為關注重點
首席信息安全官角色的快速變化迫使人們需要解決有關其匯報工作途徑的一些長期存在的問題。傳統上,首席信息安全官向首席信息官、首席技術官或在某些情況下向基礎架構主管匯報工作,這是因為他主要被視為具有運營性和技術性角色。
一段時間以來,很多人認為,要想真正管理風險和推動變革,因為存在利益沖突,首席信息安全官的角色必須與IT部門分離。盡管首席信息官通常會基于維護系統正常運行和采用新技術而衡量其成績和受到獎勵,但首席信息安全官則專注于保護公司資產和降低風險。
近年來,出現了將安全治理工作與運營工作分離開來的趨勢。一些首席信息安全官已開始向首席執行官、首席財務官、首席運營官,甚至總法律顧問匯報工作。 揚布洛德表示,由于在管理網絡安全等領域中人們對該角色的運營預期,絕大多數首席信息安全官繼續向首席信息官匯報工作。他說:“如果將這些運營職責轉給其他主管,您將會看到首席信息安全官更多地關注于治理和戰略工作。”
首席信息安全官負責的許多安全功能正在整合到組織機構所購買的技術中。揚布洛德表示,例如,大多數網絡路由器和邊緣設備已經集成了安全功能,可以由基礎架構和運營團隊進行管理。同樣,身份管理工作也正變得更成為一個交鑰匙項目,具有高度可操作性和高度可重復性,而且基礎架構團隊可以處理。他表示,首席信息安全官越能擺脫這些崗位職責,就越能承擔起真正的治理角色。
對于首席信息安全官而言,自然的發展方向是成為首席信息風險官(CIRO)角色,與財務、戰略、運營和其他團隊進行緊密合作。揚布洛德表示,預計策略管理職能也將交給首席信息風險官。他說:“我們目前看到,這個角色更多地出現在金融服務行業中,但它也將更多地出現在其他行業中。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號