這取決于公司規(guī)模，在驅動安全發(fā)展上最具影響力的人可能是高管，也可能是董事會成員，但非高管級管理人員，有時甚至是直接負責IT/安全的人，也會成為強勁的推動力。

無論是誰，每家公司都需要那么一個人，讓安全不僅僅是預算清單上一個條目，還是公司整體文化中的一個部分。然而，更多的情況是，公司因兩種原因之一而將安全擺上重要位置。重視安全的公司，要么有著相信安全非常重要的進取型領導團隊，要么就是經(jīng)歷過重大事件的公司。”

這也正是為什么很多情況下人員沒有事件有影響力的原因。雖然大多數(shù)管理人員都希望潮流能改變一下，但現(xiàn)狀更能說明問題。當然，肯定有公司關注災難或監(jiān)管推手的缺失問題，但這通常是因為有別的公司這么要求。

因此，安全團隊求改善往往需要很長時間的情況也就更常見了。最大的問題之一，是部署雙因子身份驗證。不僅僅是在防火墻上，而是在數(shù)據(jù)中心內部設計的所有系統(tǒng)上。另外，網(wǎng)絡劃分和補丁及漏洞管理上也有很多問題。

有時是外部而非內部因素驅動公司的安全發(fā)展，尤其是在公司合并和收購中，因為收購方會要求對方的網(wǎng)絡安全保障，例如雅虎在被被收購進程上因數(shù)據(jù)泄露而暫停，甚至有可能被取消。

這些問題的根源，是管理的失敗。這是個管理問題，而非技術問題。

　　——達雷爾·德里斯特克，信息系統(tǒng)安全協(xié)會(ISSA)高級成員，國際信息系統(tǒng)審計協(xié)會(ISACA)董事。

公司內部，真正相信且重視安全的管理團隊，影響力最大。缺了這個，那就是在從山腳強攻山頭，想打贏幾乎不可能。只要不真的堅信安全非常重要，安全就會被從優(yōu)先列表中移除。

任何公司，想要驅動安全發(fā)展，都需要一個代表安全的務實而強有力的聲音——一個CISO或高級別安全人士。懂行的領導團隊不會去關心查單畫勾式的形式化安全，他們會問壞人的行事方式，會管我們需要什么來阻止壞人的破壞行為。

鑒于這個原因，小公司面對的挑戰(zhàn)還更大些。Tychon首席技術官特拉維斯·羅斯耶克說：“他們通常人手不足，預算也很緊張。IT和安全工作都被推到了次要位置。保持系統(tǒng)在線，維持公司運轉才是他們的優(yōu)先考慮。”

只有一個人既領導IT又負責安全，那他們就沒什么機會在減小整體風險的不同方面都有深入的專業(yè)技術了。小公司里高管的職位是為預算奮戰(zhàn)。安全只是IT預算的一小部分。IT預算本就不多，其中一部分分給安全的就更是起不到什么作用。但是，小公司在某些方面也是有優(yōu)勢的。他們的IT和安全團隊通常很強，而且獨立。當出現(xiàn)危機或可疑事件時，他們可以很好地集結起來協(xié)同作戰(zhàn)。

隨著更多的公司意識到每個員工都是目標，董事會也更多地參與進來了。不過，仍有很多公司依然覺得威脅瞄的是別的公司，不是自己。這些更成熟的有進取心的公司，將會設置真正有地位的CISO或CIO。從成熟度的角度出發(fā)，當CISO直接向CIO匯報，并在董事會有發(fā)言權的時候，公司就真正重視安全了。

另一方面，當CISO沒什么存在感且比高管低上三四個層次，他們在爭取預算上就困難得多了。這就是為什么任何公司中真想推動安全發(fā)展的人，需要能直接與風險責任人溝通的原因了。

不管是財富500強、中型企業(yè)，還是夫妻小店，風險責任人都必須決定自身風險承受度。安全感是必須的，但很少有人想要真正考慮安全。作為安全人士，不得不替他們簡化其間過程，教導他們認識數(shù)據(jù)的價值。只要涉及資金，大多數(shù)公司主管都不敢妄想忽略風險，但在數(shù)據(jù)上，這種認知出現(xiàn)了斷層。

為什么溝通需要直接發(fā)生在風險責任人與安全管理人員之間？這就是原因。認識到風險是直接與業(yè)務相關的那些企業(yè)，也正是為高端安全項目鋪路的那些。

財富500強企業(yè)通常體制嚴謹，信息傳達到董事會之前會經(jīng)過層層篩選。這些正式或非正式的溝通，大多數(shù)情況下會讓安全團隊將信息遞送到正確的人手中。數(shù)據(jù)質量，包括完整性和可用性，是甄別準則。安全風險就是企業(yè)風險。合規(guī)只是弱安全，不過是保險問題而已。

對中小型企業(yè)而言，安全人員通常直接與企業(yè)主或非常接近企業(yè)主的人對接。除非手握正確的打開方式，否則很難說服他們投以關注。而數(shù)據(jù)質量和企業(yè)防護計劃就是那正確的打開方式。數(shù)據(jù)損失和被盜的高發(fā)，就是懶惰與懈怠的結果。所有這些問題的根源，都是管理的失敗。這是個管理問題，不是技術問題。高管層必須為公司設定基調。

為什么大企業(yè)里CISO通常都是推動戰(zhàn)略和預算的主力？這就是原因。

財富50強公司中常常可以看到，CISO參與度很高，同時董事會也有涉入。IT成為了董事會的常規(guī)話題。當更多的利益相關者參與進來，也就開辟了更大的預算空間，更務實的對話。這會讓每個人都去思考更寬泛的問題。若是廠商，那會有更多的利益相關者需要拉入進來。

最敏捷的，已經(jīng)發(fā)現(xiàn)可用預算和快速反應能力之間平衡的公司，就是全球2000強企業(yè)了。這些公司規(guī)模正好，可以按自己的速度行動，能跟上市場腳步。他們會做自己的研究，CISO能用更大的團隊驅動安全進步。

不考慮公司規(guī)模的話，最大的影響力來自于公司利益相關者情感上的支持。因為安全發(fā)展中需要跨越的最大障礙，就是對“安全就是各種限制”的認知，安全主管需要建立良好關系以獲取利益相關者的支持。