信息安全主管應(yīng)該向CEO還是CIO匯報(bào)?或者，CISO也應(yīng)該進(jìn)入高管行列?

頂著“首席”稱謂的高管，未必就真的全都坐在公司決策層的位子上，那些位子是給首席執(zhí)行官(CEO)等少數(shù)幾名高管坐的。首席財(cái)務(wù)官(CFO)和首席運(yùn)營(yíng)官(COO)，是最常見(jiàn)的決策層高管。他們向CEO匯報(bào)，參加董事會(huì)會(huì)議，站在頂層規(guī)劃公司大局。

另一方面，大多數(shù)CIO，向CFO和COO匯報(bào);決策層中沒(méi)有他們的座位。還有其他一些新生首席頭銜，同樣尚未打入董事會(huì)圈子。

首席信息安全官(CISO)是一類獨(dú)特的“首席”。傳統(tǒng)上，他們與CEO之間還隔著CIO。但時(shí)代在改變，CISO的地位悄然發(fā)生變化，他們開(kāi)始收到?jīng)Q策層的邀請(qǐng)了。

如果網(wǎng)絡(luò)犯罪真的是對(duì)全球每家公司的最大威脅，那就很好地解釋了為什么CEO開(kāi)始召喚CISO來(lái)與董事會(huì)一同討論網(wǎng)絡(luò)威脅和風(fēng)險(xiǎn)了。

一位行業(yè)專家解釋稱，涉及CISO，組織結(jié)構(gòu)圖上的順序有所變動(dòng)。

《企業(yè)雜志》網(wǎng)絡(luò)安全專欄作家約瑟夫·斯滕博格稱：“傳統(tǒng)上，CISO向IT高管匯報(bào)。但隨時(shí)間進(jìn)程，當(dāng)信息安全成為更加顯著的風(fēng)險(xiǎn)，其管理成為更加可見(jiàn)的功能，很多企業(yè)便將CISO轉(zhuǎn)為向CEO或COO匯報(bào)，將其地位挪到等同IT，在它與IT之間畫上了一道虛線。雖然具體的報(bào)告結(jié)構(gòu)各家公司不同，但CISO角色提升的總體趨勢(shì)很可能持續(xù)。”

IT高管是怎么看待CISO的

Cybersecurity Ventures對(duì)其領(lǐng)英網(wǎng)絡(luò)做了調(diào)查，咨詢資深高級(jí)IT和安全高管是怎么看待CISO報(bào)告結(jié)構(gòu)的。如同對(duì)任一新趨勢(shì)的看法，意見(jiàn)多種多樣，在該話題上有很多爭(zhēng)論。

身為四大會(huì)計(jì)師事務(wù)所之一的普華永道，在構(gòu)建和經(jīng)營(yíng)跨國(guó)公司的最佳實(shí)踐，以及企業(yè)信息安全操作方面經(jīng)驗(yàn)豐富，其網(wǎng)絡(luò)安全與隱私主管理查德·威爾德慕斯稱：“CISO應(yīng)向公司中可賦予他們預(yù)算和影響力的角色報(bào)告，以便可以有效融入到業(yè)務(wù)中。”

CIO負(fù)責(zé)預(yù)算，往往存在固有的利益沖突，妨礙CISO的執(zhí)行能力。不過(guò)，我倒是尚未見(jiàn)過(guò)，在董事會(huì)和高管領(lǐng)導(dǎo)團(tuán)隊(duì)的支持下，還運(yùn)轉(zhuǎn)不靈的模式。

換句話說(shuō)，CISO需要自己掌控錢袋。

理查德·哈德森，跨國(guó)風(fēng)險(xiǎn)管理公司Cordium網(wǎng)絡(luò)安全及數(shù)據(jù)保護(hù)副總裁，前瑞穗銀行CISO，說(shuō)：“CIO不愿放權(quán)，尤其是他們的部門不怎么沾手安全控制的情況下。任何CISO，或處于向CIO報(bào)告的類似角色，如今已經(jīng)在找尋新的工作了。”

重點(diǎn)是，一些CISO不愿為自己壓根沒(méi)權(quán)管的脆弱IT安全背鍋。

企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析公司Bay Dynamics戰(zhàn)略副總裁史蒂文·格羅斯曼稱：“首席風(fēng)險(xiǎn)官(CRO)，是另一個(gè)正逐漸流行起來(lái)的報(bào)告選擇。在我看來(lái)，CISO報(bào)告線上最重要的方面之一，是他/她的觀點(diǎn)在通往CEO和董事會(huì)的路上不被篡改(淡化)。”

考慮到CRO通常不向CEO報(bào)告，該報(bào)告結(jié)構(gòu)可能會(huì)讓CISO遠(yuǎn)離頂層高管。

肖恩·萊利，北達(dá)科他州CIO，前梅約醫(yī)學(xué)中心高級(jí)IT執(zhí)行官，稱：“作為CIO，我對(duì)CISO向CEO報(bào)告沒(méi)有任何意見(jiàn)。CIO和CISO應(yīng)成為合作伙伴，兩者都有應(yīng)受到CEO關(guān)注的可交付物。”

無(wú)論誰(shuí)向誰(shuí)報(bào)告，CIO和CISO之間的有效合作關(guān)系，明顯是成功模式。

DDoS和惡意軟件防護(hù)提供商Zenedge創(chuàng)始人兼COO埃爾普·哈格稱：“CISO應(yīng)向CEO報(bào)告，在董事們面前多露臉多擔(dān)責(zé)。董事會(huì)將網(wǎng)絡(luò)安全與金融系統(tǒng)、人力資源管理系統(tǒng)(HRMS)和客戶關(guān)系管理(CRM)等一道，作為確保業(yè)務(wù)活力及連續(xù)性的企業(yè)核心基礎(chǔ)設(shè)施關(guān)鍵需求來(lái)考慮的時(shí)代，已經(jīng)悄然到來(lái)。

如果董事會(huì)認(rèn)為防護(hù)企業(yè)不受網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)戰(zhàn)侵害是首要任務(wù)，他們就會(huì)通過(guò)邀請(qǐng)CISO進(jìn)入董事會(huì)會(huì)議室來(lái)加以體現(xiàn)。

HIMSS Analytics，一流醫(yī)療研究與咨詢公司，美國(guó)醫(yī)療信息與管理系統(tǒng)學(xué)會(huì)(HIMSS)所屬全資子公司。其全球副總裁約翰·丹尼爾斯說(shuō)：“當(dāng)然，CISO和同等角色的人會(huì)說(shuō)，他們應(yīng)該向CEO報(bào)告。這也是CIO角色剛出現(xiàn)時(shí)，他們所說(shuō)的話。沒(méi)有什么一刀切的結(jié)構(gòu)。各家公司的情況都不一樣，影響因素很多，比如規(guī)模、資源等等。做對(duì)公司最好的事，達(dá)到公司可接受的風(fēng)險(xiǎn)水平就好了。”

醫(yī)療保健提供商和醫(yī)院，算是承受網(wǎng)絡(luò)攻擊最頻繁的行業(yè)了。據(jù)預(yù)測(cè)，未來(lái)5年，對(duì)醫(yī)院的勒索軟件攻擊將翻兩番。這種態(tài)勢(shì)下，或許CISO直接向CEO報(bào)告，會(huì)是此類公司的通用方法。

另一種觀點(diǎn)：合規(guī)主管(首席合規(guī)官、合規(guī)高級(jí)副總裁等)應(yīng)向董事會(huì)報(bào)告，CISO則向合規(guī)官報(bào)告。該觀點(diǎn)來(lái)自專門服務(wù)醫(yī)療行業(yè)的領(lǐng)先網(wǎng)絡(luò)安全及信息管理咨詢公司CynergisTek董事德萊克斯·德福特。

德福特稱：“董事會(huì)需要了解未經(jīng)過(guò)濾的風(fēng)險(xiǎn)。有些人會(huì)說(shuō)：在理想世界里，每個(gè)人協(xié)作良好，報(bào)告鏈無(wú)關(guān)緊要。現(xiàn)實(shí)世界當(dāng)然也能這樣。”(德福特之前曾任 Steward Healthcare、西雅圖兒童醫(yī)院和斯克里普斯健康中心CIO，曾出任過(guò)美國(guó)空軍外科醫(yī)生部CTO。)

如果董事會(huì)不了解公司網(wǎng)絡(luò)風(fēng)險(xiǎn)，他們就不太可能批準(zhǔn)大量網(wǎng)絡(luò)安全預(yù)算。

CISO在財(cái)富500強(qiáng)、全球2000強(qiáng)和中型企業(yè)中扮演著重要角色。如果收到下次董事會(huì)議的邀請(qǐng)，不要太驚訝。