CISO(首席信息安全官)一般是向CIO(首席信息官)述职,但是随着安全变得越来越重要,这种情况正在悄然改变。那么,这将如何改变两者之间的关系?两者如何更好地合作?
多年以来,安全人员一直是由CIO直接管理的。而今,随着众多企业越发重视安全,CISO的地位变得更加重要。因为这种变化,两者的工作关系发生了转变。CIO负责领导、洞察及实现IT项目,以推动业务发展;而CISO则负责提供见解与指导意见,以确保策略安全。
CenturyLink副总裁兼首席安全官David Mahon表示:
“在CIO与CISO的关系当中,后者的角色变得愈发重要。现在,安全是确保公司策略成功执行的基本要求。”
为何会发生角色演变
安全的演变是造成这一现象的原因之一。企业的网络越来越复杂,尤其是随着自带设备(BYOD)计划的发展,公司网络中的设备越来越多,数量之大,前所未有。同时,黑客们正使用更加高级的攻击手段,来入侵公司系统,窃取数据。
Mahon解释到,在这种动态环境下,CISO将负责找出安全隐患,并就未来的计划向CIO提供建议。两者共同审查大方向,查看整个公司的系统与数据,并由CISO提出指导意见。比如说,CISO可能会向CIO建议,避免与某个供应商合作,因为与之合作可能带来安全风险。
Benchmark Executive Search公司总裁Jeremy King认为:“目前尚无企业架构标准,但在大多数上市公司,CISO仍然是直接向CIO汇报的。”King认为,每个公司对风险管理见仁见智。有些企业中的CISO向总顾问汇报,其他的有向合规部主管汇报,还有的向COO或者CEO汇报。另外,CISO和CIO也得到了更大的权利,可以否决关键决策。
Optiv公司的“CISO办公室”执行总监Dawn-Marie Hutchinson表示:“CISO在董事会议上有发言权,他们会提议大家探讨企业的战略方向,以及如何实现相应的功能。”Hutchinson认为,过去这是CIO的责任,但汇报结构正在改变,安全问题和相关项目逐步成为重点。企业想要了解如何维持信息系统的私密性,这样的关注给了CISO更多的机会,与董事会成员及执行层面谈。
IronNet Cybersecurity公司主管Greg Conti预测,随着越来越多的重大入侵事件持续发生,未来企业对CISO的需求量将渐渐增多。他解释说:“CISO必须了解技术、政策、法律、合规性、风险和其他许多领域。这些领域多种多样,这种复杂性需要强大的团队来应对,因为没有人会是所有这些领域的专家。”
Hutchinson表示,随着CISO在企业决策中的角色越来越重要,CIO的职责也在改变。CIO将更多地被调去处理运营技术和操作相关问题,比如外包、云使用和网络可用性问题——都是与安全不相关的问题。
CISO变得更光鲜
下一步,随着角色和关系继续演化,CIO和CISO将面临截然不同的挑战。Hutchinson认为CIO的角色不会消失,但将被重新界定。根据她的预测,CIO将在业务创新当中承担更多的责任。她认为,创新型公司都有强大的CIO领头。新技术的使用将是CIO面临的挑战。他们常常专注于维持一切正常运转,而没有时间带领IT部门更加高效地提供及支持一些工具,以应对不断改变的业务需求。
Mahon认为,随着威胁态势的演变,CIO与CISO将面临另一个问题:“如何在开发目标市场及满足消费者需求的同时,保持企业认定的风险管理态度?”
此问题要求确定风险管理态度的高层领导团队,在快速上市与安全之间取得一种平衡。他们可以选择迅速上市,但这样做可能会影响企业的长远表现。
Conti表示,CISO和CIO角色的变化可能将对公司的开支造成影响。他认为:“从某些方面来看,CIO的角色可能变得没有CISO那么光鲜亮丽了。比方说,CIO面对的典型挑战是,当一切正常运转时,没有人在乎,而当某个环节出现异常,就成了大问题。这个挑战很难克服,而刻不容缓的安全形势正推动CISO需求量的增长。”
本文转自d1net(转载)
