早期的CSO,角色定位相当模糊,并且经验不足,随着安全经验的增加和职位的明晰,CSO们对安全风险的认识也更加深入,作用也显而易见——积极引入安全功能的企业能够在技术变革的大潮中处于更为有利的位置,进而从容应对持续威胁及安全漏洞带来的冲击。
经过十年的探索及发展,CSO这个角色终于突破了大环境对新生事物的束缚成为了一种趋势,许多企业已经建立了CSO一职或者与之类似的职位,这是一个可喜的进步。遗憾的是,正当CSO角色欣然走向成熟的时候新的“威胁”又出现了,这次的威胁更加凶险,它来自CSO赖以生存的企业内部。
CSO面临着企业内部的重重攻击
目前尚无一套标准化方案能够指导企业准确定义CSO这个角色,因此,在多数情况下,CSO仅仅是一位被赋予了安全职责及保护公司义务的安全管理者,他们往往无法获得工作中所必需的资源、权利或者与高管及董事会对话的资格。因此,不少公司的CSO属于名存实亡。
如果没有意识到这一点,大家可以通过下面的问题做个简单的测试,以便对所在的企业是否拥有成熟的安全管理模式有个清晰的认识——
●您企业的CSO是否会向董事会成员提交年度报告?
●是否定期与CEO或COO进行交流磋商?
●董事会或CEO以何种形式为处理风险事务的管理者提供必要权利?这种授权机制是否正式?
●董事会或者CEO如何确定企业对信息安全风险的承受能力?这种能力是否拥有与之相匹配的文档说明及沟通机制?
●CSO定位能否为在职者提供必要的团队管理权?
●CSO是否只能向CEO或董事会提交未经筛选的安全态势信息?
●CSO到底属于管理角色、运营角色还是二者兼而有之?
虽然这份评估问卷并不完整,但其中的问题仍然带来了一些发人深省的启示,足以帮助大家考量自身的信息安全方案是否成熟。在对企业安全规范及流程的评估过程中,我们应该重点权衡哪些因素?前面提到的风险承受能力、风险管理授权以及将未经筛选的信息交付CEO及董事会等正是其中的原则性内容。只有将这些因素全部纳入安全管理流程,企业才能真正有能力抵御安全威胁。而CSO也只有获得了相应的组织地位,方可与CEO或董事会进行顺畅交流,从而在攻击活动影响到企业之前就正确安排必要的应对措施。
事实上,很多现任CSO虽然拥有这一头衔、手中却欠缺警示致命安全风险的话语权。另一种令人不安的趋势在于,首席信息安全官的角色似乎被迫向管理方面倾斜。在这种情况下,CSO的定位会受到严重拖累而非促进——这是因为CSO此时恐怕仅能作为有一定影响力的评论者而非风险决策制定者。#p#
汇报关系的变化剥夺了CSO的实权
损害CSO权利的另一大因素在于上下级关系的变化。普华永道发布的最新年度安全报告中表明:过去三年中CSO逐渐由专门向CIO述职转变为需要向企业的其它各部门递交报告。
这种趋势让人恐慌,因为CSO只有作为IT部门的一分子才能更好地完成自身工作。尽管与整个企业各部门进行互动能够开阔视野、帮助CSO把握全局,但约有七成左右的信息安全问题需要由IT部门来决定并监控。
随着CSO不再需要向CIO递交报告,首席安全官的角色将逐步被排除在IT部门之外,并因此没有机会参与到事件决策当中,甚至很可能在战略及技术规划工作方面失去话语权。
向CIO直接报告的另一大重要作用在于,一旦CSO与CIO之间发生意义分歧,安全管理者必须有能力将问题进一步递交至CEO或者董事会成员手中,从而保证实际方针与风险评估方针保持一致。再有,管理结构中还存在另一种动态制约手段,即企业预算。如果剥夺了CSO的运营职责与预算制定地位,那么安全部门的组织能力与影响能力必然受到严重打击。
规模较大的企业,IT部门间的“圈地”活动也不遗余力。首席信息安全官成为企业中的众矢之的,各个部门都希望把安全职责划分到自己的管理范畴当中,这些职责包括隐私管理、合规性遵循、审计、应用软件开发、网络运营以及架构组织等。大家可能不只一次的听说过应用程序开发人员或IT运营管理员抱怨自己的日常工作受到安全规则或其它监控工具的约束。抱怨多了,IT门外汉的企业领导者便认为这些机制是多余的,但他们没认识到:CSO与安全机制的存在确实对威胁起到了很好的控制作用,一旦放开、企业的安全机制将无法正常运行。
所以,今天,许多CSO已经开始将“业务部门需求”作为自身工作的最佳挡箭牌。在四面楚歌之下,他们不得不将风险一股脑推给业务部门,自己则闲坐着喝茶看报。
事实上,更好的处理方式在于建立一套正规化的风险评估模式,指定董事会中的某一位成员为安全风险承担职责。然而有多少企业能把风险承受能力提升至董事会或者CEO的高度?缺乏这些基础措施,CSO才会举步维艰甚至敷衍了事。#p#
还CSO的权利需要企业魄力
下面我们要谈的内容比较尖锐也的确如此,如今大部分企业都缺乏一种积极的进取精神,我将其称为“企业魄力”。我们到底拥有一套有效的安全计划、能帮助企业以正确方式处理风险?还是仅虚设一套名存实亡的安全规程、根本无法带来实质性作用与影响?要做到问题的确切答案,企业需要拿出魄力与勇气。几乎没有多少安全管理者有魄力站出来全力支持正确的处理方案,并强烈建议企业将其纳入运营流程。面对如今这个威胁与风险空前高涨的时代,我们需要重新审视自己对于安全角色的定位。换言之,CSO只有获得相应的组织地位并拥有足够的魄力才能对企业高管所不擅长的风险决策提出质疑。
时至今日,技术的不断发展促进了创新工作的提升,但同时也给安全提出了更多关于复杂性与安全性的难题。我们需要为CSO们提供其工作所必需的工具及资源,只有这样才能使其职责得到真正贯彻。
很多企业已经开始积极应对未来可能出现的挑战,利用成熟的安全规程保证CSO能够与CEO及董事会成员们进行直接沟通、以自身组织影响力参与运营决策,从而真正让企业步入安全发展的正轨。但遗憾的是,这些企业仅仅是行业中的特例,要真正使其成为普遍规则还有很长的路要走。