每次发生数据泄露事故,都暴露了一家企业的安全做法中存在的问题。在Target泄露事故中,最有趣的的发现是,Target公司所有安全责任都在***信息官(CIO)身上,该公司甚至都没有***安全官(CSO)。
毫不奇怪,当Target公司CIO兼技术服务执行副总裁Beth Jacob上个月辞职时,很多人提出的***个问题是CIO Jacop是否应该承担责任,因为运行IT基础设施(通常是CIO的责任)和保护信息(通常是CSO的责任)涉及不同的责任,这两者可以是互补的,但经常存在分歧。
首先,任何规模的企业(特别是Target这样规模的企业)需要有一个负责安全的高管,并且,安全部门需要在董事会有一席之地。如果安全完全交给IT部门(其主要职责是运行可靠的基础设施),可能会出现糟糕的决策和泄露事故。
现在,企业没有CSO就像是足球队没有后卫。为了让企业取得成功,他们必须拥有可靠的基础设施以及对信息的适当保护。如果企业只有CIO而没有CSO,没有人会侧重于安全性,坏的事情将会发生。缺乏CSO意味着缺乏安全性。
最有可能的情况是,Target有一个安全团队,对所有安全问题大喊大叫。但管理层没有人听他们的投诉或者帮助他们解决问题。工程师需要能够与CEO进行沟通,CSO就是他们的沟通渠道。如果没有CSO,关键的安全信息无法传达到管理层。笔者猜测,如果Target高管收到了关于安全的正确信息,他们可能会作出不同的决定,这个故事可能会有一个快乐的结局。
平等的代表权
CIO和CSO应该是盟友,在董事会有着平等的代表权。通常情况下,CIO直接向***运营官报告,CSO向CFO报告。COO和CFO直接向CEO报告。但无论组织结构如何,CIO和CSA必须有着不同的报告结构。而且,为了让CIO和CSO建立有效的工作关系,他们必须有明确的责任界限。
通常情况下,***的做法是,让CSO定义适当的安全水平,CIO来部署安全,审计员来验证这种安全性的实现。CSO定义的安全性应该基于企业可接受水平的风险,提供明确的指导方针,并提供衡量合规性的简单方法。
随着越来越多的安全泄露事故被公开,我们应该更容易说服高管他们需要一个CSO。真正的问题是,很多CIO不希望有一个CSO,因为如果由他们控制IT基础设施的所有方面, 他们能够更容易地完成工作。这些内部政策创造了这种局面,即CIO不会游说高管设置一个CSO。因此,企业需要另外的人来告诉***执行官,“你对企业的安全水平感到满意吗?你是否收到了正确的安全指标来作出决定?”
在很多情况下,***执行官想要创建一个CSO的职位,但CIO说服他们,他们并不需要CSO。虽然他们有着良好的意图,往往是CIO在抵触CSO,因为CSO减弱他们控制权,可能使他们的工作变得更加困难。笔者的预测是,在未来五年内,大多数企业都会有一个CSO,直接向高管报告。
在你的企业,CIO和CSO是什么关系呢?他们是盟友还是敌人呢?