在您的企业中CIO和CSO是盟友还是敌人?

安全
每次发生数据泄露事故,都暴露了一家企业的安全做法中存在的问题。在Target泄露事故中,最有趣的的发现是,Target公司所有安全责任都在首席信息官(CIO)身上,该公司甚至都没有首席安全官(CSO)。

每次发生数据泄露事故,都暴露了一家企业的安全做法中存在的问题。在Target泄露事故中,最有趣的的发现是,Target公司所有安全责任都在***信息官(CIO)身上,该公司甚至都没有***安全官(CSO)。

[[111547]]

毫不奇怪,当Target公司CIO兼技术服务执行副总裁Beth Jacob上个月辞职时,很多人提出的***个问题是CIO Jacop是否应该承担责任,因为运行IT基础设施(通常是CIO的责任)和保护信息(通常是CSO的责任)涉及不同的责任,这两者可以是互补的,但经常存在分歧。

首先,任何规模的企业(特别是Target这样规模的企业)需要有一个负责安全的高管,并且,安全部门需要在董事会有一席之地。如果安全完全交给IT部门(其主要职责是运行可靠的基础设施),可能会出现糟糕的决策和泄露事故。

现在,企业没有CSO就像是足球队没有后卫。为了让企业取得成功,他们必须拥有可靠的基础设施以及对信息的适当保护。如果企业只有CIO而没有CSO,没有人会侧重于安全性,坏的事情将会发生。缺乏CSO意味着缺乏安全性。

最有可能的情况是,Target有一个安全团队,对所有安全问题大喊大叫。但管理层没有人听他们的投诉或者帮助他们解决问题。工程师需要能够与CEO进行沟通,CSO就是他们的沟通渠道。如果没有CSO,关键的安全信息无法传达到管理层。笔者猜测,如果Target高管收到了关于安全的正确信息,他们可能会作出不同的决定,这个故事可能会有一个快乐的结局。

平等的代表权

CIO和CSO应该是盟友,在董事会有着平等的代表权。通常情况下,CIO直接向***运营官报告,CSO向CFO报告。COO和CFO直接向CEO报告。但无论组织结构如何,CIO和CSA必须有着不同的报告结构。而且,为了让CIO和CSO建立有效的工作关系,他们必须有明确的责任界限。

通常情况下,***的做法是,让CSO定义适当的安全水平,CIO来部署安全,审计员来验证这种安全性的实现。CSO定义的安全性应该基于企业可接受水平的风险,提供明确的指导方针,并提供衡量合规性的简单方法。

随着越来越多的安全泄露事故被公开,我们应该更容易说服高管他们需要一个CSO。真正的问题是,很多CIO不希望有一个CSO,因为如果由他们控制IT基础设施的所有方面, 他们能够更容易地完成工作。这些内部政策创造了这种局面,即CIO不会游说高管设置一个CSO。因此,企业需要另外的人来告诉***执行官,“你对企业的安全水平感到满意吗?你是否收到了正确的安全指标来作出决定?”

在很多情况下,***执行官想要创建一个CSO的职位,但CIO说服他们,他们并不需要CSO。虽然他们有着良好的意图,往往是CIO在抵触CSO,因为CSO减弱他们控制权,可能使他们的工作变得更加困难。笔者的预测是,在未来五年内,大多数企业都会有一个CSO,直接向高管报告。

在你的企业,CIO和CSO是什么关系呢?他们是盟友还是敌人呢?

责任编辑:蓝雨泪 来源: IT168
相关推荐

2021-09-08 15:02:28

人工智能AIRFID

2024-06-13 13:13:52

2015-06-12 10:39:07

数据中心

2022-09-01 08:50:08

CIOIT业务模型

2015-07-15 10:11:31

SparkHadoop

2023-07-18 15:04:51

2023-12-01 13:37:39

2009-03-25 09:23:49

CTOCIO掌舵

2009-03-20 11:56:29

2023-11-02 10:48:40

CIOGenAI

2023-10-19 13:25:00

2010-06-01 10:05:46

日本CIOSaaS

2023-10-09 10:51:22

2013-10-31 11:21:17

2010-05-04 11:25:49

CIO

2012-01-11 12:57:33

信息移动化

2011-12-21 15:02:26

CIO

2023-08-30 23:41:27

首席信息官CIO

2009-08-10 10:14:50

思科钱伯斯

2024-07-18 15:03:56

点赞
收藏

51CTO技术栈公众号