一直以来,CISO应该向谁汇报的疑问,因为数字安全的上升,让企业高层有了新的紧迫感。
数字安全在企业内已经上升到了新高度,而CISO则是它的守护者。
“赶紧找一位CISO,”Nemertes Research的总裁和创始人。
网络安全专家Candy Alexander认为企业需要一位CISO。 “这是至关重要的。绝对至关重要。企业绝对不能没有CISO。”
比较有争议的是,一旦这位安全高层上任,最佳的汇报架构应该是什么。他或她应该向CIO汇报?还是向运营或者法务部门汇报?还是直接向CEO汇报?
“自从CISO这个职位诞生,就一直有争议。” Alexander说,他之前也是一位CISO,现在是独立顾问。
根据Cloud Security Alliance and Skyhigh Networks最近的一份报告, 61%的企业有一位CISO。其中,42%的向CIO汇报,32%的向CEO汇报, 26%的向其他高管汇报,包括总法律顾问和CFO。
之所以有CISO汇报架构的争论,和CISO为什么如此重要有关:保护公司的业务不受各类信息安全的威胁。汇报给不合适的上级,他可能会从业务角度施加不正当的影响,限制CISO展开工作的能力。
信息安全需要IT计划,当然,是属于CIO的职能范围,但全面数字安全则不属于, Alexander说。
“他们不一定像我们这些处于该领域内的人一样,拥有对于安全技术和/或实践和方法的远见,洞察力。”
CISO汇报架构的多样化
不仅仅是管理信息安全,CISO需要管理整个公司的信息安全战略。他或她需要与高管合作,让他们意识到网络安全威胁是业务的威胁,然后确保消息层层传递下去,到达中层经理和他们的业务部门。
如果CISO向CIO汇报,可能会有生产力和安全之间的冲突, Alexander说。CIO的职责是创新,推动盈利的业务战略,让新的应用上线,并确保在用户需要的时候,有IT服务可用,理论上,会掩盖安全措施。Alexander说,CISO与CIO之间会发生预算上的争论,多少资金应该分配给安全,多少分配给支持业务的IT基础设施。
“你很难向公司的高管进行汇报,述说IT应该配合这个项目,当你的老板也坐在其中,”她说。“你真的不想那样做。”
CISO也不应该向CEO汇报,在Alexander看来。CIO与CISO之间的争论经常需要CEO做出裁决,而CEO没有这样的时间。
正确的架构根据公司有所不同,她说,但是COO应该是CISO的老板,因为这种模式将安全和风险意识直接带入企业的日常运营。CFO也可以,因为作为负责财务报告质量的高管,明白相互制衡对于企业安全的重要性。
总之,最重要的是,CISO需要和CIO平级, Alexander说。这样,CIO会重视CISO,当他警告某个应用或其他IT资源对企业构成了威胁。他们之间的对话不应该是“为什么你不能保护你的边界?”而应该是“让我们一起想想,能做些什么。”
网络犯罪合作伙伴
Equinix公司位于硅谷,为全球的企业提供数据中心资源,它的CISO向CIO汇报。George Do担当这一信息安全职位,他知道所有围绕CISO汇报架构的争论。在某些企业内,首席IT和安全官之间,可能是对立的,无法合作的,但是在Equinix却不是。 他的老板是CIO, Brian Lillie。
“我们是数据中心公司,但实际上我们的使命是和我们的客户相互连接,” Do说。公司为了这一使命,在IT和云计算上投入巨资。“CIO是一个巨大的利益相关者。对我来说,安全应该支持这一使命;安全不主导,但是支持。”
企业在全球范围内运行145个数据中心,Do为公司开发了一个安全战略。除了风险评估和制定长期和短期的目标,他负责的常规运营项目还包括防火墙,为安全事故起草响应计划,部署新技术来减少风险。他向Lillie汇报这一切,然后,他会给反馈,然后签字。
在Lillie之后,Do将有关安全和风险意识的信息传递给公司内的其他人。他丢弃了在象牙塔内管理安全的想法,使用良好的,传统的沟通技能和同事进行交流。
“我们使用合理化的安全政策,为什么我们有这些政策,为什么我们使用这种方式,”Do说。“10次中有9次,用户能够明白和理解。”
业务关联
Nemertes的Johnson最近就安全战略采访了一些公司,发现在拥有最成熟的网络安全战略的企业内,CISO直接向业务高管汇报。
这项研究,调查了17个企业,发现CISO和业务方面的距离越近,企业应对当前和未来的安全挑战准备的越充分。
Johnson在3月8日的网络研讨会上发表了这一研究。 如果CISO距离业务高管2个或以上级别,“你汇报的对象的汇报对象向业务高管汇报”——这样的企业的安全成熟度就较低。拥有这样相距两个级别的CISO汇报架构的企业拥有应对网络攻击的基本技术和员工,但它不能在问题发生之初,就阻止。
汇报给CIO的情况稍好,但是距离业务高管仍有一个级别。
“错误不在CIO,” Johnson在接受采访时表示。“这是CISO的工作,将信息安全风险转化为业务风险。” 而CISO向哪位业务高管汇报则不那么重要:可以是CEO,CFO,COO或者首席风险官。
CISO也应该定期与董事会保持沟通, Johnson说,每个财政季度向负责风险和合规审计的运营委员会进行更新。
“并不需要,向8个人进行正式的演讲,” Johnson说。“也许是每隔一个周四,和负责风险委员会的三个人一起吃顿饭。”