当理想照进现实――CSO迷思
每次发生的数据泄露事件,都会暴露一家企业的安全做法存在的种种问题。在Target信息泄露事件中,最有趣的发现之一是,Target公司将所有安全责任都归咎于CIO[注] (首席信息官[注]),该公司甚至没有设置CSO(首席安全官)。
意料之中的是,当Target公司CIO兼技术服务执行副总裁Beth Jacob在年初辞职时,很多人提出的第一个问题是Jacop究竟是否应该承担全部责任。因为通常来讲,运行IT基础设施是CIO的责任,而保护信息则是CSO的责任,这两者可以是有机互补的,但实际执行中经常存在分歧。
那么,信息技术和安全之间的界线从何而来又终于何处呢?谁将为此负责?CSO又是如何决定局面?在工作中,CIO和CSO之间的是否可以有机配合?
CSO:盛名之下其实难副
CSO们总是抱怨在其企业内部缺乏安全领导的概念,致使其很难维持工作。但究竟谁是罪魁祸首呢?
跟一些信息安全的从业人员谈论起过去十年其在工作中遇到的最大挑战时,往往会听到他们抱怨企业业务领导没有提供开展安全工作所需的正常支持和空间。一方面,企业安全预算严重缺乏;另一方面,他们认为安全并没有在企业内部得到一席之地。
毫无疑问,大量安全团队经常感觉受挫。很多企业认为网络安全是一个IT问题,而不是一个业务问题。然而,仔细考虑企业是如何依赖于IT和这些系统的信息时,企业需要认识到网络安全的确是一块重要的业务。
IT安全市场研究公司Securosis的分析师Mike Rothman认为,许多人同意并响应一种论调,即在许多情况下,安全领导力的缺乏都是CSO的错,缺乏安全领导力的CSO是导致其安全项目失败的原因。根据定义,CSO负责企业的安全领导,他们负责确保高级商务人士的安全,事实上事关企业的每个用户,并负责了解信息安全的重要性。如果CSO发现没有企业没有回应他的领导,那么CSO就是错误的人选。
企业的聋耳
可以肯定的是,一些商业领袖对于安全风险管理仍然置若罔闻。问题一部分要归咎于管理结构层次。最近,451集团的安全分析师Javvad Malik进行了一项研究分析。分析后惊讶地发现,实际上一直以来,CSO们都感觉,他们在管理信息安全风险方面通常是无效的,但这并不是他们的错。而且分析结果表明,CSO和CISO(Chief Information Security Officer)这样的安全领袖或安全主管在企业的实际管理中几乎无效。在大多数情况下,这些人都是负责安全级别的高管。但实际上,安全团队通常都是越过CSO,直接报告给首席信息官或首席财务官。
这是不幸的,因为这说明CSO们往往没有得到施展的一席之地,当报告给CIO时,会存在强烈的固有的IT项目利益和信息安全之间的冲突。
然而,CIO和CSO应该是盟友,在董事会有着平等的代表权。通常情况下,CIO直接向CEO报告,CSO向CFO报告。但无论组织结构如何,CIO和CSO必须有着不同的报告结构。而且,为了让CIO和CSO建立有效的工作关系,他们必须有明确的责任界限。
笔者认为,通常情况下最好的做法是,让CSO定义适当的安全水平,CIO来部署安全,审计员来验证这种安全性的实现。CSO定义的安全性应该基于企业可接受水平的风险,提供明确的指导方针,并提供衡量合规性的简单方法。
随着越来越多的安全泄露事故被公开,我们应该更容易说服高管他们需要一个CSO。真正的问题是,很多CIO不希望有一个CSO,因为如果由他们控制IT基础设施的所有方面, 他们能够更容易地完成工作。这些内部政策创造了这种局面,即CIO不会游说高管设置一个CSO。因此,企业需要另外的人来告诉首席执行官,“你对企业的安全水平感到满意吗?你是否收到了正确的安全指标来作出决定?”
在很多情况下,首席执行官想要创建一个CSO的职位,但CIO说服他们,他们并不需要CSO。虽然他们有着良好的意图,往往是CIO在抵触CSO,因为CSO减弱他们控制权,可能使他们的工作变得更加困难。
CSO在逆流而上
幸运的是,潮流可能正在逆转,正如在社会调查中,46%的受访安全决策者认为,自己的企业或者组织在过去的一年中比以往更加重视风险管理;61%的安全决策者希望公司领导在未来一年以及更远的未来都能更加重视风险管理。调查结果表明,企业或组织规模越大,其风险管理就更有价值。
更重要的是,近四分之三(74%)的受访安全专家明确表示,他们将越来越多的时间和精力放在建议增加与安全相关的高管和其他高级业务决策者上面,79%的人希望在未来三年企业和组织投入在安全领域的时间继续增加。
现在,企业没有CSO就像是足球队没有后卫。为了让企业取得成功,他们必须拥有可靠的基础设施以及对信息的适当保护。如果企业只有CIO[注]而没有CSO,没有人会侧重于安全性,坏的事情将会发生。缺乏CSO意味着缺乏安全性。需要注意的是,机会很重要不能浪费,并利用这个机会建立可信度。首席安全官可以帮助企业达到其目标,建立可信度并不是玩游戏,要意识到并不是所有事项都应当作为首要任务。企业应该考虑具体问题,确定其潜在影响,和需要做什么来管理问题,以及这个问题是否真的值得处理。这才是CSO进入社会发挥的领导作用所在,即帮助企业决定哪些领域最需要努力和降低风险减少。
CSO需应对技术环境蔓延
如今,中级市场和SMB组织还没有完全致力于信息安全的角色,但是时机早已成熟。当今的技术环境就像野火一样蔓延。连接到多个不同的网络被视为平常事,而且企业部署的工具数量和支持的应用程序都在不断增长。
CSO如今正面临重要的抉择,而且随着面向企业的法规要求更加繁重,这种安全工作的必要性正在迅速地增长。由于组织利用新趋势和机会扩大业务范围,比如BYOD[注]和云服务,对安全专家的需求也将非常高。
更重要的是,智能终端时代企业职员总是会随身携带平板电脑或智能手机,不论是去开会或者在竞争对手的办公室。这是可以被用于好的方面的技术–或者是用于邪恶的方面。
到2020年,企业或组织将采用多种云服务,BYOD将成为一种生活方式,CSO则将需要准确理解如何把所有的东西都融合在一起。今天,CSO们已经在挣扎于如何应对BYOD及其对安全的影响;到2020年,几乎所有的员工将拥有智能手机和平板电脑,以及具有2020年特色的移动设备。
还有更多的问题需要考虑。届时云服务将无缝整合到现有的IT环境里。在许多情况下云都将成为另一个服务层,但在此过程中会出现诸多弯道,每一个弯道都将是一个潜在的安全风险。而且,随着更多的云服务进入企业,CSO们必须为购买决策的每一种服务审查每个供应商的安全状况。
简而言之,2020年的CSO将面临大量分散的环境,需要对多个安全领域进行密切跟进。
相关文章
- 3条评论
- 舔夺不矜2022-06-01 13:16:52
- 了让企业取得成功,他们必须拥有可靠的基础设施以及对信息的适当保护。如果企业只有CIO[注]而没有CSO,没有人会侧重于安全性,坏的事情将会发生。缺乏CSO意味着缺乏安全性。需要注意的是,机会很重要不能浪费,并利用这个机会建立可信度。首席安全官可以帮助企业达到其目标,建立可信度并不是玩游戏,要意识
- 美咩嘟醉2022-06-01 12:02:05
- 管他们需要一个CSO。真正的问题是,很多CIO不希望有一个CSO,因为如果由他们控制IT基础设施的所有方面, 他们能够更容易地完成工作。这些内部政策创造了这种局面,即CIO不会游说高管设置一个CSO。因此,企业需要另外的人来告诉首席执行官,“你对企业的安全水平感到满意吗?你是否收
- 性许夙世2022-06-01 07:17:00
- 总是抱怨在其企业内部缺乏安全领导的概念,致使其很难维持工作。但究竟谁是罪魁祸首呢? 跟一些信息安全的从业人员谈论起过去十年其在工作中遇到的最大挑战时,往往会听到他们抱怨企业业务领导没有提供开展安全工作所需的正常支持和空间。一方面,