首席信息安全官(CISO)和首席信息官(CIO)需要权衡其网络安全责任如何随着业务环境和威胁形势的变化而演变。在大多数企业中,首席信息安全官和首席信息官共同承担网络安全责任是很常见的,这个问题对任何企业的有效运营都越来越重要。明确的网络安全所有权是成功定位企业安全不可或缺的一部分。根据国际信息系统审计协会(ISACA)最近对近3,700名全球网络安全专业人员的调查,48%的网络安全团队直接向首席信息安全官报告,25%向首席信息官报告。尽管这些报告因报告而异,但它们表明CISO和CIO在安全职能的所有权、对网络攻击增加或减少的看法、检测和响应网络威胁的能力以及网络犯罪方面没有显着差异。然而,该报告确实发现了与网络风险评估的执行评估、公司董事会如何优先考虑网络安全以及战略调整有关的差异。此外,该报告还指出了一种日益增长的行业惯例,即CISO向CIO以外的任何人报告,尤其是当CISO的工作范围包括治理、风险和合规性时。合规性、业务连续性/灾难恢复、欺诈、信任以及安全或危机管理。由于业务规模、行业和监管要求等因素,首席信息官和首席信息安全官在网络安全问题上的责任可能有所不同。尽管如此,随着网络安全越来越多地与更广泛的业务元素交织在一起,谁拥有什么类型的网络安全所有权以及为什么变得越来越重要。网络安全职责:CISO与CIOLightico的CIOOmriBraun这样总结了大多数CIO和CISO的网络安全职责之间的区别:“CIO更注重确保使用正确的工具以最大限度地提高效率,以及确定影响业务的技术并不断寻找更好地使用和生产的机会。CISO负责确保主动保护数据安全性和完整性。”国防部全球首席信息安全官OrangeCyber??RichardJones对此表示赞同。“通常情况下,CISO的职责是从运营的角度看待安全,并保护企业免受网络威胁,”他说。另一方面,CIO更专注于通过设计将安全性构建到企业更广泛的技术堆栈和正在进行的数字化转型项目中,以提高弹性、增强用户体验并最大限度地提高效率。网络安全架构师TeePatel表示,在涉及安全投资回报率时,首席信息官通常被迫采取“党派路线”,而首席信息安全官通常需要更加独立并专注于保护业务。使企业盈利并实现其目标(CIO)与保持IT安全(CISO)是CIO和CISO之间的显着区别。“这些区别可能很微妙。CISO和CIO对数据的态度最好地总结了责任上的差异,”特许信息安全协会首席执行官AmandaFinch说。信息安全认证认可机构CREST总裁伊恩·伊恩·格洛弗表示,从安全的角度来看,越来越难以将CISO和CIO的角色完全分开。在大多数企业中,它们过于紧密地结合在一起并且相互关联。CISO的网络安全职责ZoomCIO安全官JasonLee表示,他的主要工作重点是保护关键信息,包括客户数据、员工数据和源代码。“当谈到安全时,重要的是要考虑大局,”他说。这包括查看与业务相关的第三方并评估如何最好地管理任何风险。我还负责培训和教育尽可能多的员工,以确保他们做好准备并免受安全威胁。对于惠普公司的首席信息安全官JoannaBurkey来说,驾驭混合工作时代以保护企业是当前安全工作不可或缺的一部分。对经常在没有传统基础设施保护的情况下开展工作的员工添加更多限制很容易。“然而,这些安全政策和限制是为远程工作是例外而不是常态的时代而设计的,需要从新的角度来看待。”她说,“CISO现在需要考虑其他风险缓解方法如何保护企业。”,但同时也承认,在现实生活中,政策遵守情况并不总是很好,尤其是在全球疫情爆发之后。Jones补充说,管理由动态网络威胁形势和数字化转型浪潮相结合造成的过载是现代CISO角色的另一个组成部分。从CEO到初级员工,每个人都将其放在首位。因此,首席信息安全官必须从头开始将安全性融入企业数字环境的各个方面,确保从数字项目开始就融入其中,最终减少安全团队面临的警报量,并让他们能够更好地利用他们的技能,他指出。和资源。CIO的网络安全职责Finch指出,虽然CISO负责网络安全的各种日常和前瞻性规划,但在大多数组织中,这些职责往往由CIO承担,CIO向CEO和董事会成员报告。“因此,CIO不能将责任完全移交给CISO,”他说。相反,他们需要保持对其安全策略的认识,并确保他们不会将企业的整体策略置于风险之中,反之亦然。根据Tenable首席信息官BradPollard的说法,当今的CIO有一系列基于可用性、性能、预算和项目及时交付的安全责任。他说,“CIO支持企业内的每一个业务部门。在这样做的过程中,他们继承了每个业务部门的信息安全需求。”例如,首席信息安全官很可能负责定义安全参数,例如Pollard说:“错误修复或访问控制的服务水平协议,但首席信息官有责任满足企业所有业务部门和所有技术的这些要求。”CIO面临的主要网络安全挑战是满足业务需求需求,尤其是在预算和时间表之内,同时保持安全的环境。英国埃塞克斯大学首席信息官JotsSehmbi表示,首席信息官的职责不仅是经营传统业务,还越来越多地包括新技术的实施,为企业提供数字能力。他说,“其中一些technologies对企业来说可能是新奇的(例如RPA、人工智能、物联网)并具有潜在风险,例如数据的结构方式。因此,深入了解新技术的网络安全趋势是CIO的责任。冲突与合作鉴于世界并不完美,CISO和CIO的不同网络安全责任和目标可能会导致冲突,Braun说。但需要增强凝聚力,以确保使用具有前瞻性思维的技术,该技术受到安全实践的保护,并且不会损害业务、其数据或其客户的数据。Jones说,CIO和CISO不能孤立地看待自己,必须明白,虽然他们可能有不同的目标,但他们在同一条道路上。“这两个职位之间的协作和沟通是现代企业的关键,”他说。CISO和CIO必须协作,利用SD-WAN、SASE和零信任等技术和方法,在不影响可用性的情况下支持这些新的安全高效的工作方式。他补充说,CISO和CIO还必须了解彼此的限制并在彼此的限制下运作。引用此处涉及的监管问题,格洛弗强调了国际监管界的一个新问题,监管机构现在认识到有责任了解其受监管实体提供的网络安全保证水平,他说,“首席信息官和首席信息安全官之间需要加强合作同一个受监管的行业。监管者做他们认为正确的事情,但往往从他们自己的角度看待事情。这种积极影响与CIO和CISO的历史角色大不相同,但是,如果谨慎和富有同情心地完成,将降低业务成本,让更多资源专注于控制而不是报告,并提高展示对业务的真正理解和降本增效的需要,提升了CIO和CIO在企业中的地位。Lee补充说,网络安全在业务运营中不断演变的角色正在改变CIO和CISO之间的凝聚力,这是他在Zoom的亲身经历。他说,“我们都必须优先考虑网络安全并应对日益增加的威胁。在做出任何决定时,安全必须是我们的首要考虑因素。保持参与彼此的战略和关键举措至关重要。即使我们认为我们不需要彼此来确保强有力的一致性,我们也在不断地在战略上相互接触。这意味着我们的角色比过去更加紧密,使协作变得更加重要。“网络安全所有权的未来展望未来,专家预测CISO和CIO的网络安全责任将发生重大变化。Finch说,“我们将看到CIO和CISO努力使安全成为道德标准、行为和行为的可信来源执法,法律、医学和会计等职业也是如此。Zscaler首席信息安全官MarcLueck表示,未来几年CIO将经历一段有趣的网络安全之旅。“要么他们擅长用成本和收益模型平衡两种截然不同的基本服务,要么CIO将负责IT安全交付,由不再向他们报告的CISO管理并可能执行。这两种模型都将存在,并且作为只要合适的人担任角色,两者都会成功。“对于CIO来说,网络安全失败并不令人难忘,但对于CIO而言,网络安全将变得与效率和成本削减技能一样重要,”Pollard补充道。由于平台承担了一些传统的IT职责,CIO将有更大的责任在业务部门内寻找安全专家。他补充说:“这些专家不仅需要知道如何保护正在使用的特定技术,还需要了解什么对特定业务部门的影响最大。对风险和威胁的态势感知。Glover预测,CIO和CISO的共同责任将在第三方连接和收购领域发生变化,双方需要共同努力建立有意义的流程以提高安全性和保障性。他说:“他们将共同努力,确保他们成为企业重大举措的一部分,并在他们之间拥有实力和权威,就第三方关系以及收购和合并做出知情和深思熟虑的声明。“
