每个数据泄露事件都会暴露组织安全实践中的问题。在Target违规事件中,最有趣的发现是Target的所有安全责任都由首席信息官(CIO)承担,而该公司甚至没有首席安全官(CSO)。毫不奇怪,当Target的CIO和技术服务执行副总裁BethJacob上个月辞职时,许多人问的第一个问题是CIOJacop是否应该承担责任,因为运行IT基础设施(通常是CIO的责任)和保护信息(通常是CSO的职责)涉及不同的职责,这些职责可以互补,但往往有分歧。首先,任何规模的企业(尤其是Target这样规模的企业)都需要有一名负责安全的高管,并且安全部门需要在董事会中占有一席之地。如果安全性完全留给IT(其主要职责是运行可靠的基础架构),则可能会出现错误的决策和违规行为。现在,没有CSO的企业就像没有后卫的足球队。为了使企业取得成功,他们必须拥有可靠的基础架构,并适当保护信息。如果你有CIO而没有CSO,那么没有人会关注安全问题,就会发生不好的事情。缺乏CSO就意味着缺乏安全感。最有可能的是,Target的安全团队对安全大喊大叫。但管理层中没有人听取他们的抱怨或帮助他们解决问题。工程师需要能够与CEO沟通,而CSO是他们沟通的渠道。没有CSO,关键的安全信息就无法到达管理层。我的猜测是,如果Target的高管们收到了有关安全的正确信息,他们可能会做出不同的决定,而这个故事可能会有一个圆满的结局。平等代表CIO和CSO应该是在董事会中具有平等代表权的盟友。通常,CIO直接向首席运营官报告,而CSO向CFO报告。首席运营官和首席财务官直接向首席执行官报告。但不管组织结构如何,CIO和CSA必须有不同的报告结构。而且,要使CIO和CSO建立有效的工作关系,他们必须有明确的职责界限。通常,最好让CSO定义适当的安全级别,CIO部署安全性,而审计员验证该安全性的实施。CSO定义的安全性应基于可接受的业务风险级别,提供明确的指导方针,并提供衡量合规性的简便方法。随着越来越多的安全漏洞被公开,应该更容易说服高管他们需要CSO。真正的问题是许多CIO不想要CSO,因为如果他们控制IT基础架构的所有方面,他们可以更轻松地完成工作。这些内部政策造成了CIO不游说高管设立CSO的情况。所以企业需要另一个人来告诉CEO,“你对企业的安全级别满意吗?你是否收到了正确的安全指标来做出决定?”在很多情况下,CEO想要创建一个CSO职位,但CIO说服他们他们不需要CSO。尽管他们的意图是好的,但抵制CSO的往往是CIO,CSO可能会通过减少他们的控制来增加他们的工作难度。我的预测是,在未来五年内,大多数公司都会有直接向高管报告的CSO。在您的企业中,CIO和CSO之间的关系是什么?他们是盟友还是敌人?
