有专门的管理人员负责安全问题变得越来越重要。这也是IDG《2020年安全重点研究》的主要发现之一:61%的受访企业在高管岗位上有安全专家,而在高管岗位上有安全专家一席之地的大公司比例高达80%。这些安全主管在公司中发挥着重要作用:同一项研究发现,没有CISO、CSO或其他高级安全主管的公司更有可能报告说,他们的员工没有接受足够的安全培训,而且他们的安全政策不够积极。但并非所有安全主管在公司组织结构图上的职位都相同,差异会影响组织文化和安全成果。安全职位的员工不可避免地会与其他人发生冲突,因为安全人员的本能是锁定系统以防止无法访问,这显然不会让希望无障碍访问信息和应用程序的IT部门满意。当CISO/CSOvs.CIO时,这种戏码会在公司组织架构的高层上演。斗争的轮廓往往由公司内部的报告层级勾画:如果安全主管向IT部门管理层报告,CISO的战略执行能力将受到限制,因为他们的愿景最终需要服从于IT部门“更大”的愿景。《2020年安全重点研究》在接受采访调查的公司中,近半数的安全总监直接与公司高层沟通。在34%的案例中,安全主管向CEO报告,另外12%的案例向董事会报告。同时,CISO或同等职位在33%的时间里向公司CIO或部门CIO报告。剩下的21%分布在不同的报告路线中,例如首席风险官或总法律顾问。也许较小的公司往往有更扁平的组织安排也就不足为奇了:研究发现,SMB中59%的安全主管直接向CEO报告,而大型企业中这一比例为22%。还有一个同样意料之中的有趣相关性:可以“与天对话”的安全主管也更有可能为安全分配更多的IT预算。CIO.com发布的《2019年CIO状态》调查报告也清楚地反映了这一点。安全支出低于IT预算5%的公司同样可能有CSO向CIO或CEO报告;但是在安全上花费10%或更多的公司拥有向CEO报告的CSO的可能性是其他公司的两倍。这种影响在安全主管职位由CISO担任的公司更为明显:对于安全预算不到5%的公司,只有3%的CISO向CEO报告,但对于安全预算占总预算的公司对于超过10%的IT预算,只有3%向CEO报告。在公司中,26%的CISO向CEO汇报。?标题是什么意思?面对这么多的标题,我们不妨先说明一下区别。头衔使用的一些趋势可用于区分CSO和CISO。总体而言,《2019年CIO状态》的调查数据显示,CSO在公司组织结构中的排名较高:43%的受访企业中安全高管为CSO,直接向CEO汇报;但只有18%大多数CISO可以直接接触公司高管。9%的受访公司表示,他们的首席信息安全官向CSO报告,这表明CSO职位有时负责IT以外的职责,例如物理安全。但也有很多例外,对于许多公司而言,CSO职位本质上是纯技术性的。与其硬性区分,不如用“CSO”来统称安全主管,假设他们的大部分工作职责都落在信息安全上。事实上,许多专家混合使用CISO和CSO。?身处IT领域?企业总是从小到大,其汇报结构也是在发展壮大过程中形成的。在相对年轻的公司中,CSO-to-CIO或其他IT执行结构很常见。如果公司有很多阻止和处理工作要做,例如确保实施适当的防火墙规则,或者及时应用安全补丁,甚至是公司资产初始清单等基本流程,情况就是如此。毕竟,如果你不知道信息和设备在哪里,你谈什么信息安全保护?CSO向CIO或IT主管汇报的安排,可以让CIO全面了解IT的情况,将各个信息技术领域的综合可视性汇集到一个中心人物那里。但随着公司逐渐壮大,安全职能留在CIO体系下就变得不自在了。最值得注意的是,CSO可能会发现自己不一定与IT部门的其他成员有着相同的目标和动力。CSO向CIO报告的结构可能导致成本管理优先于风险管理。更直白地说:CIO通常会因交付创收业务项目而获得奖励。修复bug是CISO的工作,而这些安全项目总是在与利益驱动的项目争夺资源。然后是不同优先级的问题:CIO有很多业务目标,如果CSO归CIO管辖,那么在完成大项目时,他们会被拉入同一个阵营。例如,HigherGroundManagedServices的首席执行官BrianBrammeier在他咨询的一家公司遇到了这种情况:“有一个重大的安全漏洞正在暴露数据。CIO已收到通知,但没有将此问题归类为必须解决的问题放弃所有的优先修复,没有给予足够的重视,而实际上这个问题如果不及时修复,真的会出大问题。由于问题的严重性,安全总监联系了董事会并后来董事会修改了报告结构,CISO直接向董事会报告。“大多数人在发现安全问题时都会采取防御姿态,”Brammeier解释道。出现问题时,谁的错并不重要,只要您专注于解决问题即可。“但在现实中,并不是每个人都有这么大的图景,CSO和顶头上司CIO之间的冲突并不总是像Brammeier描述的案例那样得到解决。是的,你可以告诉董事会,你和CIO但这通常无助于你长期留在CISO的位置。?以战略思维向CIO汇报可能会限制CSO执行战略的能力。一个CSO在这个位置是一个Moneyispouringinin.承认你构建的安全架构不再有效的压力会造成很大的压力,因此CISO不愿意重新发明轮子或在必要时进行调整。基本上,CISO既没有权力也没有动力转向受益整个公司的安全方法。具有向上报告结构的公司可以避免CSO的这个陷阱。一旦公司的技术方面成熟,安全部门就可以过渡到更基于风险的方法和回购rt到公司的最高层。事实上,大多数受访者表示,具有前瞻性思维的公司的标志之一是CSO不接受CIO的命令,而是像公司领导者一样思考。几位接受采访的高管吹捧CSO角色更像是多部门协调员的组织掌握所有安全相关事务的“命令和控制”CISO概念不再有效。CISO变成了委员会主席,负责收集和跨部门沟通指标,然后打包呈现给公司高层。在这个模型中,安全架构存在于公司的每个职能领域,CISO负责治理和提供透明度。换句话说,CSO需要走出IT领域。CISO完全以IT为中心并因此受CIO管辖的日子已经一去不复返了。安全有效性管理和风险管理超越了IT,需要在执行层面进行,以便技术和非技术决策者都有基于证据的数据,以更有效地做出明智的业务决策。?上达天庭让决策者听到自己的声音声音,或许是CSO想要跳出IT系统的最重要原因,而且离高层越近越好。理想情况下,CSO/CISO可以直接向董事会报告。鉴于大多数公司的实际情况,更务实的目标可能是向CEO或同等地位的人汇报。CISO或CSO要想真正高效,就需要接触核心决策过程和权威,以独立的声音参与决策过程。如果要真正为一家公司提供信息和资产安全指导,就需要参与高层的决策会谈。不仅仅是作为旁观者,而是拥有投票权。提及如何获得CSO需要的资源,让他们在领导层中发表意见可以带来实实在在的好处。通常,在拥有稳固安全文化的成功公司中,CSO直接向CFO或COO等高管报告。这些高管通常深入参与日常决策,有能力了解长期安全需求并将其纳入资本支出计划,并在必要时为“紧急”需求提供资金。?组织结构的多种可能性大多数受访高管承认,CSO向CIO报告的模式仍然很普遍,但在某些情况下并不理想。当被问及他们首选的报告方式时,高管们提供了一些建议。CSO→CEO:向CEO报告的CSO提供直接和及时的信息流。而且有时候,如果你的高管恰好是技术出身,那么你获胜的机会就更大了。领导层有一个技术型CEO,真的很幸运,他可以克服典型的沟通障碍,让我们享受当今社会快节奏的进步。·CSO→COO:但不是每个人都这么幸运。CEO每天要面对那么多的诉求,其他重要的决定可能都会把安全考虑放在后面。相比之下,向COO报告,CSO相当于获得了“大量参与日常决策制定”的领导层。CSO→CFO:在一些公司,CFO负责避免任何一种财务损失,安全已经进入他们的视野。然而,CFO往往缺乏理解CISO职能复杂性的技术背景。在有利的情况下,CFO在短暂的延迟后选择支持CISO。如果情况不利,CFO缺乏技术加上他们一贯的省钱思维可能会使CISO陷入困境。一些公司选择让CSO向更专业的首席风险官(CRO)报告。CSO→总法律顾问:由于网络安全风险和数据泄露通常具有重大的法律影响,尤其是在高度监管的行业中,因此CSO向公司的首席法律顾问报告是有意义的。公司可以使用这种报告结构来深入调整和调整围绕网络风险的问责制和观点。CIO→CSO:这似乎是相反的,但有时确实如此。这在一定程度上是由于IT、云、移动应用程序和其他由业务部门驱动的项目的消费化,而不是企业范围内的IT决策。同时,CIO向CSO汇报的汇报关系也受到公司历史的影响。一个典型的例子就是CIO晋升为CISO,然后为自己招收一名CIO下属的情况。?应有的尊重向高层报告的CSO更受重视,这提高了他们的工作满意度。与决策者的距离是CISO平均任期只有18个月左右的一个常见原因。CISO不是一份容易上手的工作,如果做不成,就很难长久做下去。如果一家公司正在寻求聘请安全主管,那么CSO向CEO报告的报告线将对顶尖人才更具吸引力。但受人尊重不仅关系到CSO的个人福祉,还关系到公司的安全。CSO在具有安全意识的公司中处于最佳状态,让CSO直接接触公司高层创造了这种协同效应。如果数据泄露会导致公司倒闭,CISO应该向CEO报告。就这么简单,这只是改变CEO的想法以确保安全计划到位的问题。当CISO直接向CEO报告时,信息流是及时和顺畅的。这种报告关系还向整个公司及其利益相关者(员工、客户、董事会、投资者等)传达安全是重中之重的信息。日益严格的安全监管要求也促使CSO独立于IT直接向高级管理层报告。在当今的监管环境中,公司应该将CISO/CSO置于独立和监督的位置,并能够充当安全功能和功能的业务顾问。如果在CIO的领导下,CISO将失去独立性和客观性,其评估工作将受到控制和约束,以至于根本无法发挥其价值。最后,不断变化的法律和威胁形势也将使CSO成为CIO和其他高管的点对点合作伙伴,原因只有一个:底线!影响公司股价的安全事件最近很常见。例如,Equifax的股价在公司重大数据泄露事件后一直没有恢复,索尼的股价在PlayStation数据泄露和内部文件被盗后也一直疲软。随着此类高影响力事件的不断发生,CISO很可能在未来几年内开始进入公司的高级管理团队。IDG《2020年安全重点研究》:(戳原文直接查看)https://resources.idg.com/download/2020-security-priorities-executive-summary
