俗话说,家和万事兴。相反,家庭不和睦,反而弄巧成拙。同样,如果没有明确的领导,内部风险管理计划或内部威胁计划(ITP)也会失败。而且公司往往出于“团队合作”的心态或不符合当前的管理领域而无法指定领导者。结果“三和尚无水可食”,大家齐心协力,无人照料。这并不意味着要建立一个全能的内部威胁管理“沙皇”或让一个人对与内部风险管理有关的所有事项拥有否决权。真正需要的是最终负责促进跨职能协作、推进安全职能、评估进展并向领导层报告的人。政府将此角色称为负责管理内部威胁的“高级官员”。在美国企业中,此类头衔可能是首席风险官(CRO)、首席安全官(CSO)、首席信息安全官(CISO)或首席行政官(CAO)。首席风险官(CRO)CRO可能是领导ITP的最佳人选。但很大程度上取决于CRO本身的职能和职权范围。一些CRO只关注公司的战略风险。他们建立组织的风险容忍度并开发方法来捕获和衡量风险状况。在这个模型中,运营风险仍然直接落在运营领导者(CSO、CISO、业务部门等)的头上。此类CRO不太适合领导ITP,因为他们缺乏ITP所需的可见性和运营粒度。其他CRO关注公司的战略和运营风险。他们不仅设定组织的风险容忍度,还参与评估、管理和改善公司的运营风险状况。这种类型的CRO非常适合领导ITP。他们通常拥有必要的高层权力(向首席执行官、审计委员会等报告),并且由于职权范围,他们还与公司的其他职能部门(业务部门、法务部、人力资源部、首席战略官)建立必要的关系、CISO等)。此类CRO通常具有共同的责任和报告要求,尽管风险本身的“所有权”仍属于运营主管。因此,让他们成为既定的高管,顺利领导像ITP这样的跨部门计划。首席安全官(CSO)CSO是领导ITP的合理选择。他们通常拥有现有的跨部门关系,包括与法律、人力资源、风险和网络部门的关系。这些关系为他们提供了促进良好协作和增强内部威胁响应所需的视角和影响力。但一些CSO缺乏对内部威胁管理技术方面的正确理解,并且可能觉得无力领导ITP。例如,内部威胁工具往往归CISO所有,他们负责测试、实施和维护每个工具。这对人力资本和财政资源造成了沉重的负担。因此,CISO通常需要大量参与ITP。尽管如此,CSO可以成为有效的ITP领导者,在包括CISO在内的各个职能部门之间建立紧密的合作伙伴关系和工作流程,从而利用整个团队的专业知识。首席信息安全官(CISO)领导ITP的传统选择是CISO。内部威胁传统上被认为是网络安全的一个子集。因此,选择CISO领导企业威胁管理工作也就不足为奇了,无论是内部威胁还是外部威胁。但这种观点正在改变,因为内部威胁是独一无二的,涵盖了一系列职能,包括安全、人力资源、网络和法律。CISO在某种程度上也是一个专业职位,专注于“数字”或以数据为中心的安全性。内部威胁从根本上说是人的问题,而不是数据问题。因此,CISO可能会因其职能范围而不适当地限制ITP的范围。此外,CISO向CIO报告是很常见的,这会带来自然的利益冲突。CIO的任务是确保信息的机密性、完整性和可用性,例如使员工能够执行他们的工作。此功能并不总是完全符合与内部威胁相关的安全需求,导致用于内部威胁管理的资金被其他CIO优先事项延迟或限制。首席行政官(CAO)/总法律顾问/人力资源虽然不是传统的ITP领导者,但由于公司的结构,此类高管可能成为事实上的ITP领导者。在某些公司中,首席执行官还可能兼任总法律顾问或人力资源主管。在这种情况下,一些安全功能也可能会向CAO报告。因此,许多ITP职责可能遵循CAO的指示。其他高管经常听取CAO的意见,使CAO成为ITP的潜在推动者。如果CAO得到多名高级安全主管的支持,这种管理结构可能会运作良好。如果没有强大的高层和中层管理人员支持,该模型就缺乏正确开发、实施和维持ITP所需的指导和专业知识。内部威胁总监职位的出现为了赋予内部威胁计划权力并推动内部威胁计划向前发展,以履行管理内部威胁计划的责任,公司开始设立新的总监和副总裁职位。采用的头衔包括内部信任主管、内部风险主管、员工信任副总裁等,但目标始终是为ITP提供指导。随着公司不断扩大和深化其内部风险管理能力,此类角色和职能的重要性将逐渐增加。虽然该角色最终应直接向CEO报告,但要发展到这一点还需要一些时间。内部威胁主管的职位可能会随着CISO的演变而变化,并在未来几年内获得自己的合法地位。同时,职位要在上述C级高管的带领下继续成长,成为ITP的运营主管。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
