对数据泄露的担忧、对数据隐私法规的遵守以及将安全工作与IT部门分开的举措都在增加CISO的角色。角色的重要性。作为麦当劳的首席信息安全官,TimothyYoungblood的职责范围广泛且影响力巨大,这与几年前他这样的大多数高管有很大不同。作为这家快餐巨头的首席安全官,Youngbrod的职责不仅是在全球范围内保护麦当劳的品牌,而且还推进和支持业务计划和目标。他向高级领导汇报,具有董事会级别的重要性和责任感,并且在公司的关键业务决策中有发言权。“10到15年前,CISO的角色更像是一只独角兽,”Youngbrod说。“很少有公司拥有CISO,甚至不知道CISO的工作。Youngbrod说,如果你有安全主管,它通常向基础设施副总裁或类似角色报告,并且仅限于访问控制等业务。如今,CISO不仅向董事会报告,而且还是其中的一员。“由于今天的头条新闻,大多数董事会希望在与CIO交谈之前与负责安全的高管进行对话。”首席信息安全官的角色正在迅速演变。数据泄露、合规性和第三方风险管理都受到关注。经历数据泄露的组织可能代价高昂并导致品牌受损。Equifax2017年的数据泄露导致其损失了3.81亿美元的违约金。此外,美国联邦贸易委员会(FTC)已要求该公司在未来五年内至少花费10亿美元用于安全改进。欧盟的《通用数据保护条例》(GDPR)和《加利福尼亚消费者隐私法案》(CCPA)等法规要求组织对客户和消费者数据实施新的、更精细的控制,从而给组织施加压力。由于供应链和第三方之间的违规而导致的数据泄露使企业面临新的责任,迫使他们做出回应。CISO正处于如此多的变化之中,并且越来越多地被赋予制定隐私风险计划以及管理第三方风险和供应商的责任。BrucePotter说,对于许多人来说,这些都是新领域,几乎没有经验,也没有什么现有技术可以借鉴。他是ExpelCorporation的首席信息安全官,也是奥巴马总统加强国家网络安全委员会成员的高级技术顾问。“我认为CISO现在所处的环境与过去截然不同,”波特说。“在很多方面,我们是在逃亡的同时建造飞机。”机构发现他们自己必须实施数据映射和跟踪数据流的新功能,以便他们能够遵守《通用数据保护条例》和《加利福尼亚消费者隐私法案》,让消费者更好地管理他们的个人数据。波特说,很少有组织具备这种能力,因为直到现在,他们还不需要知道个人数据在整个企业中的保存位置。同样,这些法规中的数据最小化要求与许多组织近年来实施的数据挖掘和数据分析计划背道而驰,波特说。“你让CTO和CIO出去收集尽可能多的数据,将其放入数据仓库,让业务变得更智能,”他补充道。“没有人真正考虑隐私,因为根本没有处罚。”第三方风险管理和供应商管理是增加CISO重要性和知名度的额外领域。如今,CISO的一个重要且日益重要的角色是审查供应商为其组织提供的产品和服务。最近的许多数据泄露事件都是利用攻击伙伴网络中的漏洞造成的,安全组织越来越多地被要求发现并清理潜在问题。例如,Youngbrod最近参与了麦当劳的三项技术收购。“CISO的角色发生了巨大变化,成为决定谁可以与之开展业务的仲裁者,”波特说。他最近接洽的一些安全组织将40%的时间用于管理第三方风险。他说:“这使他们有资格进行过去没有资格的收购之类的事情,”在这个领域,CISO在整个企业队伍中的知名度和影响力越来越大。从仅限于主要负责运营和技术工作的一个角色,安全主管发现自己第一次在越来越多的公司担任更广泛、更有影响力的角色。PASGlobal前首席信息安全官兼匈牙利石油公司MOLGroup前首席安全官JasonHaward-Grau表示,首席安全主管正在获得更多机会来影响、协作和支持整个企业的变革。“我认为各行各业的许多CISO都感受到了同事、同行和他们自己的期望。”不断变化的环境要求CISO以不同的方式思考他们的角色。曾经CISO拥有运营和技术技能就足够了,如今他必须能够展示商业敏锐度,同时还要了解安全工作如何创造价值和商业机会。CISO需要能够与业务领导者、高管和董事会合作;了解业务需求;成为新举措的推动者;并成为不同业务功能(例如IT和运营技术)之间的仲裁者。“CISO现在不仅需要了解安全性、风险和合规性,还需要了解对他们的业务、客户以及现在的供应商基础的潜在后果和影响的细微差别,”Heyward-Glau说。CISO的报告路径成为焦点CISO角色的快速变化迫使需要解决一些关于其报告路径的长期存在的问题。传统上,CISO向CIO、CTO或在某些情况下向基础架构负责人报告,因为他被视为主要担任运营和技术角色。一段时间以来,许多人认为,要真正管理风险和推动变革,由于利益冲突,CISO角色必须与IT分开。CIO通常因保持系统正常运行和采用新技术而受到衡量和奖励,而CISO则专注于保护公司资产和降低风险。近年来,有一种将安全治理工作与运营工作分开的趋势。一些CISO已经开始向CEO、CFO、COO甚至总法律顾问汇报工作。Youngbrod说,由于对管理网络安全等领域的角色的运营期望,绝大多数CISO继续向CIO报告。“如果你将这些运营职责转移给其他高管,你会看到CISO更加关注治理和战略,”他说。CISO负责的许多安全功能正在集成到技术中。例如,大多数网络路由器和边缘设备已经集成了安全功能,并且可以由基础设施和运营团队进行管理,Youngbrod说。同样,身份管理工作正变得更像是一个交钥匙项目,具有高度可操作性和高度可重复性,基础架构团队可以处理它。他说,从这些工作职责中解放出来的CISO越多,他们就越能承担起真正的治理角色。CISO的自然发展是成为首席信息风险官(CIRO),与财务、战略、运营和其他团队密切合作。Youngbrod表示,战略管理职能预计也将由首席信息风险官负责。他说:“我们目前在金融服务行业更多地看到这种作用,但在其他行业也会更多。”
