每次发生数据泄露事故，都暴露了一家企业的安全做法中存在的问题。在Target泄露事故中，最有趣的的发现是，Target公司所有安全责任都在首席信息官（CIO）身上，该公司甚至都没有首席安全官（CSO）。

　　毫不奇怪，当Target公司CIO兼技术服务执行副总裁BethJacob上个月辞职时，很多人提出的第一个问题是CIOJacop是否应该承担责任，因为运行IT基础设施（通常是CIO的责任）和保护信息（通常是CSO的责任）涉及不同的责任，这两者可以是互补的，但经常存在分歧。

　　首先，任何规模的企业（特别是Target这样规模的企业）需要有一个负责安全的高管，并且，安全部门需要在董事会有一席之地。如果安全完全交给IT部门（其主要职责是运行可靠的基础设施），可能会出现糟糕的决策和泄露事故。

　　现在，企业没有CSO就像是足球队没有后卫。为了让企业取得成功，他们必须拥有可靠的基础设施以及对信息的适当保护。如果企业只有CIO而没有CSO，没有人会侧重于安全性，坏的事情将会发生。缺乏CSO意味着缺乏安全性。

　　最有可能的情况是，Target有一个安全团队，对所有安全问题大喊大叫。但管理层没有人听他们的投诉或者帮助他们解决问题。工程师需要能够与CEO进行沟通，CSO就是他们的沟通渠道。如果没有CSO，关键的安全信息无法传达到管理层。笔者猜测，如果Target高管收到了关于安全的正确信息，他们可能会作出不同的决定，这个故事可能会有一个快乐的结局。

　　平等的代表权

　　CIO和CSO应该是盟友，在董事会有着平等的代表权。通常情况下，CIO直接向首席运营官报告，CSO向CFO报告。COO和CFO直接向CEO报告。但无论组织结构如何，CIO和CSA必须有着不同的报告结构。而且，为了让CIO和CSO建立有效的工作关系，他们必须有明确的责任界限。

　　通常情况下，最好的做法是，让CSO定义适当的安全水平，CIO来部署安全，审计员来验证这种安全性的实现。CSO定义的安全性应该基于企业可接受水平的风险，提供明确的指导方针，并提供衡量合规性的简单方法。

　　随着越来越多的安全泄露事故被公开，我们应该更容易说服高管他们需要一个CSO.真正的问题是，很多CIO不希望有一个CSO，因为如果由他们控制IT基础设施的所有方面，他们能够更容易地完成工作。这些内部政策创造了这种局面，即CIO不会游说高管设置一个CSO.因此，企业需要另外的人来告诉首席执行官，“你对企业的安全水平感到满意吗？你是否收到了正确的安全指标来作出决定？”

　　在很多情况下，首席执行官想要创建一个CSO的职位，但CIO说服他们，他们并不需要CSO.虽然他们有着良好的意图，往往是CIO在抵触CSO，因为CSO减弱他们控制权，可能使他们的工作变得更加困难。笔者的预测是，在未来五年内，大多数企业都会有一个CSO，直接向高管报告。