《2018企业数字化能力调研报告》及企业自测工具发布
CIO和CSO更应该是盟友
2014-04-18  作者:CIO时代网 

  每次发生数据泄露事故,都暴露了一家企业的安全做法中存在的问题。在Target泄露事故中,最有趣的的发现是,Target公司所有安全责任都在首席信息官(CIO)身上,该公司甚至都没有首席安全官(CSO)。


  毫不奇怪,当Target公司CIO兼技术服务执行副总裁BethJacob上个月辞职时,很多人提出的第一个问题是CIOJacop是否应该承担责任,因为运行IT基础设施(通常是CIO的责任)和保护信息(通常是CSO的责任)涉及不同的责任,这两者可以是互补的,但经常存在分歧。


  首先,任何规模的企业(特别是Target这样规模的企业)需要有一个负责安全的高管,并且,安全部门需要在董事会有一席之地。如果安全完全交给IT部门(其主要职责是运行可靠的基础设施),可能会出现糟糕的决策和泄露事故。


  现在,企业没有CSO就像是足球队没有后卫。为了让企业取得成功,他们必须拥有可靠的基础设施以及对信息的适当保护。如果企业只有CIO而没有CSO,没有人会侧重于安全性,坏的事情将会发生。缺乏CSO意味着缺乏安全性。


  最有可能的情况是,Target有一个安全团队,对所有安全问题大喊大叫。但管理层没有人听他们的投诉或者帮助他们解决问题。工程师需要能够与CEO进行沟通,CSO就是他们的沟通渠道。如果没有CSO,关键的安全信息无法传达到管理层。笔者猜测,如果Target高管收到了关于安全的正确信息,他们可能会作出不同的决定,这个故事可能会有一个快乐的结局。


  平等的代表权


  CIO和CSO应该是盟友,在董事会有着平等的代表权。通常情况下,CIO直接向首席运营官报告,CSO向CFO报告。COO和CFO直接向CEO报告。但无论组织结构如何,CIO和CSA必须有着不同的报告结构。而且,为了让CIO和CSO建立有效的工作关系,他们必须有明确的责任界限。


  通常情况下,最好的做法是,让CSO定义适当的安全水平,CIO来部署安全,审计员来验证这种安全性的实现。CSO定义的安全性应该基于企业可接受水平的风险,提供明确的指导方针,并提供衡量合规性的简单方法。


  随着越来越多的安全泄露事故被公开,我们应该更容易说服高管他们需要一个CSO.真正的问题是,很多CIO不希望有一个CSO,因为如果由他们控制IT基础设施的所有方面,他们能够更容易地完成工作。这些内部政策创造了这种局面,即CIO不会游说高管设置一个CSO.因此,企业需要另外的人来告诉首席执行官,“你对企业的安全水平感到满意吗?你是否收到了正确的安全指标来作出决定?”


  在很多情况下,首席执行官想要创建一个CSO的职位,但CIO说服他们,他们并不需要CSO.虽然他们有着良好的意图,往往是CIO在抵触CSO,因为CSO减弱他们控制权,可能使他们的工作变得更加困难。笔者的预测是,在未来五年内,大多数企业都会有一个CSO,直接向高管报告。