信息化觀察網(wǎng)

幾乎所有的公司都會(huì)表示“我們會(huì)十分嚴(yán)肅地對(duì)待用戶的隱私和安全，這是我們的重中之重”。但是從大多數(shù)公司官網(wǎng)顯示的領(lǐng)導(dǎo)團(tuán)隊(duì)來(lái)看，很少有公司會(huì)真的這么做，因?yàn)?ldquo;安全官”這種職位很少出現(xiàn)在它們的最高領(lǐng)導(dǎo)團(tuán)隊(duì)中。哪怕是最頂尖的科技公司，將“首席技術(shù)官”納入最高領(lǐng)導(dǎo)團(tuán)隊(duì)的，可能還不到一半。這也解釋了當(dāng)下堪憂的用戶安全狀況，以及它為何難以發(fā)生改變。

有相關(guān)調(diào)查顯示，全球市值最高的100家公司中，只有5%的企業(yè)，高層領(lǐng)導(dǎo)團(tuán)隊(duì)中有首席信息安全官或首席安全官，而首席技術(shù)官的這一比例，則不到三分之一。

在納斯達(dá)克上市的企業(yè)中，排名前五十的公司的相關(guān)數(shù)據(jù)會(huì)讓你更加驚訝：只有不到一半公司將首席技術(shù)官列入了領(lǐng)導(dǎo)團(tuán)隊(duì)，只有三家公司設(shè)立了安全相關(guān)的高管職位，

當(dāng)然我們不是說(shuō)這些公司沒(méi)有首席信息安全官或首席技術(shù)官等職位。上述公司的領(lǐng)英數(shù)據(jù)也已經(jīng)表明，這些崗位并不缺人。

但值得留意的是，大多數(shù)公司認(rèn)為這些崗位并沒(méi)有資格進(jìn)入自己的高層領(lǐng)導(dǎo)團(tuán)隊(duì)。市值最高的100家企業(yè)的領(lǐng)導(dǎo)團(tuán)隊(duì)中，共計(jì)有73位首席人力官，大約有三分之一的團(tuán)隊(duì)擁有首席營(yíng)銷官。

這些崗位并沒(méi)有比首席安全官或首席信息安全官更重要，相比之下，各自的薪水也沒(méi)有太大差別。一旦營(yíng)銷數(shù)據(jù)（公司的客戶數(shù)據(jù)）和人力資源數(shù)據(jù)（公司的員工數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)）發(fā)生泄露，那么公司會(huì)受到多么巨大的影響，因此企業(yè)對(duì)這些職位的“偏心”，的確值得我們反思。

市場(chǎng)分析公司Aite Group的研究主管Julie Conroy表示，她原本以為那些極度依賴網(wǎng)絡(luò)安全的企業(yè)（例如銀行）的高層團(tuán)隊(duì)里，應(yīng)該設(shè)有安全相關(guān)的職位。

“但是美國(guó)銀行和摩根大通銀行的數(shù)據(jù)和我預(yù)料的不一樣。在這些公司里，首席信息安全官并不屬于最高領(lǐng)導(dǎo)團(tuán)隊(duì)，他們只是向領(lǐng)導(dǎo)團(tuán)隊(duì)匯報(bào)。”Conroy說(shuō)道。

Conroy表示，這些數(shù)據(jù)說(shuō)明了企業(yè)仍然更看重人力資源和業(yè)務(wù)擴(kuò)張能力等因素，因?yàn)樗鼈儠?huì)直接影響到營(yíng)收，相比之下網(wǎng)絡(luò)安全自然會(huì)被“冷落”。

“營(yíng)銷和數(shù)字化技術(shù)會(huì)直接增加公司的營(yíng)收數(shù)額，對(duì)于日益‘網(wǎng)絡(luò)化’的零售企業(yè)和銀行而言，數(shù)字化技術(shù)的重要性不言而喻。盡管我們都知道網(wǎng)絡(luò)安全和損失預(yù)防對(duì)于所有企業(yè)來(lái)說(shuō)都很重要，但大多數(shù)公司的架構(gòu)并沒(méi)有體現(xiàn)出這一點(diǎn)。在我看來(lái)，這些崗位的高管難以爭(zhēng)取到所需的預(yù)算，更別提投資技術(shù)，降低損失。”Conroy說(shuō)道。

Equifax的前車之鑒

目前盛行的負(fù)責(zé)人匯報(bào)制度存在這樣的風(fēng)險(xiǎn)：如果安全問(wèn)題影響到了公司的生產(chǎn)效率，那么前者往往會(huì)被忽視，甚至安全團(tuán)隊(duì)里也不再會(huì)有人去爭(zhēng)取應(yīng)有的預(yù)算。

去年Equifax發(fā)生了大規(guī)模的個(gè)人數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)泄露，受害人數(shù)高達(dá)1.48億。許多人認(rèn)為Equifax是因?yàn)闆](méi)有及時(shí)給漏洞打補(bǔ)丁才引發(fā)這次事故，但SANS Institute的主管Lance Spitzner認(rèn)為，Equifax的人力及企業(yè)架構(gòu)是問(wèn)題的根本所在。

“每當(dāng)提起Equifax數(shù)據(jù)泄露事件，大家都認(rèn)為這是個(gè)補(bǔ)丁問(wèn)題，不法分子利用了Struts漏洞，而且Equifax之前就知道這個(gè)漏洞的存在，但卻沒(méi)有及時(shí)修補(bǔ)。”Spitzner在報(bào)告中寫(xiě)道。

那么這個(gè)漏洞為什么沒(méi)有及時(shí)修補(bǔ)？為什么公司花了兩個(gè)月才找到這個(gè)漏洞？Spitzner在報(bào)告中指出，最根本的原因是首席安全官Susan Mauldin無(wú)法直接向首席信息官匯報(bào)，他的匯報(bào)對(duì)象是首席法律官。IT和網(wǎng)絡(luò)安全被分割，雙方無(wú)法交流和協(xié)作，因此這個(gè)漏洞一直留在公司里。

但是為什么會(huì)出現(xiàn)這種不合理的公司架構(gòu)？Spitzner表示：“十年前，公司的首席安全官還是直接向首席信息官匯報(bào)的。后來(lái)雙方無(wú)法合作，前者被轉(zhuǎn)移到首席法律官之下。但是新任首席信息官David Webb和新任首席安全官Susan Mauldin入職后，這一變動(dòng)并沒(méi)有恢復(fù)。如今，公司的首席信息官會(huì)直接向首席執(zhí)行官匯報(bào)。”

去年的信息泄露事件暴露了Equifax存在的安全問(wèn)題和管理問(wèn)題，這家公司也記住了這次教訓(xùn)。在這次事件后，首席信息安全官及首席安全官也出現(xiàn)在了Equifax的領(lǐng)導(dǎo)團(tuán)隊(duì)中，之前則沒(méi)有。

領(lǐng)導(dǎo)團(tuán)隊(duì)的調(diào)整

許多人力資源專家認(rèn)為，許多公司不會(huì)把安全相關(guān)的職位列入領(lǐng)導(dǎo)團(tuán)隊(duì)，主要原因是這些職位通常不會(huì)直接向公司的董事會(huì)或首席執(zhí)行官匯報(bào)。一般情況下，他們的匯報(bào)對(duì)象是首席技術(shù)官或首席信息官。

“你要確保公司的技術(shù)和安全必須齊頭并進(jìn)，否則公司內(nèi)部就會(huì)出現(xiàn)問(wèn)題。”保險(xiǎn)公司Aon PLC的首席安全官Anthony Belfiore說(shuō)道。

Aite Group的資深分析師Alissa Valentina Knight表示，在過(guò)去，首席信息安全官更像是一種技術(shù)型崗位，但現(xiàn)在的它更應(yīng)該引起董事會(huì)的重視，企業(yè)的匯報(bào)結(jié)構(gòu)正在發(fā)生改變，而我們正處于這樣的變革中。

“過(guò)去首席信息安全官大多向首席技術(shù)官匯報(bào)。盡管前者也屬于‘C字輩’（CISO），但它通常沒(méi)有資格出現(xiàn)在公司的官網(wǎng)上。”Knight說(shuō)道。