全球市值最高的 100 家公司中,只有5%的企業(yè),高層領(lǐng)導(dǎo)團(tuán)隊(duì)中有首席信息安全官或首席安全官,而首席技術(shù)官的這一比例,則不到三分之一。
在納斯達(dá)克上市的企業(yè)中,排名前五十的公司的相關(guān)數(shù)據(jù)會(huì)讓你更加驚訝:只有不到一半公司將首席技術(shù)官列入了領(lǐng)導(dǎo)團(tuán)隊(duì),只有三家公司設(shè)立了安全相關(guān)的高管職位,
當(dāng)然我們不是說這些公司沒有首席信息安全官或首席技術(shù)官等職位。上述公司的領(lǐng)英數(shù)據(jù)也已經(jīng)表明,這些崗位并不缺人。
但值得留意的是,大多數(shù)公司認(rèn)為這些崗位并沒有資格進(jìn)入自己的高層領(lǐng)導(dǎo)團(tuán)隊(duì)。市值最高的 100 家企業(yè)的領(lǐng)導(dǎo)團(tuán)隊(duì)中,共計(jì)有 73 位首席人力官,大約有三分之一的團(tuán)隊(duì)擁有首席營(yíng)銷官。
這些崗位并沒有比首席安全官或首席信息安全官更重要,相比之下,各自的薪水也沒有太大差別。一旦營(yíng)銷數(shù)據(jù)(公司的客戶數(shù)據(jù))和人力資源數(shù)據(jù)(公司的員工數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù))發(fā)生泄露,那么公司會(huì)受到多么巨大的影響,因此企業(yè)對(duì)這些職位的“偏心”,的確值得我們反思。
市場(chǎng)分析公司Aite Group的研究主管Julie Conroy表示,她原本以為那些極度依賴網(wǎng)絡(luò)安全的企業(yè)(例如銀行)的高層團(tuán)隊(duì)里,應(yīng)該設(shè)有安全相關(guān)的職位。
“但是美國(guó)銀行和摩根大通銀行的數(shù)據(jù)和我預(yù)料的不一樣。在這些公司里,首席信息安全官并不屬于最高領(lǐng)導(dǎo)團(tuán)隊(duì),他們只是向領(lǐng)導(dǎo)團(tuán)隊(duì)匯報(bào)。”Conroy說道。
Conroy表示,這些數(shù)據(jù)說明了企業(yè)仍然更看重人力資源和業(yè)務(wù)擴(kuò)張能力等因素,因?yàn)樗鼈儠?huì)直接影響到營(yíng)收,相比之下網(wǎng)絡(luò)安全自然會(huì)被“冷落”。
“營(yíng)銷和數(shù)字化技術(shù)會(huì)直接增加公司的營(yíng)收數(shù)額,對(duì)于日益‘網(wǎng)絡(luò)化’的零售企業(yè)和銀行而言,數(shù)字化技術(shù)的重要性不言而喻。盡管我們都知道網(wǎng)絡(luò)安全和損失預(yù)防對(duì)于所有企業(yè)來說都很重要,但大多數(shù)公司的架構(gòu)并沒有體現(xiàn)出這一點(diǎn)。在我看來,這些崗位的高管難以爭(zhēng)取到所需的預(yù)算,更別提投資技術(shù),降低損失。
Equifax的前車之鑒
目前盛行的負(fù)責(zé)人匯報(bào)制度存在這樣的風(fēng)險(xiǎn):如果安全問題影響到了公司的生產(chǎn)效率,那么前者往往會(huì)被忽視,甚至安全團(tuán)隊(duì)里也不再會(huì)有人去爭(zhēng)取應(yīng)有的預(yù)算。
Equifax發(fā)生了大規(guī)模的個(gè)人數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)泄露,受害人數(shù)高達(dá)1. 48 億。許多人認(rèn)為Equifax是因?yàn)闆]有及時(shí)給漏洞打補(bǔ)丁才引發(fā)這次事故,但SANS Institute的主管Lance Spitzner認(rèn)為,Equifax的人力及企業(yè)架構(gòu)是問題的根本所在。
“每當(dāng)提起Equifax數(shù)據(jù)泄露事件,大家都認(rèn)為這是個(gè)補(bǔ)丁問題,不法分子利用了Struts漏洞,而且Equifax之前就知道這個(gè)漏洞的存在,但卻沒有及時(shí)修補(bǔ)。”Spitzner在報(bào)告中寫道。
那么這個(gè)漏洞為什么沒有及時(shí)修補(bǔ)?為什么公司花了兩個(gè)月才找到這個(gè)漏洞?Spitzner在報(bào)告中指出,最根本的原因是首席安全官Susan Mauldin無法直接向首席信息官匯報(bào),他的匯報(bào)對(duì)象是首席法律官。IT和網(wǎng)絡(luò)安全被分割,雙方無法交流和協(xié)作,因此這個(gè)漏洞一直留在公司里。
但是為什么會(huì)出現(xiàn)這種不合理的公司架構(gòu)?Spitzner表示:“十年前,公司的首席安全官還是直接向首席信息官匯報(bào)的。后來雙方無法合作,前者被轉(zhuǎn)移到首席法律官之下。但是新任首席信息官David Webb和新任首席安全官Susan Mauldin入職后,這一變動(dòng)并沒有恢復(fù)。如今,公司的首席信息官會(huì)直接向首席執(zhí)行官匯報(bào)。”