信息化觀察網(wǎng)

在倫敦舉行的英國CIO峰會上，兩位CIO討論了他們與安全的關(guān)系，以及他們的角色是如何與安全功能協(xié)同工作的。

在英國，很少有CSO能夠與CIO并肩同行。

根據(jù)英國CIO 100調(diào)查的結(jié)果，在英國大約65%的公司有一個CISO或類似的需要向CIO進(jìn)行職能報告的人。只有12%的組織認(rèn)為CISO與CIO是同級的，這個比例在近幾年增長了三倍之后，在去年的基礎(chǔ)上略有下降了。

這一比例落后于美國。在美國，根據(jù)2019年的CIO狀況調(diào)查發(fā)現(xiàn)，近四分之一的CISO或類似機(jī)構(gòu)會向首席執(zhí)行官匯報--其中有43%的CSO和18%的CISO--只有45%的CISO需要向CIO匯報。然而，無論他們坐在哪里，CISO都應(yīng)該努力讓CIO也站在他們這邊。

CIO/CSO的協(xié)作是關(guān)鍵

作為News Corp全球業(yè)務(wù)的首席信息官，Sabah Carter負(fù)責(zé)監(jiān)督該公司在班加羅爾的設(shè)施，包括數(shù)據(jù)工程、產(chǎn)品工程、安全和基礎(chǔ)設(shè)施運營，以及公司所有旗艦產(chǎn)品的運營，包括News UK、Dow Jones & Company和News Australia。其他業(yè)務(wù)部門也有自己的CIO和CISO，他們需要負(fù)責(zé)不同的地理位置、服務(wù)和產(chǎn)品線，她將其描述為一個“高度的矩陣結(jié)構(gòu)”。

“我發(fā)現(xiàn)解決這個問題的最好辦法就是劃定非常嚴(yán)格的界限。這周我和我的CISO以及CISO小組進(jìn)行了一次非常有趣的對話，討論誰應(yīng)該對此負(fù)責(zé)，我最后說，‘好吧，如果班加羅爾出了什么事，而且不太對勁，我的命就保不住了。所以，給我一份CISO報告肯定有利于這種控制，我認(rèn)為如果沒有它，我就可能會失去這種控制。”

除了向Carter報告，她的CISO還需要向總法律顧問報告，這對預(yù)算和促進(jìn)董事會的認(rèn)識等方面都有好處。“如果(CISO)是為首席技術(shù)官(CTO)或首席信息官(CIO)工作，那么這個人就有責(zé)任在(CIO)的預(yù)算范圍內(nèi)解決一切問題，因為他們會從CEO那里得到很多壓力，”她表示。“如果那個人真的被安插到了首席執(zhí)行官或首席法律顧問的位置上，那么這種風(fēng)險就會在董事會層面上得到分擔(dān)，而在那個層面上，你很難說不。你不會覺得你真的必須為安全開支辯護(hù)。”

“我覺得在我的預(yù)算范圍內(nèi)，我控制了很多交付安全方面的問題，但是如果它可能會影響到全球的潛在品牌，那么其他人就必須提出一個案例和董事會層面的問題，這是非常有幫助的，”Carter說。

Carter表示，無論報告結(jié)構(gòu)如何，重要的是合作與協(xié)作。“如果你有一種文化，在這種文化中，人們會因為為彼此幫助而得到獎勵，那么你就會有這個問題，”她說。“如果CISO的工作是進(jìn)行評估，指出網(wǎng)絡(luò)安全哪里不好，或者我們在哪些其他方面做得不好，那么顯然你是在一個敵對的環(huán)境中建立起來的，這是兩個對立的因素。”

“不久前，有人宣傳說，他們想要對所有不同的首席信息官進(jìn)行全公司范圍的安全評估，我們都拒絕了，因為我們不需要有人給我們的作業(yè)打分，”Carter說。“這絕對是錯誤的設(shè)置。”

相反，Carter認(rèn)為CIO和CISO應(yīng)該一起尋找解決方案，而不是相互指責(zé)。“我不希望任何人來找我，告訴我他們發(fā)現(xiàn)了同事的一些東西，因為他們的回答總是，‘為什么會這樣?你有什么計劃嗎?你們先不要來找我，等你們有了計劃再一起來。’”

CSO需要對CIO表現(xiàn)出信任

CSO需要意識到，一些CIO可能不會把新安全主管的到來視為完全積極的事情--尤其是在這個職位是最近才設(shè)立的時候--如果他們以前只負(fù)責(zé)安全的話。“我想知道處于同一級別的平行模式是否真的會削弱CIO的角色，”Alan Hill說，他是?？巳卮髮W(xué)的信息和數(shù)字總監(jiān)，“因為我們應(yīng)該以企業(yè)的最大利益為出發(fā)點來運營，而且我覺得我能夠親自來平衡這些風(fēng)險的技術(shù)解決方案和商業(yè)風(fēng)險。”

因為學(xué)校沒有CSO，所以Hill也在負(fù)責(zé)著安全的工作。該大學(xué)也確實有一個資深的信息風(fēng)險負(fù)責(zé)人(教務(wù)長，相當(dāng)于副首席執(zhí)行官)，他負(fù)責(zé)大學(xué)內(nèi)部的風(fēng)險管理，他將允許?？巳貙⑸虡I(yè)和技術(shù)風(fēng)險合并到一個地方。他認(rèn)為，至少對于較小的組織來說，如果已經(jīng)有了CIO，通常就不再需要CISO了。

“這種觀察威脅、分析威脅并把它們運用到商業(yè)活動中的能力，以及圍繞這些威脅提出政策、指導(dǎo)和投資的能力，就是我的職責(zé)。我認(rèn)為CIO們應(yīng)該完全能夠明白這一點。如果我處于那個位置，而他們又給了我一個CISO，我會感到有點委屈。這意味著他們不再信任我的工作了。”

“這對人們來說是個挑戰(zhàn)，”Hill繼續(xù)說道。“究竟是不是因為我們作為CIO的工作做得還不夠好，所以你才需要一個CISO和一個CSO，還是我沒有抓住要點?”