信息化觀察網

最近，IT安全問題一直是人們關注的焦點，最終導致幾位備受矚目的首席信息官因為安全漏洞而丟了工作。CIO辦公室內外的許多人都認為IT安全是一門過于復雜的學科，不適合由CIO來管理，CIO的任務還包括從管理基礎設施到制定技術策略，再到監(jiān)督大規(guī)模的軟件發(fā)布。我們是否還需要另一個專門負責IT安全的c級職位，或者這個職位應該只由CIO負責?

從CIO的角度來看，有兩個令人信服的理由將IT安全移出CIO的職責范圍。

第一個論點是，IT安全是一個專家職位，沒有一個有效的通才能夠完全理解這個職位。有一種合理的觀點認為，CIO根本沒有資格判斷一個安全事件是一個無聊的少年，還是一個數(shù)十億美元違約的第一個跡象。然而，一般的CIO也不太可能有資格討論網絡路由、高性能應用程序設計或虛擬化的細微差別，很少有CIO會認為這些領域屬于IT之外。

這就引出了第二個不那么高尚的原因，一些CIO認為IT安全不屬于CIO的職責范圍:躲避潛在的子彈。正如最近的事件所顯示的，CIO經常是一個引人注目的安全漏洞的受害者，并且作為最終負責安全的人，如果IT安全落在CIO的權限內，這可以說是一個合理的結果。

有些人建議，另一個c級的頭銜，專門用于IT安全或與其他風險領域相結合，是IT安全的合適位置。一些公司已經雇傭了首席風險官，或者首席安全官，有一個合理的理由認為IT安全屬于一個更廣泛的安全或風險保護傘。這種方法的主要問題是，它將安全性從基礎設施和應用程序決策中分離出來，從而產生了一種風險，即it可以愉快地部署解決方案，而“其他人”可以進入并在事后應用安全性。就像沒有保險庫、鎖或閉路電視的銀行很難“改造”安全性一樣，將安全性應用于沒有考慮安全性的應用程序和基礎設施也同樣困難。

當然，一個專門的安全組織可以將自己插入到構建-購買討論中，并嘗試將安全性注入到適當?shù)膶υ捴校沁@將導致一個繁重的過程，并且當應用程序從一個獨立的安全組織滑過時，這個過程很可能會失敗。

IT部門被安全問題所困擾的原因可能是，一般的IT部門沒有配備正確的人員或預算來支持對安全問題的全面響應。與公司的任何部門一樣，它從來沒有足夠的資金或員工，但在說明與數(shù)據(jù)泄露相關的風險和制定適當?shù)膽獙τ媱澐矫妫沧龅煤茉愀?。它對安全性的關注過多地與花哨的設備和供應商的承諾有關，這些設備和承諾取代了勤奮的人員配備和適當?shù)娜藛T監(jiān)督。

說你低估了公司關鍵數(shù)據(jù)的風險，并舉例說明與減輕此類違約的成本相比，重大違約的成本并不可恥。就像生活中的許多方面一樣，安全性是一種平衡行為，既要允許人們高效地完成工作職責，又要創(chuàng)建終極的、高安全性的基礎設施，這種基礎設施可能非常笨重，甚至無法使用。

最近發(fā)布的關于高調安全失敗的新聞中，有一點值得注意，那就是即使您無法清楚地說明所需的風險和緩解策略，您也可以獲得適當?shù)馁Y金。然而，這是一個短期現(xiàn)象，雇用錯誤的人或者相信最新的安全設備，在不久的將來，你的頭就會被砍下來。

除非您準備處理另一層開銷，否則建議將IT安全推到一邊可能會使您的生活變得復雜，因為會有額外的管理開銷和職責沖突。雖然不能期望您了解IT安全的每一個細微差別，但是作為一個領導者，您應該為您的組織配備優(yōu)秀的人員，并構建一個業(yè)務案例來雇傭和保留能夠降低業(yè)務風險的人才。