本文來(lái)自微信公眾號(hào)“數(shù)世咨詢”,作者/晨雨。
隨著IT相關(guān)業(yè)務(wù)需求的變化,IT領(lǐng)導(dǎo)者的角色和職責(zé)也隨之變化。首席信息官(CIO)和首席信息安全官(CISO)的情況也是如此,數(shù)字化轉(zhuǎn)型加劇了他們的角色轉(zhuǎn)變。CISO控制數(shù)字風(fēng)險(xiǎn)的管理工作對(duì)于保護(hù)當(dāng)今的企業(yè)至關(guān)重要,也是成功數(shù)字化轉(zhuǎn)型不可或缺的一部分,因此CIO與CISO的角色越來(lái)越重疊。兩個(gè)角色是否合并、如何合并都尚待確定,但它們肯定已經(jīng)正在融合中,這凸顯了網(wǎng)絡(luò)安全從服務(wù)器機(jī)房到董事會(huì)會(huì)議室的發(fā)展軌跡。
如果你回顧20年前,很明顯這兩個(gè)角色已經(jīng)結(jié)合了相當(dāng)長(zhǎng)一段時(shí)間。早在2000年代初,CIO的任務(wù)就是監(jiān)督和管理組織的IT基礎(chǔ)設(shè)施和應(yīng)用程序,這些基礎(chǔ)設(shè)施和應(yīng)用程序通常位于公司擁有的數(shù)據(jù)中心,由使用公司計(jì)算機(jī)的工作人員從公司園區(qū)和分支機(jī)構(gòu)網(wǎng)絡(luò)進(jìn)行訪問(wèn)。他們的任務(wù)是確保運(yùn)營(yíng)效率、業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)管理,并使IT與業(yè)務(wù)目標(biāo)保持一致的同時(shí)控制好成本。然而,隨著數(shù)字化轉(zhuǎn)型、自帶設(shè)備(BYOD)、云計(jì)算和更多遠(yuǎn)程訪問(wèn)等IT趨勢(shì),直接管理基礎(chǔ)設(shè)施和硬件的CIO越來(lái)越少,他們現(xiàn)在充當(dāng)?shù)氖荌T服務(wù)的經(jīng)紀(jì)人。
雖然CIO仍然負(fù)責(zé)制定和實(shí)現(xiàn)技術(shù)目標(biāo)并控制預(yù)算,但他們的主要任務(wù)是確定公司如何利用技術(shù)進(jìn)行創(chuàng)新,并采購(gòu)、管理相關(guān)資源。盡管許多公司仍然保留著龐大的本地IT資產(chǎn),但他們進(jìn)行數(shù)字化轉(zhuǎn)型只是時(shí)間問(wèn)題。不管怎樣,隨著時(shí)間的推移,CIO角色的實(shí)操性顯然已經(jīng)變得不那么強(qiáng)了。
另一方面,自2000代初以來(lái),為了應(yīng)對(duì)不斷出現(xiàn)的合規(guī)要求、數(shù)據(jù)泄露和新興網(wǎng)絡(luò)安全威脅,CISO的地位不斷提高,但需要與CIO更加協(xié)同工作。雖然數(shù)據(jù)泄露可能迫使企業(yè)越來(lái)越關(guān)注安全性,但為其提供資金的卻是合規(guī)性要求。從HIPAA和PCI DSS再到GDPR、SOC 2等,合規(guī)性對(duì)于CISO來(lái)說(shuō)一直是一把雙刃劍。
合規(guī)性增強(qiáng)了網(wǎng)絡(luò)安全團(tuán)隊(duì)的作用,使他們?cè)贗T和整個(gè)業(yè)務(wù)中更加引人注目,為CISO提供了更多的預(yù)算和更大的支出自由度。然而,他們?cè)诤弦?guī)性方面付出的所有努力并沒(méi)有阻止網(wǎng)絡(luò)釣魚(yú)、勒索軟件、內(nèi)部人員的重大違規(guī)和/或惡意行為。起初這強(qiáng)化了“安全是財(cái)務(wù)和運(yùn)營(yíng)的陷阱”的看法,因此迫使CISO(其中許多人偏向技術(shù))開(kāi)始“講業(yè)務(wù)語(yǔ)言”。
與此同時(shí),數(shù)字安全和合規(guī)性在董事會(huì)層面的可見(jiàn)性和重要性迫使CIO們(通常是所有數(shù)字化事物的主要代言人)越來(lái)越多地參與了解所有的網(wǎng)絡(luò)安全問(wèn)題。這也進(jìn)一步模糊了角色間的界限。
CISO與CIO角色融合面臨的挑戰(zhàn)
數(shù)字化轉(zhuǎn)型提供的是從根本上改善網(wǎng)絡(luò)安全的機(jī)會(huì),或者至少是“安全左移”的機(jī)會(huì)。數(shù)字化轉(zhuǎn)型固有的戰(zhàn)略和戰(zhàn)術(shù)決策都要求CISO與CIO比以往任何時(shí)候都更加步調(diào)一致。CIO雖然掌舵,但CISO不再是事后諸葛亮,而是從一開(kāi)始就積極主動(dòng)充分參與運(yùn)營(yíng)決策的合作伙伴。
隨著公司繼續(xù)擁抱云、軟件即服務(wù)(SaaS)和遠(yuǎn)程辦公作,最重要的問(wèn)題是,接下來(lái)將如何發(fā)展?在這一點(diǎn)上,不存在也不應(yīng)該有單一、容易的路徑。
兩個(gè)角色如何結(jié)合在一起(或者說(shuō)是否應(yīng)該結(jié)合在一起)取決于很多因素,例如公司規(guī)模、所處行業(yè)、組織架構(gòu)、企業(yè)文化、現(xiàn)有IT環(huán)境和未來(lái)的數(shù)字化轉(zhuǎn)型計(jì)劃等等。一些安全領(lǐng)導(dǎo)者認(rèn)為“結(jié)合”將進(jìn)展順利,還有一些人建議將其分為兩個(gè)不同的職能:一個(gè)面向業(yè)務(wù),專注于風(fēng)險(xiǎn)管理和合規(guī)性;另一個(gè)技術(shù)性更強(qiáng),專注于威脅防護(hù)、檢測(cè)和響應(yīng)。
無(wú)論這兩個(gè)角色如何演變,這些轉(zhuǎn)變都表明,CISO與CIO之間的協(xié)調(diào)協(xié)作對(duì)于數(shù)字化轉(zhuǎn)型的成功越來(lái)越重要。