CISO应不应该与CEO同属公司决策层？

发布时间:2017-10-11 13:48 作者:nana 来源:安全牛点击:加载中...次

　　信息安全主管应该向CEO还是CIO汇报?或者，CISO也应该进入高管行列?

　　顶着“首席”称谓的高管，未必就真的全都坐在公司决策层的位子上，那些位子是给首席执行官(CEO)等少数几名高管坐的。首席财务官(CFO)和首席运营官(COO)，是最常见的决策层高管。他们向CEO汇报，参加董事会会议，站在顶层规划公司大局。

　　另一方面，大多数CIO，向CFO和COO汇报;决策层中没有他们的座位。还有其他一些新生首席头衔，同样尚未打入董事会圈子。

　　首席信息安全官(CISO)是一类独特的“首席”。传统上，他们与CEO之间还隔着CIO。但时代在改变，CISO的地位悄然发生变化，他们开始收到决策层的邀请了。

　　如果网络犯罪真的是对全球每家公司的最大威胁，那就很好地解释了为什么CEO开始召唤CISO来与董事会一同讨论网络威胁和风险了。

　　一位行业专家解释称，涉及CISO，组织结构图上的顺序有所变动。

　　《企业杂志》网络安全专栏作家约瑟夫·斯滕博格称：“传统上，CISO向IT高管汇报。但随时间进程，当信息安全成为更加显著的风险，其管理成为更加可见的功能，很多企业便将CISO转为向CEO或COO汇报，将其地位挪到等同IT，在它与IT之间画上了一道虚线。虽然具体的报告结构各家公司不同，但CISO角色提升的总体趋势很可能持续。”

　　IT高管是怎么看待CISO的

　　Cybersecurity Ventures对其领英网络做了调查，咨询资深高级IT和安全高管是怎么看待CISO报告结构的。如同对任一新趋势的看法，意见多种多样，在该话题上有很多争论。

　　身为四大会计师事务所之一的普华永道，在构建和经营跨国公司的最佳实践，以及企业信息安全操作方面经验丰富，其网络安全与隐私主管理查德·威尔德慕斯称：“CISO应向公司中可赋予他们预算和影响力的角色报告，以便可以有效融入到业务中。”

　　CIO负责预算，往往存在固有的利益冲突，妨碍CISO的执行能力。不过，我倒是尚未见过，在董事会和高管领导团队的支持下，还运转不灵的模式。

　　换句话说，CISO需要自己掌控钱袋。

　　理查德·哈德森，跨国风险管理公司Cordium网络安全及数据保护副总裁，前瑞穗银行CISO，说：“CIO不愿放权，尤其是他们的部门不怎么沾手安全控制的情况下。任何CISO，或处于向CIO报告的类似角色，如今已经在找寻新的工作了。”

　　重点是，一些CISO不愿为自己压根没权管的脆弱IT安全背锅。

　　企业网络风险分析公司Bay Dynamics战略副总裁史蒂文·格罗斯曼称：“首席风险官(CRO)，是另一个正逐渐流行起来的报告选择。在我看来，CISO报告线上最重要的方面之一，是他/她的观点在通往CEO和董事会的路上不被篡改(淡化)。”

　　考虑到CRO通常不向CEO报告，该报告结构可能会让CISO远离顶层高管。

　　肖恩·莱利，北达科他州CIO，前梅约医学中心高级IT执行官，称：“作为CIO，我对CISO向CEO报告没有任何意见。CIO和CISO应成为合作伙伴，两者都有应受到CEO关注的可交付物。”

　　无论谁向谁报告，CIO和CISO之间的有效合作关系，明显是成功模式。

　　DDoS和恶意软件防护提供商Zenedge创始人兼COO埃尔普·哈格称：“CISO应向CEO报告，在董事们面前多露脸多担责。董事会将网络安全与金融系统、人力资源管理系统(HRMS)和客户关系管理(CRM)等一道，作为确保业务活力及连续性的企业核心基础设施关键需求来考虑的时代，已经悄然到来。

　　如果董事会认为防护企业不受网络犯罪和网络战侵害是首要任务，他们就会通过邀请CISO进入董事会会议室来加以体现。

　　HIMSS Analytics，一流医疗研究与咨询公司，美国医疗信息与管理系统学会(HIMSS)所属全资子公司。其全球副总裁约翰·丹尼尔斯说：“当然，CISO和同等角色的人会说，他们应该向CEO报告。这也是CIO角色刚出现时，他们所说的话。没有什么一刀切的结构。各家公司的情况都不一样，影响因素很多，比如规模、资源等等。做对公司最好的事，达到公司可接受的风险水平就好了。”

　　医疗保健提供商和医院，算是承受网络攻击最频繁的行业了。据预测，未来5年，对医院的勒索软件攻击将翻两番。这种态势下，或许CISO直接向CEO报告，会是此类公司的通用方法。

　　另一种观点：合规主管(首席合规官、合规高级副总裁等)应向董事会报告，CISO则向合规官报告。该观点来自专门服务医疗行业的领先网络安全及信息管理咨询公司CynergisTek董事德莱克斯·德福特。

　　德福特称：“董事会需要了解未经过滤的风险。有些人会说：在理想世界里，每个人协作良好，报告链无关紧要。现实世界当然也能这样。”(德福特之前曾任 Steward Healthcare、西雅图儿童医院和斯克里普斯健康中心CIO，曾出任过美国空军外科医生部CTO。)

　　如果董事会不了解公司网络风险，他们就不太可能批准大量网络安全预算。

　　CISO在财富500强、全球2000强和中型企业中扮演着重要角色。如果收到下次董事会议的邀请，不要太惊讶。

(责任编辑：宋编辑)