近年来,随着对公司信息资产和物理资源的威胁增加,安全主管承担了更多的责任和可见性。
但是,他们的头衔——无论是CSO、CISO、安全副总裁还是其他c级职位——是否总是带有实现他们所负责的所有事情所需的权限?如果不是,这些高管的职责和权力之间有多大的差距?
简单地说,这取决于组织以及它如何看待安全功能。信息安全论坛(information security Forum)的全球副总裁史蒂夫•德宾(Steve Durbin)说,不同组织的信息安全高管行使的权力和影响力存在很大差异。该论坛是一家为信息安全和风险管理的所有领域提供指导和最佳实践的非营利组织。德宾说,在很多企业,这种权威和影响力是不够的。
德宾说:“如果你看看那些大公司里的重量级人物,那些负责安全的人,他们说他们至少有权力完成任务。”“但很多组织仍然没有意识到安全的重要性,”这反映在首席信息官和其他网络安全主管在权力、预算控制和其他管理领域受到的对待上。
德宾说,最近的研究证实,许多组织低估了信息安全的价值。例如,安永(Ernst and Young) 2012年全球信息安全调查(Global Information Security Survey)显示,在接受调查的公司中,只有约四分之一的公司将信息安全的责任交给了首席执行官、首席财务官或首席运营官,并将其提升到了高管级别。只有5%的公司将信息安全报告给负责管理公司风险的首席风险官。
德宾说:“很明显,高层对安全的重要性和组织内部安全所需要的(权威)水平缺乏理解。”他补充称,这可能要部分归咎于信息安全高管。
德宾说:“以我的经验,一般来说,许多安全主管仍然发现很难有效地将他们的信息传递给c级决策者。”“他们未能将信息安全与业务目标结合起来。总的来说,该行业倾向于过度使用恐惧、不确定和怀疑方法来获得预算,在某种程度上损害了[CISOs]的作用。
德宾说,在《财富》500强以外的许多组织中,CISO的角色如今“缺乏威望来实现企业所需的信息安全目标”。
“西索面临着一项艰巨的任务;他们中的很多人都有技术背景,直到最近还没有被要求与业务部门紧密合作,或者用业务部门容易理解的语言来沟通安全问题。”
因此,他们继续为所需的预算和权力而斗争。德宾说:“在安全从来没有像现在这样重要的时候,许多人正遭受着缺乏权威的痛苦。”
这意味深长:组织可能没有足够的装备来保护自己免受网络犯罪的侵害,而网络犯罪的复杂性和范围都在不断增加。在那些缺乏强大安全权威的组织中,高级业务领导人最终可能在没有充分了解威胁和解决方案的情况下做出决策。
缺乏权威
一位不愿透露姓名或组织的安全主管说,他没有直接实现所有目标的全部权力,他认为他在其他行业的许多同行都是如此。他说:“这可能是应该的,因为安全在任何企业中都是次要的合作伙伴。”
该主管指出,组织结构“到处都不一样,高级安全官员要向各种高级主管汇报,从[人力资源]到法律,再到运营。”对此没有标准的解决方案,企业文化将决定如何做。”
匿名安全执行员必须处理的一个问题是,在他的组织中没有中央安全预算。他说,安全问题遍及整个组织,预算也是如此。由于在组织的各个级别上,安全性本质上被视为一种服务,因此it的各种元素都是通过许多其他部门的预算来支付的。
这位高管表示,底线是“企业安全是一项支出,不会产生收入,因此,在所有负载成本的情况下,增加额外员工等支出可能是一场艰苦的战斗。”
他面临的另一个挑战是,安全功能很少同时包括物理安全和网络安全,“因此,这两种基本的安全功能往往不能很好地协调,或者受到企业领导人同样的关注,”他说。
这位高管表示,领导者通常对更传统的物理安全领域更放心,而对网络安全方面就不那么放心了。
他表示:“这意味着IT员工成为事实上的网络安全主管,有点像照看鸡舍的狐狸。”
“每个组织都应该有一位主管,老板可以向他寻求所有安全解决方案。”
在一些公司,特别是大型全球性企业的子公司,企业的组织结构可能会限制安全主管人员的权力。
作为CISO和商业金融提供商GE Capital Americas的IT风险主管,詹姆斯•比森有权做出诸如更新安全软件版本和调整安全政策以使其更强大等决策。但为公司做出更大规模的安全战略决策则是一项更为复杂的任务。
比森说:“在我们的业务部门,我得到了高层领导和首席信息官的全力支持,他们会去完成我必须完成的工作,以使我们符合”母公司通用电气的安全要求。他说,他没有权力做超出通用电气总体安全战略范围的宽泛决策。
按照通用电气的组织方式,母公司有自己的安全部门和领导层,其子公司通用金融(GE Capital)和通用金融美洲(GE Capital Americas)也是如此。GE母公司和GE金融都有CISO委员会,比森是其中的成员。
作为成员,比森可以建议委员会考虑的新技术,也可以建议加强公司安全姿态的方法。
比森说:“我可以影响那些[委员会],但不能影响决策制定和真正推动事情发展的权力。”他经常需要通过理事会批准关键的安全技术或安全政策或程序的重大变化。
比森说:“我的老板希望我负责通用金融美国业务的安全。”但我可能无法选择一种工具或技术,也无法修改一项政策。事情没那么简单。”
安全的价值
一些高管对安全主管拥有的权力水平感到满意。自动化数据处理公司(ADP)首席技术官罗兰•克劳蒂尔(Roland Cloutier)表示:“我相信,大多数公司确实让他们的(销售主管和公民社会组织)获得了成功。”ADP是一家人力资源、工资、税收和福利管理服务提供商。
克劳蒂尔说:“权威并不意味着拥有无限的资源,或者对他们想实施的每一个安全、风险或隐私项目都给予肯定。”相反,他说,这是一个理解对安全主管需求的工作空间,提供专业输入和协作机制,并促进仔细考虑影响业务的问题的机会。
克劳蒂尔表示:“通常情况下,如果一家公司为员工提供了一个CISO或类似cso的职位,就迈出了非常重要的第一步。”“通常,安全执行人员的责任是定义他们组织的成功,并开发和交付必要的业务影响努力,以推动结果。”
根据Cloutier的经验,难以平衡有效安全的企业通常在治理和监督或职责分离方面存在问题。
Cloutier说:“首先,如果没有一个建立起来的权威执行监督小组为安全程序提供指导,[那么]优先级、业务对齐和跨业务可见性就很难实现。”“这些基本概念是任何程序成功的基础,不仅仅是安全问题。”
关于职责的分离,那些由对安全、风险或隐私功能有不同看法的小组管理的安全组织往往发现自己由于管理、财务或组织问题而无法解决问题。
克劳蒂埃说:“在ADP,我们已经花了很大的功夫,通过一个执行安全委员会(executive security council)来实施跨部门和公司的监督,并像对待其他风险组织一样,把我们的安全和隐私项目视为首席财务官办公室的组成部分。”
克劳蒂尔表示,公司将其安全、运营风险和隐私项目视为整体风险的组成部分。他表示:“在我们的治理中,首席财务官办公室负责维持ADP的整体企业风险态势,这也是首席财务官职位的汇报对象。”
在以安全为主要关注点的公司中,安全执行人员的角色具有非常重要的意义。例如,在Websense,一个网络,电子邮件和移动安全技术的供应商,首席安全和战略官Jason Clark不仅监督IT战略和审查所有的IT项目,而且深入参与商业决策,包括投资,市场战略和合作伙伴关系。
克拉克说:“我的领导能力跨越四个领域,需要IT、工程、市场和销售这四个行政部门的支持。”“在产品开发过程中,我充当客户的声音,提供真实世界的视角。”
克拉克控制的安全预算分配在IT和市场营销之间。他说:“这个过程鼓励了跨部门的内部协作,让我从管理问题中解脱出来。”“这也让我在CSO办公室建立了一个独特的团队,这有助于进一步宣传我们的流程。”我们可以自由地实施我们创造的许多内部和外部安全理念,并更有效地将这些理念与其他组织需求优先考虑。”
Websense的CIO负责IT安全的运营方面,而Clark负责战略和项目。
“这是一种牢固的关系,使我能够利用我的业务和安全专业知识,为高管提供成功的战略建议,以改善他们的It基础设施,更有效地保护我们的组织。”
一个新的外观
Durbin说,在接下来的几个月里,许多组织将改变他们看待安全性的方式以及企业内部管理安全性的方式,CISO的角色也将发生变化。他说,信息安全中心必须重新关注安全问题,使其组织从危机应对和合规模式转变为主动风险管理。
这种情况已经在一些企业发生了。德宾举了一家银行的例子,这家银行将CISO的角色分配给多个个人,每个人负责公司的不同部门。他们以团队的形式向首席运营官汇报工作,以确保得到c级的支持。
德宾说:“据我所知,在另一个组织中,安全部门现在要向首席战略官汇报。”“我喜欢这样,因为这样一来,安全就与战略保持一致了。”在媒体行业的第三家公司,CISO以咨询为基础与企业合作,根据需要承担安全项目。他说,这使得CISO不仅可以帮助公司实现其业务目标,还可以展示他在安全方面的专业知识。
德宾说,事实上,CISO的作用可能会变成更多的咨询功能。他表示:“首席信息官将需要成为顾问和销售人员。”“他们需要能够研究商业战略,然后销售如何以咨询的方式管理信息安全风险的适当概念。”
随着时间的推移,“我们可能会看到董事会层面出现一个新的职位,比如首席数字官,负责管理公司在网络空间的角色,自然也会监督所有网络安全事务,”德宾说。
无论安全主管的表现如何,组织都需要采取措施加强安全功能。
“显然存在差距;问题是,我们如何架起桥梁?”杜宾说。“随着我们更多地进入云计算、移动技术和社交媒体领域,企业尤其有责任了解其中的风险。”
Bob Violino是一名自由撰稿人和编辑。可以通过bviolino@optonline.net与他联系。
这篇文章,“你的标题是否符合你的权威?”最初由方案 。