当CSO与普华永道合作进行第八届全球信息安全调查今年早些时候,一个问题被问到谁是谁是这些天的报告。大多数受访者说的是有些令人惊讶的。
在12847名受访者中,只有6.5%的人称自己是首席信息官。与此同时,当问及首席信息官向谁汇报时,大多数人说是公司首席执行官或董事会。不到四分之一的受访者表示,他们向CIO汇报工作。
后续列质疑这是一件好事。对这方面的响应比报告结构的惊喜更加颠簸。
大部分反馈从罗伯特阿尔伯提尼,基于明尼阿波利斯的安全性和IT专业人士反映了这一观察:
“CIO和Cisos将始终存在对抗性关系,就像它应该是这样的,”他在列的评论部分写道。“在我看来,Cisos永远不会向CIO报告。”
相关音频:比尔·布伦纳和451集团分析师乔希·科尔曼讨论公民社会组织和ciso之间的区别
他解释说,CIO的作用是运作的,他们的工作是保持跑步。另一方面,CISO的角色是降低IT风险。如果CISO向CIO报告,他推理,那么减少风险将始终占据后座。
“虽然CIO有更坚定的安全掌握会更好,但如果汽车机制更好地掌握经济学,而且他们没有,他们不会很快,他们很快就会很快,”他说。“CIO有很多工作要做,这就是为什么CISO是一个单独的角色。随着两个专业继续专注,CIO和CISO之间的差距不会消失。”
真正的诀窍是为了企业领导力来平衡CISO和CIO的信息,以适当地判断接受的风险以及在做生意时进行补救的风险,他得出结论。
作为我们正在进行的系列的一部分“新的CSO-CISO“我们向几个安全从业者询问了这一点。毫不奇怪,有些人推迟了CIO和Cisos应该存在于独立的筒仓,包括Eric Cowperthwaite,基于Seattent的普罗维登斯健康和服务的CSO。他四年半他曾经和本组织在一起,他有三名老板:首席财务官,CIO和现在的首席风险官。他说,他对CIO的经验是对抗的,而这两个人在一起完成了很多。
“在开始时,当我向首席财务官报告时,顶级黄铜希望我感到靠近,因为他们正在处理危机情况,”他说,提及普及的普及普罗维登斯健康与服务第一批组织因违反联邦健康保险流通和问责法(HIPAA)的隐私部分而受到惩罚。The organization, which operates a health plan and several hospitals, agreed in 2008 to fork over $100,000 and make good on a systems improvement plan as part of a deal with the U.S. Department of Health & Human Services (HHS) to settle allegations it lost laptops and electronic backup programs with individually identifiable health information in 2005 and 2006. Cowperthwaite was hired to help the organization turn its security program around.
但是,他说,向高于指挥链的人报告的人有一个缺点:他们的时间更有限。
他说:“首席财务官或首席执行官每个月大约有15分钟的时间给你,你需要更多的时间。”“你需要一个像首席信息官这样的中层人士在你的法庭上为你的事业向高层管理层辩护。”
考虑到这一点,他表示,向首席信息官报告是一种积极的、富有成效的安排。
Josh Corman是一个基于波士顿的451集团的高级安全分析师,具有更多的中间地位,就关系如何工作。
“你需要检查和余额,但你不能真正比较和对比CSO和CISO的角色而不提及CIO适合的地方,”他说。
无论报告结构如何,其他 - 即使是CSO和CIO之间的对抗关系中的逻辑的人 - 也表示,只有借口才能完全从安全中离来。Eric Baer,CISO为基于中西部的政府组织,在此早期专栏的意见部分中写了这篇文章:
“虽然我同意不让首席信息官向首席信息官报告的观点,但这仍然不能成为首席信息官‘做安全工作’的借口。”简单地为了保持运转而保持运转是20世纪90年代的一种模式,这种模式需要消失。实际上,安全运营(尤其是在受到严格监管的行业)应该纳入其中。”
他继续,“为什么CIO不应该有一个安全组织?CSO-CISO可以是一个合规商店。更好的是,将IT治理报告给风险官,COO,CFO WHOMEVER,然后安全运营可以成为一部分技术组。“
他总结道:“我们可以咬牙切齿地说,安全被忽视了,或者被忽视了,但如果安全没有被纳入运营层面,那么它应该在哪里呢?”
这个故事,“CIOS与Cisos:ProS,缺乏”对抗的“关系”最初发表方案 。