越来越多的组织正在向c -套装中增加一名新成员——首席风险官(CRO)——这些高管的崛起对企业的安全程序产生了直接影响。
科技高管搜索服务提供商Benchmark Executive Search的总裁杰里米•金(Jeremy King)表示:“企业间谍活动、恐怖主义和网络攻击正加大对了解风险管理和安全各个方面的高管的需求。”
“许多公司终于意识到各种类型的安全漏洞的破坏性——从物理损害和实际成本,到声誉损失和客户恢复,”King说。“以前孤立的风险管理职能必须得到改造、加强和更积极的资助。行业必须重新评估其风险管理方法,要想成功,就需要董事会和管理层的空前合作。”
[同样是关于cso:新世界的信任:首席风险官的角色演变]
金表示,CRO的兴起是一个尚未兴起的趋势。他表示:“尽管一些有远见的大型金融公司已经聘请了一位CRO来监管所有风险,但大多数公司尚未效仿他们的做法。”“根据我从客户、顾问和我们的安全人才网络收集到的信息,上市公司将越来越多地授权单个领导者或团队负责其综合风险和安全战略。”
金表示,在上市公司,首席运营官将扮演更重要的角色,被视为首席运营官的同辈。首席运营官负责盈亏,而首席运营官负责“防止亏损”。
通常,cro在其组织内获得了权力和影响力。金说:“但大多数企业的新举措都不是冒泡式的,而是自上而下的。”“因此,董事会必须要求这是一项重大举措。”
印第安纳大学的CRO Merri Beth Lavagnino表示,CRO的角色是不断变化和发展的,以适应业务的需求,以及如何做出基于风险的决策。她表示:“静态的企业风险管理角色不会是有效的角色,因为我们生活的世界在不断变化。”
电子签名应用程序提供商DocuSign也是如此。前美国特勤局特工、现为DocuSign公司CRO的汤姆·佩格勒说:“我的团队已经在不断发展,以确保我们能够最好地管理和减轻业务中的各个方面的风险。”
“除了信息安全,我们还全面考虑所有风险,包括物理安全、运营风险、审计、合规、风险/安全意识和通信,”Pageler说,他向总法律顾问和董事会报告。“我的研究范围包括(并购)风险、国家风险、业务风险和传统‘安全’之外的其他领域。因此,我们运行着一个强大的风险/安全理事会,由专家和商界领袖组成的团队讨论和跟踪我们的风险登记。”
弗雷斯特研究公司(Forrester Research)的分析师尼古拉斯•海耶斯(Nicholas Hayes)表示,多种因素共同推动了CRO角色的出现,同时也增强了现有CRO的影响力。
“市场波动加剧、社会动荡加剧、越来越依赖激增的第三方等因素,数字颠覆只是一些外部因素,这些外部因素使得企业理解并成功驾驭风险环境变得更加关键——他们需要具有风险敏感度和经验的人来做这件事,”Hayes说。
许多组织仍在进行的工作是CRO如何适应公司安全管理结构。
King说:“对于任何组织来说,就必须做什么、必须将哪些组织资产整合到更广泛的风险管理任务中,甚至是确定CRO、CIO、CSO和CISO如何配合的标准组织结构达成共识都不是一项小任务。”
[更多:创建协作风险管理程序的5种方法]
“由于CSOs/ ciso的报告结构范围从首席信息官、总法律顾问、首席合规官到首席执行官不等,所以出现混乱也就不足为奇了,”金说。“需要建立一个新的框架,这可能会导致重大的报告变化。”
黑骑士金融服务公司(Black Knight Financial Services)是一家为金融服务公司提供数据和分析技术的公司,其首席信息官和实体安全主管向首席财务官彼得•希尔(Peter Hill)汇报,希尔直接向首席执行官汇报,并向黑骑士董事会的风险委员会汇报。
杰瑞米·金,Benchmark高管猎头公司总裁
”希尔说:“信息安全是公司风险的重要组成部分,使这一功能与公司的总体战略风险方向紧密结合是至关重要的。”“这种报告关系继续为有效管理风险和安全提供实质性利益,并确保在信息安全方面的投资与组织的战略方向和风险状况相称。”
拉瓦格尼诺补充说,企业风险管理“通常是在(比企业安全)更高的层面上运作,着眼于可能阻碍组织实现其使命的重大问题。”“我们在这里谈论的是非常大的事情——那些会让你的公司垮台的事情。”
虽然有些CISO /公民社会组织的风险可能上升到企业层面,阴极射线示波器将最有可能的工作直接与CIO或副总裁为企业风险管理委员会成员的大多数时间,只有CISO /方案更详细的信息时需要对风险及其应对,Lavagnino说。
“CISO/CSOs很难接受还有许多其他更麻烦的机构风险,它们的可能性和严重性都高于信息安全风险,”Lavagnino说。“我还发现,与组织的其他部分相比,安全专业人员往往走在了游戏的前面,因此,信息安全风险得到了很好的缓解。”
换句话说,安全主管们可能在将安全风险降低到可接受的水平上做得非常好,“以至于他们在企业风险优先级列表上的排名下降了,”Lavagnino说。“这并不是说安全风险不重要;它们很可能拥有一些内在风险最高的评级。”
在DocuSign,所有的安全领导和职能都向Pageler报告。他表示:“不过,我们在整个企业中都有安全卫士,他们会向风险团队报告。“这确保了我们的业务主管和团队将安全集成到他们的各种流程中,因为任何公司的风险和安全操作只有与其员工一样强大和安全。确保每个人都是安全的一部分有助于实现这一目标。”
帮助创建安全文化可能是cro的一项重要职责。
金说:“风险管理从这些公司的高层开始,关键将是董事会之间的密切关注和协作,以制定更严格的政策,以及最高管理层之间的沟通和实施。”“如果没有强有力的行政领导,没有更多的资源以紧急和持续创新的方式管理网络漏洞,这是不会发生的。”
除了在整个组织中嵌入安全专家,DocuSign还通过其DocuSign应急响应团队(DERT)优先将安全作为文化的一部分。
佩格勒说:“志愿参加DERT的人都接受过危机应对训练。”他们接受了心肺复苏术、消防安全和其他防范技术的培训,并因良好的安全意识行为获得奖励,比如找到一扇开着的门或标记出潜在的垃圾邮件。”DERT成员还参加行业网络研讨会、培训和研讨会,以发现并在团队中分享最佳实践。
希尔说,为公司所有员工创造一种风险和安全意识的文化“是(企业风险管理)和安全部门最重要的职责”。“在过去的两年里,我们对我们的风险和安全意识以及培训项目进行了许多改进,努力嵌入一种警惕的安全和风险意识文化。”
这篇题为“首席风险官需要对抗日益猖獗的企业间谍活动”的文章最初发表于方案 .