头衔意味着什么?随着威胁态势愈趋严重,安全人员的职位头衔和报告序列也在不断改变。比如说,去年的CIO 100的调查就发现,70%的CISO直接向CIO汇报工作;IDC也预测,2018年,75%的CSO和CISO将直接向CEO报告。
随着安全进入到公司董事会重点议程,安全管理团队的角色职能也渐渐展露锋芒。ISACA董事会副主席罗博·克莱德称,所有C(首席)级安全管理层都将在董事会占据一席之地,安全主管们最好为此做好准备。
无论技术多牛,安全主管们仍需了解业务,并以能让非技术人员听懂的语言向董事会阐述技术。
ISC2网络安全宣传总监约翰·麦克库博称,首席数据官(CDO)的作用在很多公司中会越来越大,应列席董事会会议。数据是公司的生死线,而威胁将一直存在,公司企业必须与之抗争到底。
那么,在克莱德和麦克库博眼中,CISO、CRO、CTO、CIO、CPO/CDO、CFO和CAE这7个重要的首席级职位头衔,都各自负责哪些关键的安全职能呢?
1. 首席信息安全官(CISO)
CISO对所有安全项目和策略负有直接责任。有时候,他们也有自己的班底辅助自己实现和监测各种安全系统。
过去几年重大黑客攻击事件频出之后,越来越多的CISO已经直接向CEO或CFO报告了,不过,更普遍的情况还是想CIO报告。而直到几年前,CISO都还是比CIO低2到3个级别的职位,但情况正在转变。
CISO还有较少的可能性向首席安全官(CSO)报告。CSO的职责除了物理安全还有IT安全。黑客攻击愈演愈烈的今天,越来越多的公司企业选择将CISO的位置与IT部门挂钩。
2. 首席风险官(CRO)
该职位通常由律师担任,负责的也不仅仅是网络风险。CRO在评估公司应购买多少网络保险上举足轻重,同时也负责评估公司的监管合规风险。从IT安全的角度出发,CRO起到的是顾问的作用,负责向董事会解释恶意软件、漏洞利用和其他黑客事件给公司带来的风险,以及风险/回报情况如何。
3. 首席技术官(CTO)
有两种CTO。一种专注IT购买,负责确定公司需要哪些防火墙/路由器、数据丢失防护(DLP)和杀毒软件。这种CTO通常向CIO报告,专门处理非常具体的技术任务和采购。
另一种CTO大多出现在技术公司。他们专注于自家公司融入产品中的技术,而安全已成为产品开发中愈趋重要的一大元素。应用程序也内置安全了。这类CTO负责评估公司客户是否能够安全地部署公司投放市场的产品。
4. 首席信息官(CIO)
CIO负责公司IT运营的各种工作。他们通常担负预算监管任务,所有安全系统和人员都必须先得到CIO的首肯。大多数CIO向CEO报告,且往往在执行董事层占有一席之地,所以必须熟知安全,能够向董事会阐述清楚公司的风险和安全项目。
5. 首席隐私官/首席数据官(CPO/CDO)
很多公司都会设置CPO或CDO,但通常不会两个都设。这一职位关注围绕个人信息的数据隐私策略。他们负责评估公司需要保留哪些数据,并设置数据保留策略。他们决定数据保存的位置、方法和数据维护策略。
6. 首席财务官(CFO)
CFO监管所有财务决策与会计。但过去几年里,CFO已成为了CRO决策公司网络保险时的重要合作者。有些公司里,CISO和CIO都要向CFO报告。
7. 首席审计执行人(CAE)
负责IT审计和税务及其他审计。绝大多数大型企业中,CAE直接向董事会审计委员会报告。虽然有人认为CAE不应该负责IT审计,但在大多数公司企业里,这一情况还有待改变。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。