安排专职高管负责安全问题的重要性越来越明显。这也是IDG《2020年安全重点研究》的主要发现之一:61%的受访公司有安全专家身居高管位置,大企业在高管层给安全专家留一席之地的比例更是高达80%。这些安全高管在公司中发挥着重要作用:同一研究发现,相比设置了安全高管的公司,缺乏CISO、CSO或其他高层安全管理人员的公司更容易反馈称其雇员安全培训不足,安全策略不够主动。

但不是所有的安全高管在公司组织架构图上的位置都是一样的,而其间差异会影响组织文化和安全结果。安全职位上的员工不可避免地会与其他人发生冲突,因为安全人员的本能就是锁定系统让人难以访问,而这显然不能令希望信息和应用都能无摩擦访问的IT部门满意。CISO/CSO对战CIO时就会在公司组织架构高层上演此类剧码,斗争轮廓往往由公司内部的汇报层级描绘:如果安全高管向IT部门管理层汇报,CISO的战略执行能力就会受限,因为他们的设想终需服从IT部门“更大”的构想。

《2020年安全重点研究》访问调查的公司中,近半数安全主管直接通联公司高层。34%的案例中,安全高管向CEO汇报,另有12%向董事会汇报。同时,33%的情况下CISO或同等职位人员向公司CIO或部门CIO汇报。余下21%分散在不同汇报途径上,例如首席风险官或法律总顾问。小公司倾向于扁平化组织安排或许并不令人意外:研究发现,中小企业里59%的安全高管直接向CEO汇报,大企业这一比例仅为22%。

还有一个同样不出意外的有趣关联:能够“上达天听”的安全高管也更有可能瓜分较多IT预算留作安全所用。CIO.com发布的《2019年CIO状态》调查报告也清楚地反映了这一点。IT预算中只有不到5%花在安全上的公司同样有可能是CSO向CIO或CEO回报;但在安全上投入10%或更多的公司,CSO向CEO汇报的概率要高出一倍。安全高管头衔落在CISO身上的公司这种影响甚至更加突出:IT预算只花不到5%在安全方面的公司,仅3%的CISO向CEO汇报,但安全预算占IT预算10%以上的公司,26%的CISO向CEO汇报。

▶ 头衔意味着什么?

面对这么多种头衔,我们不妨先阐述下个中区别。头衔使用上的一些趋势可以用来区分CSO和CISO。总的说来,根据《2019年CIO状态》调查研究的数据,CSO在公司组织架构中的层级相对较高:安全高管顶着CSO头衔的受访公司中,43%直接向CEO汇报;但仅18%的CISO能直面公司高层。9%的受访公司称其首席信息安全主管向CSO汇报,表明该CSO职位有时候还负责IT以外的职责,比如物理安全。

但也有许多例外,对很多公司而言,CSO职位纯属技术性质。与其硬性区分,不如就用“CSO”统称安全高管,假定其绝大部分工作职责落在信息安全上。而且,事实上,很多专家都是混用CISO和CSO的。

▶ 安居IT范畴?

企业总是从小做大的,其汇报结构也是在发展壮大的过程中形成的。在成立时间相对较短的公司里,CSO向CIO或其他IT主管的结构很常见。如果公司尚有大量阻止和处理工作有待完成,例如确保实施恰当的防火墙规则,或者及时应用安全补丁,甚或初步盘点公司资产等基本过程;那这种情形就很真实了。毕竟,都不知道信息和设备在哪儿,何谈信息安全保护?CSO向CIO或IT主管报告的安排,能够使CIO充分摸清IT的情况,各个信息技术领域的全面可见性都汇集到一个中心人物那里。

但随着公司逐步成长,安全职能再呆在CIO体系下就不舒服了。最突出的就是,CSO可能会发现自己未必与IT部门其他人共享相同的工作目标和动力。CSO向CIO汇报的结构可能会造成成本管理凌驾于风险管理之上。说得更直白一点:CIO通常因为交付能带来收益的业务项目而获得奖励。CISO的工作则是修复漏洞,而这些安全项目总在跟盈利驱动的项目争夺资源。

此外还有重点不同的问题:CIO的业务目标很多,如果CSO受CIO管辖,他们在完成大项目时就会被划到同一阵营。举个例子,HigherGround Managed Services首席执行官Brian Brammeier就在提供的咨询的一家公司遇到过这样的场景:“有个重大安全漏洞正在泄露数据。CIO收到了通知,但并没有把这个问题分类为必须抛下一切优先修复的问题,也就没有给予应有的足够重视,而实际上这个问题还真就是不及时修复就会出大乱子的。鉴于问题的严重性,安全主管联系了董事会,后来董事会就修改了汇报结构,CISO直接向董事会汇报了。”

Brammeier解释道:“发现安全问题的时候,大多数人都会竖起防御姿态。出现问题时其实无所谓是谁的错,只要专注解决问题就好。”但在现实中,不是每个人都这么有大局观,CSO和顶头上司CIO之间的冲突也不是每次都能像Brammeier描述的案例那样妥善解决。没错,你可以告知董事会你和CIO之间的分歧,但这通常无益于你在CISO的职位上干得长久。

▶ 具有战略思维

向CIO汇报可能会限制CSO的战略执行能力。处在这个位置上的CSO对自己主张的安全状态是投钱又投人。承认自己构建的安全架构不再有效可能会引发巨大压力,因而CISO并不愿意在有需要的时候推倒重来或调整。基本上,CISO既没权力也没动力转向有益于整个公司的安全方法。

公司设置有直面高层的汇报结构就能避免CSO陷入这种陷阱。公司技术侧一旦成熟,安全部门就能过渡到更加基于风险的方法,向公司高层汇报。事实上,大多数受访者表示,前瞻性思维公司的标志之一就是CSO不听命于CIO,而是像公司领导人一样思考。

CSO这个角色更像是多部门协调者的组织受到几位受访高管的推崇。掌握所有安全相关事务的“指挥控制”型CISO概念不再有效。CISO成为了委员会主席一样的人物,负责跨部门收集和沟通各项指标,再打包上呈公司高层。这种模式下,安全架构存在于公司各个职能领域,由CISO负责治理和提供透明性。

换句话说,CSO需要跳出IT范畴。CISO完全以IT为中心,并因此位于CIO管辖之下的日子一去不复返了。安全有效性管理和风险管理超出了IT范畴,需在高管层级上执行,这样技术决策者和非技术决策者才都能拥有基于证据的数据,能够更高效地做出明智的业务决策。

▶ 上达天听

让决策者听到自己的声音,或许是CSO想要跳出IT体系最重要的原因,而且,离顶层越近越好。理想状况下,CSO/CISO可以直接向董事会汇报。鉴于大多数公司的实际情况,更务实的目标或许是向CEO或同等地位的人汇报。CISO或CSO想要真正高效,就需要接触核心决策过程和权威,作为独立的声音参与决策过程。想要真正为公司提供信息与资产安全指引,就需要加入到高管层决策会谈中去。不单纯作为旁观者,而是要拥有投票权。

提到如何获取CSO需要的资源,让领导层听到自己的声音能带来切实的好处。通常,安全文化扎实的成功企业里,CSO都是直接向CFO或COO这样的高管汇报的。这些高管一般深涉日常决策,有能力理解长期安全需求并将之纳入资本支出计划,也能够在必要的时候为“应急”需求提供资金支持。

▶ 组织结构的多种可能性

大多数受访高管都承认,CSO向CIO汇报的模式仍就十分常见,但多少情况下并不是理想之选。被问及偏爱的汇报路径时,这些高管提出了许多建议。

· CSO→CEO:CSO向CEO汇报可以提供直接而及时的信息流。而且有时候如果你的高管恰好是技术出身,那你的赢面就更大了。有个技术型CEO当领导真的是太走运,可以跨越典型的沟通障碍,让我们能够享受当今社会的快节奏进展。

· CSO→COO:但不是每个人都那么幸运,CEO每天面对那么多需求,安全考虑可能被排到了其他重要决策之后。与此相反,如果向COO汇报,CSO就相当于能接触“重度参与日常决策”的领导层。

· CSO→CFO:在有些公司里,CFO负责避免出现任何形式的财务损失,安全也就进入了他们的视野。不过,CFO通常缺乏技术背景,不太能理解CISO职能的错综复杂。有利情况下,CFO稍作拖延就选择支持CISO。如果是不利情况,CFO的技术欠缺加上他们一贯的省钱思维,就能陷CISO于困境。有些公司选择让CSO向更专业的首席风险官(CRO)汇报。

· CSO→法律总顾问:由于网络安全风险和数据泄露事件常带来重大法律影响,尤其是在监管严格的行业,让CSO向公司首席律师汇报就很明智了。公司可以利用这一汇报结构深度协调和统一围绕网络风险的问责和观点。

· CIO→CSO:看起来似乎是颠倒了,但有时候确实会这样。这一定程度上是因为IT、云、移动应用和其他由业务部门推动的项目的消费化,而不是企业范围的IT决策。同时,CIO向CSO报告的汇报关系也受到企业历史的影响,典型的例子就是CIO升任CISO然后给自己招聘了个CIO下属的情况。

▶ 应得的尊重

向高层汇报的CSO更受看重,这样会增加他们的工作满意度。与决策者之间的距离是CISO平均任期只有18个月左右的常见原因。CISO不是个好着手的工作,如果不能通往成功,那就很难干得长久。如果公司想要招聘安全高管,汇报关系是CSO向CEO报告的话会更能吸引到顶级人才。

但能否得到尊重不仅仅关乎CSO的个人幸福,还关乎公司的安全。CSO在重视安全的公司里最为如鱼得水,而赋予CSO直通公司高层的权力,才能形成这种相得益彰的局面。如果数据泄露事件会搞垮公司,那CISO就应该向CEO汇报。事情就这么简单,不过是将CEO的思维转向确保做好安全计划而已。CISO直接向CEO汇报的时候,信息流就及时而通畅了。这种汇报关系还向整个公司及其利益相关者(雇员、客户、董事会、投资人等等)表明安全是头等大事。

越来越严格的安全监管要求也促使CSO独立于IT直接向高层汇报。今天这种监管大环境下,公司理应将CISO/CSO置于拥有独立性和监督权的位子上,能够作为安全职能和功能的业务顾问。如果位于CIO之下,CISO就失去了独立性和客观性,其评估工作就受到控制和束缚,以至于根本发挥不出价值。

最后,不断变化的法律和威胁形势也将使CSO成为CIO和其他高管的同级搭档,而原因只有一个:最终盈亏!最近,影响公司股价的安全事件屡见不鲜。例如,Equifax的股价在公司发生重大数据泄露后就没再恢复,索尼的股价也一样,在PlayStation数据泄露事件和内部文件被盗事件后一直疲软。随着此类影响甚广的重大事件不断发生,CISO或许将在未来几年内开始进入公司的高级管理团队。

IDG《2020年安全重点研究》:

https://resources.idg.com/download/2020-security-priorities-executive-summary

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。