探索中国CIO人才现状 | 第四季调研报告
面对网络安全 CIO角色间如何定位
2015-06-11  来源:比特网

当涉及安全问题时,CIO这一角色是否面临着一种内在的利益冲突?而信息安全的责任又应该由谁来参与承担?

在企业当中,谁应该承担起网络安全工作的领导责任?CIO职位在这方面工作当中又该扮演怎样的角色?在今年5月于马萨诸塞州坎布里奇市召开的麻省理工学院Sloan CIO研讨会当中,这两大问题成为发言者们关注的焦点。

在其中一次题为《网络安全:评估与改进保护手段新方法》的对话环节中,多位信息安全领导者纷纷认为,CISO及类似职位应该成为网络安全战线中的关键性角色。

事实上,CISO的重要作用完全有据可查。根据Ponemon研究所发布的《2014年数据泄露成本调查》显示,在影响到企业数据泄露成本的全部因素当中,有八分之一的权重取决于CISO(或者类似的职位与领导角色)能否“承担起企业数据保护的整体责任”并领导好紧急事务响应团队。在这方面条件得到满足的情况下,数据泄露造成的人均成本平均可下降10美元。(为了帮助大家理解这一下降幅度,2014年内企业数据泄露事故造成的人均成本为201美元。)

不过,CISO与CIO之间应该保持一种怎样的关系?再有,CIO应该从哪种角度切入到企业信息安全体系中来?在对话环节进行的一次非正式民意调查当中,与会者们以举手方式表达了自己对于企业安全保护工作的认识――结果表明,大部分与会者认为企业安全工作包括CISO本身应当隶属于CIO的权限范畴之下。而台上的安全专家们则对这一概念表现出争议。

“很明显,在CIO之下安插一个安全管理角色必然会产生利益冲突,”施耐德电气公司网络安全主管兼副总裁George Wrenn指出。这是因为CIO职位(主要负责控制CISO的预算支出)的绩效往往与经济挂钩,而良好的网络安全实践可是要花钱的。相反,Wrenn表示,CISO其实应该直接向“公司中的非技术类领导角色”报告工作。

在制定理想的安全决策时,我们往往需要从道德与利益的冲突当中作出权衡――现场对话安全专家们提到了1986年挑战者号航天飞机失事的灾难,而这也充分证明了这一问题的重要性。这起事故的调查人员认定,相关安全问题未能得到应有的高度关注。而随着“可接受风险”开始在企业文化当中持续普及,生产至上的旧有观念已经受到严重冲击,而沟通机制当中的固有缺陷也越来越多地暴露了出来。

“美国宇航局每年需要多次对项目的经济状况作出评估与证明,”Wrenn指出,这也暗示着当政治因素与预算水平被作为优先要素时,会引发怎样可怕的后果。

不过与此同时,信息安全也高度依赖于可接受风险的实际管理水平。

“真正的问题在于实现风险管理,并弄清楚在企业体系当中,谁最适合承担风险处理任务,”ADP公司首席安全官兼副总裁Roland Cloutier在对话当中指出。Cloutier同时强调称,数据泄露的预防责任应该成为一种常规成本,并成为董事会成员在考量信息安全决策时需要始终坚持的思维前提。

“一切最终都将归结于成本,”与会专家1E北美公司总裁兼COO Nick Milne-Home指出。“过去几年来所产生的种种变化,无非是让这种成本表现得更加明确。”

从个人角度出发,Wrenn阐述了他自己的偏好,认为CISO应当直接向CFO报告。这是因为CFO的工作重点――也包括成本管理――相较于CIO职能更贴近CISO的优先级考量方式。

不过,Cloutier认为CIO在保障网络安全的相关工作中同样扮演着重要的领导者角色――特别是企业将信息安全更多地定义为质量控制中心而非成本中心的情况之下。

对于与会专家Shape Security公司产品管理副总裁Shuman Ghosemajumder来说,质量控制正是安全保障工作的核心要务。当被问及CIO未来应当将哪类培训内容作为主要关注点时,Ghosemajumder不假思索地给出了答案:“质量第一。”

Ghosemajumder关于Cloutier提出的难题,Ghosemajumder给出的解决思路在于“向企业解释”网络安全能够给产品质量带来的改进作用。在围绕信息安全决策进行成本考量与风险评估工作时,Ghosemajunder认为安全领导者应当学会向更高级别的企业管理层讲故事――而最标准的对话开头就是“让我们想象一下”。

“这样有助于从DNA层面彻底扭转企业的安全认知水平,”Ghosemajumder表示。