数字安全使企业关注CISO汇报架构

一直以来，CISO应该向谁汇报的疑问，因为数字安全的上升，让企业高层有了新的紧迫感。

数字安全在企业内已经上升到了新高度，而CISO则是它的守护者。

“赶紧找一位CISO，”Nemertes Research的总裁和创始人。

网络安全专家Candy Alexander认为企业需要一位CISO。 “这是至关重要的。绝对至关重要。企业绝对不能没有CISO。”

比较有争议的是，一旦这位安全高层上任，最佳的汇报架构应该是什么。他或她应该向CIO汇报?还是向运营或者法务部门汇报?还是直接向CEO汇报?

“自从CISO这个职位诞生，就一直有争议。” Alexander说，他之前也是一位CISO，现在是独立顾问。

根据Cloud Security Alliance and Skyhigh Networks最近的一份报告， 61%的企业有一位CISO。其中，42%的向CIO汇报，32%的向CEO汇报， 26%的向其他高管汇报，包括总法律顾问和CFO。

之所以有CISO汇报架构的争论，和CISO为什么如此重要有关：保护公司的业务不受各类信息安全的威胁。汇报给不合适的上级，他可能会从业务角度施加不正当的影响，限制CISO展开工作的能力。

信息安全需要IT计划，当然，是属于CIO的职能范围，但全面数字安全则不属于， Alexander说。

“他们不一定像我们这些处于该领域内的人一样，拥有对于安全技术和/或实践和方法的远见，洞察力。”

CISO汇报架构的多样化

不仅仅是管理信息安全，CISO需要管理整个公司的信息安全战略。他或她需要与高管合作，让他们意识到网络安全威胁是业务的威胁，然后确保消息层层传递下去，到达中层经理和他们的业务部门。

如果CISO向CIO汇报，可能会有生产力和安全之间的冲突， Alexander说。CIO的职责是创新，推动盈利的业务战略，让新的应用上线，并确保在用户需要的时候，有IT服务可用，理论上，会掩盖安全措施。Alexander说，CISO与CIO之间会发生预算上的争论，多少资金应该分配给安全，多少分配给支持业务的IT基础设施。

“你很难向公司的高管进行汇报，述说IT应该配合这个项目，当你的老板也坐在其中，”她说。“你真的不想那样做。”

CISO也不应该向CEO汇报，在Alexander看来。CIO与CISO之间的争论经常需要CEO做出裁决，而CEO没有这样的时间。

正确的架构根据公司有所不同，她说，但是COO应该是CISO的老板，因为这种模式将安全和风险意识直接带入企业的日常运营。CFO也可以，因为作为负责财务报告质量的高管，明白相互制衡对于企业安全的重要性。

总之，最重要的是，CISO需要和CIO平级， Alexander说。这样，CIO会重视CISO，当他警告某个应用或其他IT资源对企业构成了威胁。他们之间的对话不应该是“为什么你不能保护你的边界?”而应该是“让我们一起想想，能做些什么。”

网络犯罪合作伙伴

Equinix公司位于硅谷，为全球的企业提供数据中心资源，它的CISO向CIO汇报。George Do担当这一信息安全职位，他知道所有围绕CISO汇报架构的争论。在某些企业内，首席IT和安全官之间，可能是对立的，无法合作的，但是在Equinix却不是。 他的老板是CIO， Brian Lillie。

“我们是数据中心公司，但实际上我们的使命是和我们的客户相互连接，” Do说。公司为了这一使命，在IT和云计算上投入巨资。“CIO是一个巨大的利益相关者。对我来说，安全应该支持这一使命;安全不主导，但是支持。”

企业在全球范围内运行145个数据中心，Do为公司开发了一个安全战略。除了风险评估和制定长期和短期的目标，他负责的常规运营项目还包括防火墙，为安全事故起草响应计划，部署新技术来减少风险。他向Lillie汇报这一切，然后，他会给反馈，然后签字。

在Lillie之后，Do将有关安全和风险意识的信息传递给公司内的其他人。他丢弃了在象牙塔内管理安全的想法，使用良好的，传统的沟通技能和同事进行交流。

“我们使用合理化的安全政策，为什么我们有这些政策，为什么我们使用这种方式，”Do说。“10次中有9次，用户能够明白和理解。”

业务关联

Nemertes的Johnson最近就安全战略采访了一些公司，发现在拥有最成熟的网络安全战略的企业内，CISO直接向业务高管汇报。

这项研究，调查了17个企业，发现CISO和业务方面的距离越近，企业应对当前和未来的安全挑战准备的越充分。

Johnson在3月8日的网络研讨会上发表了这一研究。 如果CISO距离业务高管2个或以上级别，“你汇报的对象的汇报对象向业务高管汇报”——这样的企业的安全成熟度就较低。拥有这样相距两个级别的CISO汇报架构的企业拥有应对网络攻击的基本技术和员工，但它不能在问题发生之初，就阻止。

汇报给CIO的情况稍好，但是距离业务高管仍有一个级别。

“错误不在CIO，” Johnson在接受采访时表示。“这是CISO的工作，将信息安全风险转化为业务风险。” 而CISO向哪位业务高管汇报则不那么重要：可以是CEO，CFO，COO或者首席风险官。

CISO也应该定期与董事会保持沟通， Johnson说，每个财政季度向负责风险和合规审计的运营委员会进行更新。

“并不需要，向8个人进行正式的演讲，” Johnson说。“也许是每隔一个周四，和负责风险委员会的三个人一起吃顿饭。”