當(dāng)涉及安全問題時(shí),CIO這一角色是否面臨著一種內(nèi)在的利益沖突?而信息安全的責(zé)任又應(yīng)該由誰來參與承擔(dān)?
在企業(yè)當(dāng)中,誰應(yīng)該承擔(dān)起網(wǎng)絡(luò)安全工作的領(lǐng)導(dǎo)責(zé)任?CIO職位在這方面工作當(dāng)中又該扮演怎樣的角色?在今年5月于馬薩諸塞州坎布里奇市召開的麻省理工學(xué)院Sloan CIO研討會(huì)當(dāng)中,這兩大問題成為發(fā)言者們關(guān)注的焦點(diǎn)。
在其中一次題為《網(wǎng)絡(luò)安全:評(píng)估與改進(jìn)保護(hù)手段的新方法》的對(duì)話環(huán)節(jié)中,多位信息安全領(lǐng)導(dǎo)者紛紛認(rèn)為,CISO及類似職位應(yīng)該成為網(wǎng)絡(luò)安全戰(zhàn)線中的關(guān)鍵性角色。
事實(shí)上,CISO的重要作用完全有據(jù)可查。根據(jù)Ponemon研究所發(fā)布的《2014年數(shù)據(jù)泄露成本調(diào)查》顯示,在影響到企業(yè)數(shù)據(jù)泄露成本的全部因素當(dāng)中,有八分之一的權(quán)重取決于CISO(或者類似的職位與領(lǐng)導(dǎo)角色)能否“承擔(dān)起企業(yè)數(shù)據(jù)保護(hù)的整體責(zé)任”并領(lǐng)導(dǎo)好緊急事務(wù)響應(yīng)團(tuán)隊(duì)。在這方面條件得到滿足的情況下,數(shù)據(jù)泄露造成的人均成本平均可下降10美元。(為了幫助大家理解這一下降幅度,2014年內(nèi)企業(yè)數(shù)據(jù)泄露事故造成的人均成本為201美元。)
不過,CISO與CIO之間應(yīng)該保持一種怎樣的關(guān)系?再有,CIO應(yīng)該從哪種角度切入到企業(yè)信息安全體系中來?在對(duì)話環(huán)節(jié)進(jìn)行的一次非正式民意調(diào)查當(dāng)中,與會(huì)者們以舉手方式表達(dá)了自己對(duì)于企業(yè)安全保護(hù)工作的認(rèn)識(shí)——結(jié)果表明,大部分與會(huì)者認(rèn)為企業(yè)安全工作包括CISO本身應(yīng)當(dāng)隸屬于CIO的權(quán)限范疇之下。而臺(tái)上的安全專家們則對(duì)這一概念表現(xiàn)出爭(zhēng)議。
“很明顯,在CIO之下安插一個(gè)安全管理角色必然會(huì)產(chǎn)生利益沖突,”施耐德電氣公司網(wǎng)絡(luò)安全主管兼副總裁George Wrenn指出。這是因?yàn)镃IO職位(主要負(fù)責(zé)控制CISO的預(yù)算支出)的績(jī)效往往與經(jīng)濟(jì)掛鉤,而良好的網(wǎng)絡(luò)安全實(shí)踐可是要花錢的。相反,Wrenn表示,CISO其實(shí)應(yīng)該直接向“公司中的非技術(shù)類領(lǐng)導(dǎo)角色”報(bào)告工作。
在制定理想的安全決策時(shí),我們往往需要從道德與利益的沖突當(dāng)中作出權(quán)衡——現(xiàn)場(chǎng)對(duì)話安全專家們提到了1986年挑戰(zhàn)者號(hào)航天飛機(jī)失事的災(zāi)難,而這也充分證明了這一問題的重要性。這起事故的調(diào)查人員認(rèn)定,相關(guān)安全問題未能得到應(yīng)有的高度關(guān)注。而隨著“可接受風(fēng)險(xiǎn)”開始在企業(yè)文化當(dāng)中持續(xù)普及,生產(chǎn)至上的舊有觀念已經(jīng)受到嚴(yán)重沖擊,而溝通機(jī)制當(dāng)中的固有缺陷也越來越多地暴露了出來。
“美國(guó)宇航局每年需要多次對(duì)項(xiàng)目的經(jīng)濟(jì)狀況作出評(píng)估與證明,”Wrenn指出,這也暗示著當(dāng)政治因素與預(yù)算水平被作為優(yōu)先要素時(shí),會(huì)引發(fā)怎樣可怕的后果。
不過與此同時(shí),信息安全也高度依賴于可接受風(fēng)險(xiǎn)的實(shí)際管理水平。
“真正的問題在于實(shí)現(xiàn)風(fēng)險(xiǎn)管理,并弄清楚在企業(yè)體系當(dāng)中,誰最適合承擔(dān)風(fēng)險(xiǎn)處理任務(wù),”ADP公司首席安全官兼副總裁Roland Cloutier在對(duì)話當(dāng)中指出。Cloutier同時(shí)強(qiáng)調(diào)稱,數(shù)據(jù)泄露的預(yù)防責(zé)任應(yīng)該成為一種常規(guī)成本,并成為董事會(huì)成員在考量信息安全決策時(shí)需要始終堅(jiān)持的思維前提。
“一切最終都將歸結(jié)于成本,”與會(huì)專家1E北美公司總裁兼COO Nick Milne-Home指出。“過去幾年來所產(chǎn)生的種種變化,無非是讓這種成本表現(xiàn)得更加明確。”
從個(gè)人角度出發(fā),Wrenn闡述了他自己的偏好,認(rèn)為CISO應(yīng)當(dāng)直接向CFO報(bào)告。這是因?yàn)镃FO的工作重點(diǎn)——也包括成本管理——相較于CIO職能更貼近CISO的優(yōu)先級(jí)考量方式。
不過,Cloutier認(rèn)為CIO在保障網(wǎng)絡(luò)安全的相關(guān)工作中同樣扮演著重要的領(lǐng)導(dǎo)者角色——特別是企業(yè)將信息安全更多地定義為質(zhì)量控制中心而非成本中心的情況之下。
對(duì)于與會(huì)專家Shape Security公司產(chǎn)品管理副總裁Shuman Ghosemajumder來說,質(zhì)量控制正是安全保障工作的核心要?jiǎng)?wù)。當(dāng)被問及CIO未來應(yīng)當(dāng)將哪類培訓(xùn)內(nèi)容作為主要關(guān)注點(diǎn)時(shí),Ghosemajumder不假思索地給出了答案:“質(zhì)量第一。”
Ghosemajumder關(guān)于Cloutier提出的難題,Ghosemajumder給出的解決思路在于“向企業(yè)解釋”網(wǎng)絡(luò)安全能夠給產(chǎn)品質(zhì)量帶來的改進(jìn)作用。在圍繞信息安全決策進(jìn)行成本考量與風(fēng)險(xiǎn)評(píng)估工作時(shí),Ghosemajunder認(rèn)為安全領(lǐng)導(dǎo)者應(yīng)當(dāng)學(xué)會(huì)向更高級(jí)別的企業(yè)管理層講故事——而最標(biāo)準(zhǔn)的對(duì)話開頭就是“讓我們想象一下”。
“這樣有助于從DNA層面徹底扭轉(zhuǎn)企業(yè)的安全認(rèn)知水平,”Ghosemajumder表示。
各位讀者朋友會(huì)以怎樣的方式向企業(yè)管理層闡述網(wǎng)絡(luò)安全工作的重要意義?您與所在企業(yè)中的網(wǎng)絡(luò)安全團(tuán)隊(duì)是否保持著緊密合作?您所在企業(yè)的CISO又在向哪位高管直接報(bào)告?請(qǐng)?jiān)谠u(píng)論欄中分享您的切身體會(huì)。