将安全移交给CSO的充分理由

40年来,几乎没有任何理由使任何计算机都超出IT部门的控制范围。但是那个时代即将结束。信息安全的不断发展和日益重要的作用要求极客的背景和警察的直觉。信息安全将两个功能同时崩溃:传统的公司安全和IT。负责监视公司大门和可疑行为的公司安全前警察正在使用越来越多的技术来完成工作。而且,IT安全漏洞的风险已经上升得如此之高,以至于那些了解防火墙但无法理解心怀不满员工动机的IT人员不再能够保护他们的公司免受严重的财务损失,延长的网络停机时间以及严重的破坏与客户关系的破坏。

因此,越来越多的人争相获得信息安全性:IT,传统安全性组或这两个组中不同的新功能。已经有明确的证据表明IT将会输掉这场斗争-更重要的是,它应该输掉这场斗争。在2003年10月的CIO杂志调查中,自称对公司安全性“非常自信”的受访者在IT外部进行信息安全报告的可能性几乎是自称对安全性“完全不自信”的受访者的两倍。 。产生自信的原因很明显:与信心不足的公司相比,信心十足的公司遭受的安全事件减少了近六倍,停机时间和财务损失也更少。他们将更多的资金用于安全性:充满信心的公司在安全性上花费的IT预算百分比是不充满信心的公司的两倍(14%比7%),并且他们更加关注组织报告和安全策略问题。

还有其他原因可以转移安全性。一些人认为,在IT内部维持治安管理职责可能会给CIO带来潜在的利益冲突,CIO可能会在短期内减少安全方面的顾虑,以使IT项目按时并在预算内完成。而且,捕获黑客需要像犯罪分子那样思考,这是IT员工未受过训练的能力。然后是工作量问题:CIO如今是否不必应付担心公司安全的各个方面的新兴和不断发展的挑战,他们的工作量就足够了吗?负责安全性的责任掌握在CSO或同等职位上,尤其是那些在IT部门以外进行报告的人员,可能对CIO的职业生涯,IT部门以及整个组织的健康状况更为有利。 CSO可以将全职精力集中在安全性上,而CIO常常被拉到几个不同的方向。

但是这个问题仍有待辩论。一些CIO担心,如果将安全策略移出IT部门,他们将失去影响力,但是如果出了问题,仍然要承担责任。中小型公司的CIO认为创建一个负责安全性的单独角色是不切实际的。而且,在联邦政府严格监管的行业中,首席信息官们还担心,放开安全性可能意味着合规性下降。

随着争论的日益激烈,如果您不认真检查组织结构中信息安全的重要性,那么该是时候了。越来越多的证据表明,由于复杂性和对被围困的组织的重要性日益增加,安全性可能应该与IT分开。关于IT安全未来的对话才刚刚开始。很可能,讨论也应该在公司内部进行。在这个故事中,我们将概述要讨论的主要问题。

降低安全性

安全专家说,大多数IT安全威胁来自公司内部。如果是这样,那么将IT安全性保持在IT范围之内是一种令人生畏的利益冲突。佐治亚州学生财务委员会的安全顾问和前首席信息安全官Bill Spernow说:“如果您将信息安全视为治安职能,那么让[安全人员]向CIO报告就具有IT基础设施治安本身。”加利福尼亚州教师退休系统(CalSTRS)信息安全办公室主任萨曼莎·托马斯(Samantha Thomas)更为鲜明地指出:“如果您使用IT且他们为您提供了安全保护,您如何对朋友进行公正的调查你已经坐了很多年了?”由于当时政府的行政命令,托马斯和她在加利福尼亚州所有部门的CISO同事现在向其部门负责人报告。格雷·戴维斯(Gray Davis),2002年。

那些主张将安全性从IT中移出的人说,新的,复杂的挑战需要有人能够看清公司整个安全性的更大战略面,主张在公司的所有职能中采取更严格的安全措施,并向更高级别的机构报告安全问题。首席信息官。

这些都是导致财务数据和分析软件提供商Capital IQ的首席技术官William Murphy在2002年要求他的公司聘请CSO的原因。“自1998年公司成立以来,我已经充分地处理了安全问题,但我希望安全性能够提高远远不够;我希望它最终成为我们的竞争优势。”墨菲说。公司的发展(从Murphy刚成立时的五个人发展到今天的900个),再加上不断增长的客户群,对安全性要求更高的产品线以及对安全性期望越来越高的客户,引发了这一转变。

但是墨菲说,他还出于道德上的妥协,更不用说过度劳累了,因为他坚持安全。他特别要求新的CSO向总经理(而非他)报告。他回忆说:“我说,‘我不认为公民社会组织应该向我报告,因为我有相互竞争的动机。” “作为首席技术官,您将不断承受内部压力,以发挥功能并保持高性能,以及所有其他典型的IT问题。将安全性推到一边太容易了。我感觉像杰基尔博士和海德先生一样,不断地从一方面的典型性能问题和另一方面的安全性对事物进行即时风险分析。他补充说:“我觉得我需要建立教堂与州分开。” “安全和IT部门应该像最高法院和行政部门一样。您希望他们一起工作,但是您希望对所做的事情进行独立的监督,以免做出错误的决定。我只是不相信对股东而言,将这么大的权力掌握在一个人手中是正确的。”墨菲说新的设置是有效的。

根据加拿大西门子公司CIO Harald Hoefler的说法,德国制造,IT和服务业巨头西门子公司在八年前就具有这一顿悟。此后,信息安全部门就已向CFO的办公室报告。霍夫勒说:“如果公民社会组织向首席信息官报告,安全性将不够强大。”西门子公司的CSO担负着两个主要角色:保护系统安全并对其进行审核以确保足够的安全性。霍夫勒认为,没有独立于首席信息官的公民社会组织就做不到。他说:“说我的网络有问题,我做的工作还不正确。” “如果我在我所在的地区有这个信息安全官,他会指出,但是我会尽力解决该问题,而不会[透露给其他高层管理人员]。您想要的是让所有高级管理人员意识到问题并共同解决。”霍夫勒说,只有当安全部门向对整个公司负责广泛管理职责的高管(如首席执行官,首席财务官或首席运营官)报告时,才会发生这种披露和合作。西门子加拿大公司首席运营官约翰·波默罗伊(John Pomeroy)补充说:“首席财务官可以影响所有C级经理,并获得预算来进行[信息安全]。”尽管西门子的不同部门对特定安全角色的处理方式有所不同,但越来越多的部门在CSO(如向CFO汇报的Pomeroy)下将信息和传统公司安全相结合。

移动问责制

当然,将对信息安全的责任转移到IT之外是一回事,但是如果问责制不随其后,则CIO将会遇到大麻烦。这就是为什么某些CIO甚至不想考虑放开信息安全性的原因。 “即使将IT安全性从IT中移出,即使发生了某些事情,我仍然会陷入困境,”废物管理公司前CIO Tom Smith说,他于3月退休。 “我认为IT安全是CIO角色和职责的一部分,而不是利益冲突。我个人对内部IT安全(无论是物理安全还是数据安全)负有责任。将其委托给第三方(例如另一种安​​全) IT部门之外的团队,我只是认为这是错误的做法。”

但是,从IT中放弃安全性的支持者不同意。 Capital IQ的Murphy说:“我100%都对此表示担忧。” “但是,一旦发生违规,我和CSO一起去首席执行官办公室。这是一个团队合作的问题。最终并不是谁需要解决这个问题-这是让人们全心全意地担心安全性与IT的问题。公司的未来,作为高管,你们都应该负责。”墨菲说,他宁愿让Capital IQ的CSO Ken Pfeil和他一起去见首席执行官,也不要自己去。

Spernow说,当CIO在IT内部保持信息安全时,即使他创建了CSO类角色,他也不太可能从部门或公司外部找人来重新审视公司处理安全性的方式。首席信息官更有可能将其交给信任的中尉,他对安全性拥有与他相同的观点。斯珀诺说:“有多少老板会接受信息安全人员的话,这是你在搞砸吗?他们不会。这只是人性。” “通常,CSO来自外部是最好的,因为它们必须成为变革推动者,而且如果您要把您所欠之人的包bringing带给他们,那很难。”

像罪犯一样思考

在50年代和60年代大多数公司中,公司安全开始成为一种独特的功能时,公司通常通常希望有经验的人来寻找和处理坏人,以前的警察。安全专家认为,IT安全很少需要摔跤的人,但是恶意黑客的想法与面向物理的坏人的想法没有太大不同。那么,为什么公司会自动假定IT人员可以像罪犯一样思考呢? “我见过的每条信息安全政策都是在开玩笑,因为它们是由值得信赖的人编写的。”曾在富达投资公司安全领域工作的Spernow说。 “我们与IT人员一起进行了这些练习,试图向他们表明他们的直观反应是信任人员。除非他们真的偏执,否则我不会雇用任何人担任安全职位。”

废物管理信息保障总监Anne Rogers表示,IT人员在制定政策和程序方面也没有太多经验,无法处理技术问题。据罗杰斯说,整个公司对安全政策和程序的责任已从IT转移到废物管理的公司安全职能,而选择技术平台和实施的责任仍由IT(前CIO Smith反对的安全管理结构)承担。她说:“我们正在研究IT以外的安全策略和程序,以及这些系统如何影响公司的其他领域。” “安全人员具有执行此操作的技能和背景,而大多数IT人员则没有。” Smith表示,IT部门对影响IT系统的安全策略和过程负有责任。这是许多公司开始进行的安全斗争的一个例子。

使用独立审核

Partners HealthCare System的副CIO Mary Finlay向她报告了信息安全。她承认存在利益冲突。她说,对于像她这样的医疗公司而言,冲突已被《健康保险流通与责任法案》(HIPAA)和对合规性有严格规定的审计机构等外部法规所扫除。 Finlay说:“ HIPAA拥有三支武器,其中一支与安全有关。”她说,合作伙伴还设有内部和外部审核小组以及一个内部合规小组,负责监视信息安全问题。这需要很多检查和平衡。对于没有这种外部审查和法规的公司,单独的信息安全功能可能是他们唯一的独立声音。 Finlay说:“我确实同意您需要某种程度的制衡。” “我喜欢该组织的这个独立部门保持我们的脚步。”

有关:
1 2 Page 1
第1页,共2页