安全管理人员在最近几年采取更多的责任和知名度为企业信息资产和物理资源的威胁有所增加。
但是,他们的头衔——无论是CSO、CISO、安全副总裁还是其他c级职位——是否总是具有完成他们所负责的一切工作所需的权威?如果没有,这些高管的职责和他们的权力之间有多大的差距?
简而言之,这取决于组织及其如何看待安全功能。信息安全论坛(information security Forum)的全球副总裁史蒂夫•德宾(Steve Durbin)说,信息安全高管的权力和影响力因组织而异。信息安全论坛是一个非营利组织,为信息安全和风险管理的所有领域提供指导和最佳实践。德宾说,在很多企业,权威和影响力是不够的。
“如果你看一些的功率球员,在运行大型组织安全的家伙,他们说他们有权力至少完成他们与任务,”德宾说。“但很多企业仍然没有得到安全的重要性,”而这体现在,当涉及到权力,预算控制和管理的其他领域如何首席信息安全官和其他网络安全管理人员进行处理。
德宾说,最近的研究证实,许多组织低估了信息安全的重要性。例如,安永(Ernst and Young) 2012年的《全球信息安全调查》(Global Information Security Survey)显示,在接受调查的公司中,只有约四分之一的公司将信息安全责任交给了首席执行官、首席财务官或首席运营官,将其提升到了高管级别。只有5%的人向首席风险官报告信息安全,首席风险官是管理组织风险的主要负责人。
“显然存在不匹配或缺乏在安全是多么的重要高层的理解和[权威]的水平,它需要有在组织内,”德宾说。信息安全主管可能部分归咎于此,他补充道。
“以我的经验,一般来说,许多安全管理人员仍难以有效地传递自己的C级决策者消息,”德宾说。“他们一直无法与业务目标保持一致的信息安全。一般的行业倾向于过度使用的恐惧,不确定和怀疑的方法来获得预算,并在一定程度上破坏了[首席信息安全官的]的作用。
在财富500强以外的许多组织,今天CISO的角色“缺乏威信来完成业务所需的信息安全目标,”德宾说。
“首席信息安全官都得到了一个艰巨的任务,在他们的手,很多人都来自技术背景,直到最近还没有被要求的工作作为密切与企业或该企业很容易理解的语言进行交流的安全问题,”他说。
其结果是,他们继续对预算和权威,他们需要奋斗。“许多人都从当安全从未像现在这样重要的时刻缺乏权威的痛苦,”德宾说。
这意味着:组织可能没有足够的装备来保护自己不受网络犯罪的影响,网络犯罪的复杂性和范围在不断增加。在那些缺乏强大安全权限的组织中,高级业务领导可能会在没有关于威胁和解决方案的足够信息的情况下做出决策。
缺乏权威
一位安全主管,谁不希望自己的名字或组织鉴定,说他不具备充分的权力,直接实现了所有的目标,并认为这是他的许多其他行业的同行也是如此。他说,“这可能是理所应当的,因为安全永远是任何企业的小伙伴。”
这名高管指出,组织结构“到处都不同,从(人力资源)到法律再到运营,高级安全官员向各种各样的高管汇报。”这方面没有标准的解决方案,而企业文化将决定如何做到这一点。”
一个问题是,匿名安全主管必须处理的是,有在他的组织没有中央安全预算的事实。安全性是整个组织扩散,因此是预算,他说。由于安全性是在组织中的每个水平基本上看作是一种服务,它的各种要素通过其他一些部门的预算支付。
底线是,“企业安全费用,不产生收入,因此它可以是一场艰苦的战斗,以添加一些东西像所有的加载额外的费用人员,”该高管说。
他面临的另一个挑战是,安全职能很少同时包括实体安全和网络安全,“因此,这两个基本的安全职能往往不能很好地协调,也得不到企业领导人的同等重视,”他说。
领导一般都是比较舒服的物理安全性的更传统的领域,安心在网络侧要少得多,该高管表示。
“这意味着IT人员成为网络的事实上的保安队长,就像狐狸鸡舍后找了一下,”他说。
“这里应该是每个组织中谁是老板可以去为所有安全解决方案的单一的执行。”
在一些公司,大型全球企业特别是子公司,企业的组织结构,可以限制安全主管的权威。
作为商业金融提供商GE Capital Americas的CISO和IT风险主管,詹姆斯•比森(James Beeson)有权做出更新安全软件版本和调整安全政策等决定。但是,为公司做出大规模的安全战略决策是一个更复杂的命题。
比森表示:“在我们的业务部门,我得到了高级领导层和首席信息官的全力支持,去完成我必须完成的工作,以使我们符合”母公司通用电气的安全要求。他说,他没有权力做的是做出超越通用电气整体安全战略范围的广泛政策决定。
GE的组织方式,母公司拥有其自己的安全部门和领导一样,它的通用电气资本单元和GE资本美洲。母公司和GE资本各自具有CISO理事会,其中比森是一个构件。
作为会员,比森可以建议议会新技术来考虑,可以推荐的方式,以加强企业的安全姿势。
比森说:“我可以影响那些(议会),但在决策制定和实际推动事情进展的权力方面却无能为力。”他经常需要通过委员会批准关键的安全技术或安全政策或程序的重大变化。
比森说:“我的老板希望我负责通用金融美洲业务的安全。”“但我可能无法选择一种工具或技术,也无法修改一项政策。事情没那么简单。”
安全的价值
一些高管对安全主管的权威程度感到满意。自动数据处理公司(ADP)的首席信息官罗兰德•克劳蒂尔(Roland Cloutier)表示:“我认为,大多数公司的确赋予了它们(CISOs和CSOs)成功的权威。”自动数据处理公司是一家提供人力资源、薪资、税收和福利管理服务的公司。
“当局并不意味着无限的资源或者是他们想要实现每一个安全,风险或隐私的程序,”克卢捷说。相反,它是理解为执行安全的领导者的需求,专业的输入和协作提供机制,并促进认真考虑的会影响业务的问题的机会一个工作区,他说。
“通常情况下,如果一家公司已经为员工CISO / CSO状的位置,[它]迈出了非常重要的第一步的承诺,”克卢捷说。“通常,它是安全主管的责任来定义成功的组织和开发,并提供必要的驱动结果对业务的影响的努力。”
在克卢捷的经验,很难采取一种平衡的方法来有效的安全企业通常具有在任何治理和监督或职责分离的问题。
“首先,如果没有建立权威的执行监督小组,提供指导安全计划,(然后)优先级,业务融合和跨企业知名度是非常难以实现,”克卢捷说。“这些基本概念,对于任何给定的程序,而不只是安全的成功的基础。”
关于职责分离,这在操作上由具有安全性,风险或隐私功能对比想法一组管理这些安全机构经常发现自己不能够解决问题,这要归功于管理,财务或组织问题。
“在这里,在ADP,我们已经采取了很大的篇幅,通过执行安理会[实施]跨部门和企业的监督比对,并把我们的安全和隐私的程序像其他风险机构,作为CFO的办公室的组成部分,”克卢捷说。
该公司认为其安全性,操作风险和隐私方案,作为其整体风险状况的因素,克卢捷说。“在我们的治理,它是负责维护ADP的整体企业风险姿势CFO的办公室,所以这是哪里来的CSO位置报告,”他说。
在公司里,安全是企业的主要焦点,安全主管角色承担了巨大的重要性。例如,在Websense的,Web,电子邮件和移动安全技术,首席安全与战略官杰森·克拉克的供应商不仅负责IT战略和审查所有的IT项目,而且还深入参与企业决策,包括投资,市场战略和合作伙伴关系。
“我的领导在四个个别地区延伸 - 而需要买入从行政套房,IT,工程,营销和销售,”克拉克说。“我的产品开发过程中充当客户的声音,提供一个真实世界的看法。”
Clark控制的安全预算分布在IT和市场营销之间。他表示:“这个过程鼓励了各部门之间的内部协作,让我摆脱了管理问题。”“这也让我能够在CSO的办公室里建立一个独特的团队,这有助于进一步宣传我们的流程。”我们可以自由地实施我们创造的许多内部和外部安全理念,并更有效地将这些理念与其他组织的需求放在优先位置。”
Websense的CIO处理其IT安全的操作一边克拉克负责战略和项目。
“这是一个强有力的关系,让我用我的业务和安全专业知识,提醒管理人员对成功的策略,以提高他们的IT基础架构,更有效地保护我们的组织”。
一个新的外观
在未来的几个月,许多组织将改变他们看的安全性和它是如何在企业内部管理的方式,和CISO的角色将演变,德宾说。CISO们必须重新调整安全把他们组织从危机应对和遵从模式为主动的风险管理,他说。
这是在一些企业已经发生了。德宾援引银行是分裂的多个个体之间的CISO的角色,每个负责公司的不同部分。他们作为一个团队的工作,报告给COO,确保C级的支持。
“还有一个组织,我知道那里的安全,现在通过对首席战略官报告,”德宾说。“我喜欢这样,因为安全性,然后与战略定位。”在第三家公司,在媒体行业,CISO工作与企业协商的基础上,根据需要采取安全项目。这使得首席信息安全官向人们展示他的专长在安全,除了帮助公司实现其业务目标,他说。
事实上,CISO的角色很可能演变成更多的协商功能,德宾说。“首席信息安全官将需要顾问和推销员,”他说。“他们需要能够寻找到的经营策略,然后出售了如何在一个协商的方式管理信息安全风险的适当的概念。”
随着时间的推移,“我们可能会看到一个新的[位置]的在董事会层面的到来,像首席数字官,有人负责管理该组织的网络空间的作用,自然谁负责所有的网络安全问题,”德宾说。
不管安全主管的工作结果如何,组织都需要采取步骤来加强安全功能。
“显然有差距,但问题是,我们如何弥补呢?”德宾说。“随着我们逐渐步入云计算,移动技术和社交媒体,这是对企业特别是有责任了解风险。”
鲍勃VIOLINO是一个自由撰稿人和编辑。他可以在bviolino@optonline.net到达。
这个故事,“你的头衔和你的权威相符吗?CSO 。