越来越多的组织在c - bag中增加了一个新成员——首席风险官(CRO),这些主管的崛起对企业的安全程序产生了直接的影响。
科技高管搜索服务提供商Benchmark Executive Search总裁杰里米•金(Jeremy King)表示:“企业间谍活动、恐怖主义和网络攻击,正加大对全面了解风险管理和安全的高管的需求。”
King说:“许多公司终于意识到各种安全入侵的破坏性——从物理损害和实际成本到声誉损失和客户恢复。”“以前孤立的风险管理职能必须重新建立、加强,并更积极地提供资金。行业必须重新评估自己的风险管理方法,要想成功,就需要董事会和最高管理层前所未有的合作。”
[关于CSO:新世界的信任:首席风险官角色的演变]
金说,CRO的兴起是一个尚未开始的趋势。他表示:“尽管一些有远见的大型金融机构已聘请了一位CRO来监管所有风险,但多数公司尚未效仿他们的做法。”“根据我从客户、顾问和我们的安全人才网络中收集到的信息,上市公司将越来越多地授权一个领导者或团队来负责其综合风险和安全战略。”
金表示,CROs将在上市公司扮演更重要的角色,并被视为首席运营官的同僚,首席运营官负责盈亏,而CRO负责“预防亏损”。
通常情况下,CROs在组织内部获得了权力和影响力。“但对于大多数新的企业计划来说,它们不是凭空冒出来的,而是自上而下的,”King说。“因此,董事会必须要求这成为一项重大举措。”
印第安纳大学CRO的Merri Beth Lavagnino表示,CRO的角色在不断变化和发展,以适应企业的需求以及如何做出基于风险的决策。她表示:“静态的企业风险管理角色不会是有效的,因为我们生活的世界在不断变化。”
电子签名应用程序提供商DocuSign的情况也是如此。美国特勤局前特工、现为DocuSign首席运营官的汤姆•佩格勒表示:“我的团队已经在不断发展,以确保我们拥有最佳的装备,来管理和减轻我们业务中各个方面的风险。”
“除了信息安全之外,我们还会全面审视所有风险,包括物理安全、操作风险、审计、合规、风险/安全意识和通信,”Pageler说,他向总法律顾问和董事会报告。“我的研究范围包括(并购)风险、国家风险、业务风险以及传统‘安全’以外的其他领域。因此,我们有一个健全的风险/安全理事会,由一组专家和商界领袖讨论和跟踪我们的风险登记。”
福雷斯特研究公司(Forrester Research)分析师尼古拉斯•海斯(Nicholas Hayes)表示,多种因素共同推动了CRO角色的出现,同时也增强了现有CRO的影响力。
“像更大的市场波动,加剧社会动荡,对增殖第三方日益依赖,以及数字干扰因素都只是一些使它更关键的组织了解并成功地驾驭它们的风险的外部因素环境,他们需要有人与风险智慧和经验,要做到这一点,”海耶斯说。
在许多组织中,CRO如何适应公司的安全管理结构仍在进行中。
King说:“对于任何组织来说,要就必须做什么、必须将哪些组织资产整合到更广泛的风险管理任务中、甚至是一个标准的组织结构来决定CRO、CIO、CSO和CISO如何结合在一起达成共识,都不是一件容易的事情。”
[更多:创建协作风险管理项目的5种方法]
King表示:“由于CSOs/CISOs的报告结构包括CIO、总法律顾问、首席合规官和首席执行官,难怪会出现混乱。”“需要建立一个可能导致重大报告变化的新框架。”
黑骑士金融服务公司(Black Knight Financial Services)是一家为金融服务公司提供数据和分析技术的公司,该公司的首席信息官(CISO)和物理安全总监向CRO Peter Hill汇报工作,后者直接向首席执行官和黑骑士董事会的风险委员会汇报工作。
杰里米·金,Benchmark Executive Search总裁
”信息安全构成了公司风险格局的重要组成部分,因此至关重要的是让这一职能与公司的总体战略风险方向紧密结合,”Hill说。“这种报告关系继续为风险和安全的有效管理提供实质性的好处,并确保在信息安全方面的投资与组织的战略方向和风险状况相称。”
企业风险管理“通常处于(比企业安全)更高的关注水平,关注可能阻碍组织实现其使命的重大事情,”Lavagnino补充道。“我们在这里谈论的是真正的大问题——这些问题会让你的公司垮掉。”
虽然有些CISO /公民社会组织的风险可能上升到企业层面,阴极射线示波器将最有可能的工作直接与CIO或副总裁为企业风险管理委员会成员的大多数时间,只有CISO /方案更详细的信息时需要对风险及其应对,Lavagnino说。
Lavagnino说:“CISO/CSOs很难接受还有许多其他更麻烦的机构风险,这些风险的可能性和严重性都比信息安全风险高。”“我还发现,与组织的其他部门相比,安全专业人员往往走在了竞争的前列,因此,信息安全风险得到了很好的缓解。”
换句话说,安全主管们可能做得很好,把安全风险降低到一个可接受的水平,“结果他们在企业风险优先级列表上的位置变低了,”Lavagnino说。“这并不是说安全风险不重要;它们很可能拥有一些最高的内在风险评级。”
在的DocuSign,所有的安全领导和职能Pageler报告。“不过,我们也有嵌入整个谁拥有虚线汇报到风险团队的企业安全冠军,他说。“这将确保我们的业务线,领导者和团队整合安全到他们的各种过程,因为任何公司的风险和安全行动只是作为强大和安全作为其员工。确保每个人都是安全的一部分,有助于实现这一目标。”
帮助创建一种安全的文化可能是CROs的主要责任。
“风险管理从这些公司的高层开始,关键在于董事会之间的密切关注和协作,以制定更严格的政策,以及高管层之间的沟通和执行,”King说。“如果没有强有力的行政领导,没有更大的资源以紧急和持续的创新来管理网络漏洞,这不会发生。”
随着安全冠军嵌入整个组织,DocuSign通过其DocuSign应急响应团队(DERT)优先将安全作为文化的一部分。
佩吉勒说:“志愿加入DERT的人都接受过应对危机的训练。他们接受心肺复苏、消防安全和其他准备技术的培训,并对具有良好安全意识的行为给予奖励,比如找到一扇敞开的门或在潜在的垃圾邮件上打标记。DERT成员还参与行业网络研讨会、培训和研讨会,以发现和分享团队中的最佳实践。
希尔说,为公司所有员工创造一种风险和安全意识的文化,“是(企业风险管理)和安全部门最重要的一项责任。”“在过去的两年里,我们对我们的风险和安全意识以及培训项目做了很多改进,努力嵌入一种警惕的安全和风险意识文化。”
这篇文章名为《首席风险官需要与日益猖獗的企业间谍活动作斗争》,最初发表于方案 。