CSO如何和IT负责人平衡安全所有权
在大多数企业、组织里,CSO和IT负责人的主要工作职责就是担起网络安全的重任,并且对于现代任何企业的有效运营而言,这些职位在工作内容上的偏重和执行都显得越来越重要。因此,可以说企业内部明确的安全定位可以让企业更好地通往成功,因为架构、系统划分等是企业的风骨,只有将各层之间的逻辑、区域、职能衔接好,企业才能更顺利地运作起来。
ISACA对近3,700名全球网络安全专业人士进行了调查。调查发现,虽然近一半(48%)的网络安全团队在遇到安全事件时会直接向CSO汇报,但仍有四分之一的团队还是会向IT负责人汇报安全有关的内容。而尽管这些报告关系存在着差异,但调查显示,CSO或IT负责人之间的安全职能所有权在网络攻击增加或减少的观点上,在检测和响应网络威胁的能力以及网络犯罪报告上都没有显著差异。
然而,该报告确实发现了网络风险评估执行估值的变化,包括高层会如何优先考虑网络安全以及战略调整相关的变化内容。此外,该报告还指出了,企业自己内部的行业惯例日益增多,比如CSO可能会向IT负责人以外的任何人做报告,尤其是当CSO的职责范围包括治理风险、合规、业务、漏洞修复、防欺诈、应急响应时。
而到了国内,同样较少有CSO或者安全总监能够独立带领团队并直接汇报给CEO,如果有,说明这家公司较为重视安全。通常CSO只能汇报给IT负责人,而这很可能由于立场不同而导致彼此之间难以互相理解,最终则会影响安全工作的效果。
IDC中国研究副总裁钟振山表示:“我们看到大部分安全负责人其实在汇报给IT负责人。而若CSO或者安全部门总监不汇报给IT负责人,那么他们可能会有更独立的网络安全思考,能在这个方向为公司带来更多价值。”
由于企业规模、行业和监管要求等诸多原因,IT负责人和CSO对网络安全事务的责任可能会有所不同。尽管如此,随着网络安全与更多业务元素越来越紧密地交织在一起,谁该负责哪种类型的网络安全,谁在哪些安全领域里更有话语等变得越来越重要了。
Lightico的CIO Omri Braun总结了大多数IT负责人和CSO之间关于网络安全职责上的区别,他表示:“IT负责人更专注于确保使用正确的工具来最大限度地提高效率,以及选择可能会影响公司发展的各种技术,或不断寻找对公司运作来说更有利的机遇等。而CSO则负责保护数据的安全性和完整性。”
Orange Cyber defense 的全球首席信息安全官Richard Jones对此表示赞同:“通常来说,CSO会从运营的角度来看待安全。而IT负责人则更侧重于将安全性建设到企业的技术堆栈或正在进行的数字化转型项目中,以此来最大限度地提高效率、提高弹性、提升用户体验。”
而网络安全架构师Tee Patel甚至觉得IT负责人经常会被迫在安全投资回报率(ROI)方面走“党派路线”,而CSO则需要更加独立去思考安全并专注于保护企业本身。他说:“让企业赚钱并达到营销目标和保持运营安全是现代IT负责人 与CSO职位之间最显著的差别。”
英国特许信息安全协会首席执行官Amanda Finch表示,责任上的差异最好通过每个角色对数据的态度来概括。认证机构CREST的总裁Ian Glover认为,要从安全角度完全分离CSO和IT负责人的角色是非常困难的,在大多数企业里,他们是在职能上互相对齐并紧密关联的。
Zoom CSO Jason Lee表示,他的主要关注点在于保护关键信息,包括客户数据、员工数据和源代码。“在安全方面,考虑大局很重要,这包括查看与业务相关的第三方事项,另外还要思考如何更好地管理各种风险。我会想办法尽可能地武装员工,以确保他们能为安全威胁做好十足的准备。”
对于HP Inc的CSO Joanna Burkey 来说,怎么在混合办公时代保护企业的运营安全是工作中不可或缺的一部分。“在过去 18 个月左右的远程办公模式中,网络安全对员工增加了更多的限制,因为工作内容会在没有本地基础设施保护的情况下进行。” 然而,这些安全政策和限制是为远程办公所设置的,正常办公状态并未被淘汰,所以需要用各种视角去看待,她说:“CSO需要考虑其他降低风险的方法,不单单只是针对突发事件,比如疫情,现实生活很可能会这么转变或那么进行,所以得让安全可以适应更多的场景和变化,而变化之下,企业往往不能很好地遵守各种政策和规则,因此才需要CSO从中彰显自己的职能。”
Jones补充说,由动态网络威胁环境和数字化转型浪潮共同造成的趋势是现代CSO需要管理的另一个重要部分。“网络安全现在需要融入企业运营的各个方面,不管是CEO还是实习生,每个岗位上的每个人都需要对网络安全有所认知。” 因此,CSO必须从头到尾为公司的数字环境从各个方面去注入安全性,确保任何安全有关的内容都是从数字项目开始注入的,这样最终才会减少安全团队面临的警报量,才能让他们更好地使用他们的技能和资源。
就像钟振山说的那样,CSO并不是一个技术岗位,这个岗位需要建立全局的认知,具备对外沟通能力,最重要的是要深入业务,将业务能力和安全能力融合,并在不影响业务的前提下,成功将安全融入、落地,这才是CSO的价值所在。
他认为企业招一个CSO不是让他去搭防火墙的。真正CSO要做的事情,第一点是拥有整体的、体系化的规划,知道企业内部需要具备什么样的安全能力,而这个能力必须要和企业的业务挂钩,因为各个企业自身的业务特点不同,因此需要的安全能力就不一样,所以才说CSO包括其实对于IT负责人也一样,最大的挑战是必须要懂业务,他必须是面对业务的,而不是把自己关在一个小黑屋里做自己的事情。
Finch说,虽然CSO负责日常网络安全的各种要素,并且这些要素包含着许多前瞻性的规划,但在大多数企业里,安全责任往往会由IT负责人承担,因为后者才是那个常常会向 CEO和董事会报告的角色。“因此,IT负责人不能将权责完全交给CSO。相反,IT负责人需要保持对安全策略的认识,并确保这些策略不会将组织的整体战略置于危险之中。”
Tenable的IT负责人Brad Pollard 表示,当下的IT负责人会为一系列基于可用性、性能、预算和及时交付项目的安全负责。“IT负责人需要支持组织内的每个业务部门,可以说他们负担了每个业务部门的信息安全要求。”
例如CSO很可能负责定义安全参数,像漏洞修复或访问控制的服务级别协议等,但IT负责人会为所有业务部门提供这些方面的要求,它涵盖了公司的所有技术。Pollard 说:“IT负责人所要的安全结果是为了满足业务需求,特别是维护预算和按时交付。”
埃塞克斯大学的CIO Jots Sehmbi认为,IT负责人的角色不仅仅是运行传统业务,它越来越多地在包含新技术的实施,并为企业提供数字能力。“其中一些技术对企业来说可能是新颖的,比如RPA、人工智能、物联网等,这些会存在潜在的风险,像数据的架构方式之类,因此IT负责人有责任深入了解这些新技术的网络安全趋势。”
Burkey说,CSO和IT负责人会因为不同的安全责任、安全目标而引发冲突。为此他强调了企业需要基本的凝聚力,以确保这些冲突背后,所牵扯到的新技术不会为公司、数据或客户数据带来安全上的影响。
而Jones则认为,CSO和IT负责人不能只站在自己的立场,他们需要互帮互相,虽然他们之间可能有不同的目标,但他们走的道路却是同一条。“此二者之间协作和沟通是企业能够顺利运营的关键。CSO和IT负责人必须相互合作,这样在运用SD-WAN、SASE和零信任等技术和方法时,才能使这些新的技术成功地落地,并且高效的运行。”
另一方面,Glover从监管的角度分析了此事态,他强调了国际受监管社区中的一个新问题,监管机构现在会更多地去了解其受监管实体所提供的网络安全水平。“同一受监管企业的CSO和IT负责人之间需要加强合作,监管者一定只会做他们认为正确的决定,但通常会从当地的政策来看待问题。这种情况的发生与过去很不一样,而若CSO和IT负责人能相得益彰,站在彼此的立场上共同思考如何满足监管要求,则会为企业带来降本增效的结果,就像说的那样,得让更多的资源集中在双方的控制下而不是集中在报告上。”
Lee补充道:“网络安全在业务运营中的作用正提高着IT负责人和CSO之间的凝聚力,在面对企业的运营时,双方都必须先考虑网络上的安全问题并应对日益增加的威胁,因此在做出任何决定前,安全一定是双方的首要考虑内容。同时,参与彼此的战略和关键实施至关重要,即使双方从意识中都明白该更多的合作,作为其中的一员,还是该尽可能提高这种参与度。这意味着两者的角色比以往更加的紧密了,也意味着使协作变得更加重要。”
而单从权责来看,CSO和IT其实是独立的两条线。就比如CSO或者是安全部门总监在遇到安全事件时,他的话语权不低于IT负责人,那么他们可能会有更独立的网络安全方面的思考,也因此能在这个方向为公司带来更多价值。
但如果反过来,CSO的话语权或说在面对安全事件时的汇报权限比IT负责人低,那么他的中立性会相对弱一点。因为IT负责人最终关心的是项目可不可以落地,可不可以在预期的项目周期内完成等,IT负责人势必会将补齐安全漏洞的行为滞后。
作为安全人员,和IT负责人之间的相处情况具体怎么样、面对矛盾时彼此又会用怎样的手段解决、另外对于CSO在企业安全方面的所有权有着怎样的推测,国内安全专家如此建议。
公安部网络安全等级保护专家毕马宁认为,CIO、CTO和CSO是企业信息化发展和数字化转型的三驾马车,彼此应该各司其责。CIO作为首席信息官,关注的视角是数据(信息)资产,CTO则关注技术架构,CSO肯定是关心安全。而由于视角不同,工作中沟通不及时,难免也会不协调,甚至有时会唯我独尊,使三足鼎立的格局中出现长短腿,产生内耗,桎梏发展。
“面对矛盾和不协调,他们其实应该看到各司其职是为了协同发展,因为有一点是一致的,即都是为了追求数据资产价值的提升并赋能绩效,说到底大家是相互依存的关系,都应该遵循、服从于发展,这才是硬道理。因此得为了发展求同存异,相互配合,相互支撑。另一方面,CSO是来护航的,护航者的工作重点不是解决能不能去(能不能为),而是解决如何安全的去(安全为之),所以CSO 要首先对业务应用、场景模式有较深入的了解,这样才能把安全落到实处。”
而某科技公司安全专家朱士贺认为,协同合作,明确的权责划分,多沟通,相互理解是CSO和IT负责人之间最重要的配合元素。所以说安全与IT这条线密不可分,安全也涉及非IT领域,但是制度和技术的落地,执行层面也需要运维、架构、研发等团队人员。
“若是碰到矛盾了,最好先冷静下来,避免进一步加剧矛盾,以后再找机会好好详谈。而在权责方面,我认为CSO们需要需要进一步提升授权。”
另一方面,某大型IT服务外包集团安全负责人朱诚表示,安全人员(ciso、cso等)和cio、cto之间的关系是相互配合但又不直接关联(没有汇报关系)的。对于IT服务外包来说,安全人员更偏重于“管理”非IT及网络技术应用,这时IT服务外包公司中的CIO、CTO恰好补充了这个不足。因此在日常工作中,这两类人员相互配合,知识共享,当因为网络漏洞造成的信息安全事故时,会相互合作,但日常工作中,并不会相互汇报。
而对于可能会发生矛盾的情况,朱诚给出了三点建议:
①以终为始:找到这两类人员引起矛盾的事件是什么,找到这件事情最终的目的是什么,以这个目标为讨论的基础,旁枝末节不再延伸,从源头减少矛盾的可能性。
②求同存异:提前设置达标标准,只要在达标标准范围类,可以允许有不同的声音,允许有不同的办法,从执行层面分开执行,化解矛盾。
③殊途同归:针对引起矛盾的事件,在快结束之前,整合这两类人员所完成的目标情况,此时这两类人员在执行过程中分别遇到的问题、总结的经验可以有一个碰撞,此时面临需要解决的事件,再来整合这两类人员工作过程中的输出,因为此时大家想到的是如何解决自己的问题,都是抱着学习的心态,会极大减少矛盾。
“至于CSO们在企业安全方面的话语权嘛,应该是‘有限范围的最终解释权’。什么叫有限范围?安全是为企业发展服务的吧,或者说所有企业内部的职能管理部门都是为企业发展服务的吧,那当安全管理阻碍了企业的发展,甚至是到了‘企业能不能活下去’的时候,再谈安全管理无异于削足适履。所以安全管理的话语权在于‘企业能否健康运营’,并且在发展过程中,是为公司在信息安全及时辅助纠偏的一个权力。”
什么叫“最终解释权”?朱诚解释说,在满足不影响企业发展、业务拓展的情况下,信息安全可以说是企业安全的一条生命线,任何人不可逾越,因此在这个层面上来说,安全管理的话语权必须具有最终解释权,否则就会出现管理断层,大老板很重视,越到基层越难管理。
展望未来,专家预测CSO和IT负责人之间关于网络安全上权责将发生变化。
Finch说:“我们会看到CSO和IT负责人正努力使安全成为一个值得信赖的来源,并具有一致的标准、行为和定义,就像法律、医学和会计等职业那样,将肩负起更大更重要的责任。”
Zscaler的IT负责人Marc Lueck认为,IT负责人在未来几年里将有不一样的信息安全体验。“要么IT负责人会兼顾安全和IT技术的发展,要么IT负责人将会把安全部分的职责完全交付,由不再向他们报告的CSO全权管理。 而这两种模式都将存在于各行各业,同时只要找到合适的人员,那无论哪一种模式都会为企业带来收益。” 他指出,对于IT负责人来说,网络安全将变得与效率、削减成本技能等一样重要。
Pollard补充道:“就像现代业务部门通过SaaS平台承担一些传统的 IT 职责那样,IT负责人将更多地会在业务部门内寻找安全专家,这些专家不仅需要知道如何保护所使用的技术,还需要去了解对特定业务部门来说,什么风险趋势比较重要。”
Glover 预测,IT负责人和CSO的共同权责还将在企业并购、第三方合作方面等领域发生变化,双方都需要在这些领域里共同建立起有意义的流程,以增加安全性。“他们的合作将成为企业里举足轻重的一部分,他们会在企业与第三方合作、收购或合并时提出共同确认的建议。”
推荐阅读
肆意赋红码,按“数安法”该当何罪?
什么样的CISO对企业来说是有用的?
《专访IDC中国研究副总裁钟振山:国内CSO职责需持续被认知,深入理解业务是最大挑战》
《How CISOs and CIOs should share cybersecurity ownership》
齐心抗疫 与你同在
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- POC系统配套自动化工具发布
- SUNDB高性能国产数据库产品
- 神通数据库企业级、大型通用关系型数据库管理系统
- 新形势下农商行数据安全体系建设的思考
- 下午14:00!跨境支付安全防御直播专场
- 微信打开时支持消息通知横幅引热议;Google和甲骨文的云服务因英国高温天气而下线;谷歌发布开源开发语言Carbon|极客头条
- 这一次,Windows 站起来了:Windows & Linux 的性能 Battle!
- 禁止大数据杀熟,个人信息保护法今日正式施行
- 在Z|蚂蚁集团-境外银行安全团队高薪诚招数据、应用、基础等安全岗
- 披着“智慧”外衣的停车场,明目张胆泄露隐私
- 揭秘 Python 火爆背后的真实现状,2020 Python 开发者调查
- 诸子云 | 2020评优:十佳会员候选人风采展示及投票