数字安全使企业关注CISO汇报架构

一直以来,CISO应该向谁汇报的疑问,因为数字安全的上升,让企业高层有了新的紧迫感。

数字安全在企业内已经上升到了新高度,而CISO则是它的守护者。

“赶紧找一位CISO,”Nemertes Research的总裁和创始人。

网络安全专家Candy Alexander认为企业需要一位CISO。 “这是至关重要的。绝对至关重要。企业绝对不能没有CISO。”

比较有争议的是,一旦这位安全高层上任,最佳的汇报架构应该是什么。他或她应该向CIO汇报?还是向运营或者法务部门汇报?还是直接向CEO汇报?

“自从CISO这个职位诞生,就一直有争议。” Alexander说,他之前也是一位CISO,现在是独立顾问。

根据Cloud Security Alliance and Skyhigh Networks最近的一份报告, 61%的企业有一位CISO。其中,42%的向CIO汇报,32%的向CEO汇报, 26%的向其他高管汇报,包括总法律顾问和CFO。

之所以有CISO汇报架构的争论,和CISO为什么如此重要有关:保护公司的业务不受各类信息安全的威胁。汇报给不合适的上级,他可能会从业务角度施加不正当的影响,限制CISO展开工作的能力。

信息安全需要IT计划,当然,是属于CIO的职能范围,但全面数字安全则不属于, Alexander说。

“他们不一定像我们这些处于该领域内的人一样,拥有对于安全技术和/或实践和方法的远见,洞察力。”

CISO汇报架构的多样化

不仅仅是管理信息安全,CISO需要管理整个公司的信息安全战略。他或她需要与高管合作,让他们意识到网络安全威胁是业务的威胁,然后确保消息层层传递下去,到达中层经理和他们的业务部门。

如果CISO向CIO汇报,可能会有生产力和安全之间的冲突,
Alexander说。CIO的职责是创新,推动盈利的业务战略,让新的应用上线,并确保在用户需要的时候,有IT服务可用,理论上,会掩盖安全措施。Alexander说,CISO与CIO之间会发生预算上的争论,多少资金应该分配给安全,多少分配给支持业务的IT基础设施。

“你很难向公司的高管进行汇报,述说IT应该配合这个项目,当你的老板也坐在其中,”她说。“你真的不想那样做。”

CISO也不应该向CEO汇报,在Alexander看来。CIO与CISO之间的争论经常需要CEO做出裁决,而CEO没有这样的时间。

正确的架构根据公司有所不同,她说,但是COO应该是CISO的老板,因为这种模式将安全和风险意识直接带入企业的日常运营。CFO也可以,因为作为负责财务报告质量的高管,明白相互制衡对于企业安全的重要性。

总之,最重要的是,CISO需要和CIO平级, Alexander说。这样,CIO会重视CISO,当他警告某个应用或其他IT资源对企业构成了威胁。他们之间的对话不应该是“为什么你不能保护你的边界?”而应该是“让我们一起想想,能做些什么。”

网络犯罪合作伙伴

Equinix公司位于硅谷,为全球的企业提供数据中心资源,它的CISO向CIO汇报。George
Do担当这一信息安全职位,他知道所有围绕CISO汇报架构的争论。在某些企业内,首席IT和安全官之间,可能是对立的,无法合作的,但是在Equinix却不是。
他的老板是CIO, Brian Lillie。

“我们是数据中心公司,但实际上我们的使命是和我们的客户相互连接,” Do说。公司为了这一使命,在IT和云计算上投入巨资。“CIO是一个巨大的利益相关者。对我来说,安全应该支持这一使命;安全不主导,但是支持。”

企业在全球范围内运行145个数据中心,Do为公司开发了一个安全战略。除了风险评估和制定长期和短期的目标,他负责的常规运营项目还包括防火墙,为安全事故起草响应计划,部署新技术来减少风险。他向Lillie汇报这一切,然后,他会给反馈,然后签字。

在Lillie之后,Do将有关安全和风险意识的信息传递给公司内的其他人。他丢弃了在象牙塔内管理安全的想法,使用良好的,传统的沟通技能和同事进行交流。

“我们使用合理化的安全政策,为什么我们有这些政策,为什么我们使用这种方式,”Do说。“10次中有9次,用户能够明白和理解。”

业务关联

Nemertes的Johnson最近就安全战略采访了一些公司,发现在拥有最成熟的网络安全战略的企业内,CISO直接向业务高管汇报。

这项研究,调查了17个企业,发现CISO和业务方面的距离越近,企业应对当前和未来的安全挑战准备的越充分。

Johnson在3月8日的网络研讨会上发表了这一研究。
如果CISO距离业务高管2个或以上级别,“你汇报的对象的汇报对象向业务高管汇报”——这样的企业的安全成熟度就较低。拥有这样相距两个级别的CISO汇报架构的企业拥有应对网络攻击的基本技术和员工,但它不能在问题发生之初,就阻止。

汇报给CIO的情况稍好,但是距离业务高管仍有一个级别。

“错误不在CIO,” Johnson在接受采访时表示。“这是CISO的工作,将信息安全风险转化为业务风险。” 而CISO向哪位业务高管汇报则不那么重要:可以是CEO,CFO,COO或者首席风险官。

CISO也应该定期与董事会保持沟通, Johnson说,每个财政季度向负责风险和合规审计的运营委员会进行更新。

“并不需要,向8个人进行正式的演讲,” Johnson说。“也许是每隔一个周四,和负责风险委员会的三个人一起吃顿饭。”

作者:Jason Sparapani

来源:51CTO

时间: 2024-09-12 23:52:39

数字安全使企业关注CISO汇报架构的相关文章

《CCNP SWITCH (642-813 )学习指南》一1.1 复杂的企业网络框架、架构和模型

1.1 复杂的企业网络框架.架构和模型 CCNP ROUTE (642-902)学习指南 本节介绍融合网络(converged network)及其中的各种数据流.为满足这种网络的需求,Cisco制定了智能信息网(Intelligent Information Network,IIN)策略,并开发了面向服务的网络架构(Service-Oriented Network Architecture,SONA)以引导企业网转向IIN.本节将介绍这两个主题. 本节还将概述Cisco企业级架构,并介绍传统的

CeBIT 2015:数字经济向“企业IT”聚焦

ZDNET网络频道 03月16日 编译:CeBIT是世界上规模最大,最具国际化的消费电子.信息及通信技术博览会,以往的CeBIT大会曾吸引了超过80万的用户,而本次CeBIT 2015把焦点集中在了"企业IT"方面,并且今年的主题就是"数字经济",这也表明IT领域确信整个经济,无论是工业,商业或其他部门,将成为数字化的未来. 数字技术使当今的行业.企业和我们的经济更具竞争力.新技术,如机器人技术,云计算和3D打印等技术可以帮助降低企业成本,从而使企业更具竞争力.然而

App备受移动互联企业关注

随着应用商店的火爆,App备受移动互联企业关注,而对于相对传统的手机浏览器,业界判断其"必死"的呼声渐长.但近日艾瑞咨询集团(iResearch)发布了<2013年二季度手机浏览器行业分析报告>则显示情况似乎并非完全如此.该报告称,目前手机浏览器的用户规模仍然处于增长期.截至今年6月份,月度覆盖iOS和Android两大主流智能操作系统的人数已经突破1.7亿,和去年同期相比涨幅超过了50%,势头颇为喜人.在应用多样化的背景下,浏览器的确已不再是"唯一"的

BYOD时代无线安全成企业关注焦点

BYOD时代的到来,给人们的工作和生活带来了极大的便利,人们可以实现随时随地的办公,提高工作效率的同时,也为企业节省了IT投入的成本.在人们还沉浸在BYOD带来的喜悦时,企业的IT管理者已经开始担忧BYOD所带来的负面影响. 本文讲的是 :  BYOD时代无线安全成企业关注焦点 , 如果任由BYOD在企业发展,而企业IT不在做出应对的话,那BYOD很可能给企业带来灾难性的后果.这主要会体现在两个方面,一是无线接入问题,IT网络应满足移动化办公所带来的变化,实现无线接入的无缝连接;二是无线安全问题

企业商业智能系统的架构及实施研究

商业智能的概念与体系结构 1 商业智能的概念 商业智能是由http://www.aliyun.com/zixun/aggregation/8302.html">数据仓库.查询报表.数据分析.数据挖掘.数据备份和恢复等部分组成的.以帮助企业决策为目的的技术及其应用.商业智能是数据库技术.OLAP技术.数据采集和迁移技术.网络技术.GUI技术.查询报表技术.统计学.人工智能.知识发现技术等理论和技术的综合运用,其核心内容是从许多来自企业不同的业务处理系统的数据中,提取出有用的数据,进行清理以保

《企业级ios应用开发实战》一1.2 iOS企业应用程序的架构

1.2 iOS企业应用程序的架构 本书把iOS企业应用定义为传统企业应用向iOS手机终端的顺延和扩张.在此定义下,iOS企业应用由服务端和iOS客户端构成,二者间通过3G移动互联网(CDMA/TD/WCDMA)连接或通信. 1.2.1 服务端 服务端(企业网络或Web服务)实际上为iOS企业应用提供企业数据和服务.如果把iOS客户端看做是前端应用,则服务端就是后台服务.服务端向前端提供一系列访问传统企业应用的接口,也可以为前端提供企业数据库和业务系统的访问.因此,iOS企业应用的服务端可能有两层

食品B2C吸引传统企业关注 娃哈哈加入战局

近日,据消息报道,食品B2C正在吸引传统企业关注,除了中粮旗下我买网.顺丰速递推出顺丰优选,食品饮料集团娃哈哈也加入这一战局:据消息人士透露,娃哈哈集团关联公司杭州高端食品B2C电商平台"同源康"即将上线,娃哈哈已授权同源康对其产品进行网上销售,希望分享B2C行业蛋糕.这对于娃哈哈的发展来说时好时坏,还要我们拭目以待. 娃哈哈试水电商渠道 资料显示,同源康成立于2011年3月,拥有员工100多人,主要引进国际健康食品品牌,并通过入驻天猫.京东商城等第三方商城销售高端食品以及营养品,不过

找到了怎样做使企业的业务发展的更广些

问题描述 找到了怎样做使企业的业务发展的更广些答案就在下面深圳东莞企业资料查询系统1.本系统录入了30万深圳东莞的企业资料(测试版本只录入1000笔资料,请购买正版),资料的准确率达到90%以上:2.本系统企业资料包括法人代表.财务经理.办税人员.财务负责人等企业高层的详细联系方式:3.本系统支持手机短信群发.Email群发功能:4.联系方式:QQ:1120129396,Email:meng_6220@163.com,网站地址:http://www.scgisit.com

方正、张江联手数字出版旗舰企业落户上海

方正.张江联手_数字出版旗舰企业落户上海 惠正一 昨天,方正集团与上海张江集团签署合作协议,将共同投资2.85亿元,组建全国数字出版的旗舰企业--中国数字出版技术有限公司.这是中国数字出版史上迄今为止投资规模最大的项目. 新成立的企业将入驻张江国家数字出版基地.根据双方合作协议,方正集团与上海张江集团研发及产业化项目包括移动阅读终端研发.图书门户运营以及数字复合出版技术研发等三个领域的项目.张江(集团)有限公司投资总监张勇介绍,前两个为产业化项目,后一个是带有公益性的研发项目.张勇表示,出版行业