数字安全使企业关注CISO汇报架构
一直以来,CISO应该向谁汇报的疑问,因为数字安全的上升,让企业高层有了新的紧迫感。
数字安全在企业内已经上升到了新高度,而CISO则是它的守护者。
“赶紧找一位CISO,”Nemertes Research的总裁和创始人。
网络安全专家Candy Alexander认为企业需要一位CISO。 “这是至关重要的。绝对至关重要。企业绝对不能没有CISO。”
比较有争议的是,一旦这位安全高层上任,最佳的汇报架构应该是什么。他或她应该向CIO汇报?还是向运营或者法务部门汇报?还是直接向CEO汇报?
“自从CISO这个职位诞生,就一直有争议。” Alexander说,他之前也是一位CISO,现在是独立顾问。
根据Cloud Security Alliance and Skyhigh Networks最近的一份报告, 61%的企业有一位CISO。其中,42%的向CIO汇报,32%的向CEO汇报, 26%的向其他高管汇报,包括总法律顾问和CFO。
之所以有CISO汇报架构的争论,和CISO为什么如此重要有关:保护公司的业务不受各类信息安全的威胁。汇报给不合适的上级,他可能会从业务角度施加不正当的影响,限制CISO展开工作的能力。
信息安全需要IT计划,当然,是属于CIO的职能范围,但全面数字安全则不属于, Alexander说。
“他们不一定像我们这些处于该领域内的人一样,拥有对于安全技术和/或实践和方法的远见,洞察力。”
CISO汇报架构的多样化
不仅仅是管理信息安全,CISO需要管理整个公司的信息安全战略。他或她需要与高管合作,让他们意识到网络安全威胁是业务的威胁,然后确保消息层层传递下去,到达中层经理和他们的业务部门。
如果CISO向CIO汇报,可能会有生产力和安全之间的冲突, Alexander说。CIO的职责是创新,推动盈利的业务战略,让新的应用上线,并确保在用户需要的时候,有IT服务可用,理论上,会掩盖安全措施。Alexander说,CISO与CIO之间会发生预算上的争论,多少资金应该分配给安全,多少分配给支持业务的IT基础设施。
“你很难向公司的高管进行汇报,述说IT应该配合这个项目,当你的老板也坐在其中,”她说。“你真的不想那样做。”
CISO也不应该向CEO汇报,在Alexander看来。CIO与CISO之间的争论经常需要CEO做出裁决,而CEO没有这样的时间。
正确的架构根据公司有所不同,她说,但是COO应该是CISO的老板,因为这种模式将安全和风险意识直接带入企业的日常运营。CFO也可以,因为作为负责财务报告质量的高管,明白相互制衡对于企业安全的重要性。
总之,最重要的是,CISO需要和CIO平级, Alexander说。这样,CIO会重视CISO,当他警告某个应用或其他IT资源对企业构成了威胁。他们之间的对话不应该是“为什么你不能保护你的边界?”而应该是“让我们一起想想,能做些什么。”
网络犯罪合作伙伴
Equinix公司位于硅谷,为全球的企业提供数据中心资源,它的CISO向CIO汇报。George Do担当这一信息安全职位,他知道所有围绕CISO汇报架构的争论。在某些企业内,首席IT和安全官之间,可能是对立的,无法合作的,但是在Equinix却不是。 他的老板是CIO, Brian Lillie。
“我们是数据中心公司,但实际上我们的使命是和我们的客户相互连接,” Do说。公司为了这一使命,在IT和云计算上投入巨资。“CIO是一个巨大的利益相关者。对我来说,安全应该支持这一使命;安全不主导,但是支持。”
企业在全球范围内运行145个数据中心,Do为公司开发了一个安全战略。除了风险评估和制定长期和短期的目标,他负责的常规运营项目还包括防火墙,为安全事故起草响应计划,部署新技术来减少风险。他向Lillie汇报这一切,然后,他会给反馈,然后签字。
在Lillie之后,Do将有关安全和风险意识的信息传递给公司内的其他人。他丢弃了在象牙塔内管理安全的想法,使用良好的,传统的沟通技能和同事进行交流。
“我们使用合理化的安全政策,为什么我们有这些政策,为什么我们使用这种方式,”Do说。“10次中有9次,用户能够明白和理解。”
业务关联
Nemertes的Johnson最近就安全战略采访了一些公司,发现在拥有最成熟的网络安全战略的企业内,CISO直接向业务高管汇报。
这项研究,调查了17个企业,发现CISO和业务方面的距离越近,企业应对当前和未来的安全挑战准备的越充分。
Johnson在3月8日的网络研讨会上发表了这一研究。 如果CISO距离业务高管2个或以上级别,“你汇报的对象的汇报对象向业务高管汇报”——这样的企业的安全成熟度就较低。拥有这样相距两个级别的CISO汇报架构的企业拥有应对网络攻击的基本技术和员工,但它不能在问题发生之初,就阻止。
汇报给CIO的情况稍好,但是距离业务高管仍有一个级别。
“错误不在CIO,” Johnson在接受采访时表示。“这是CISO的工作,将信息安全风险转化为业务风险。” 而CISO向哪位业务高管汇报则不那么重要:可以是CEO,CFO,COO或者首席风险官。
CISO也应该定期与董事会保持沟通, Johnson说,每个财政季度向负责风险和合规审计的运营委员会进行更新。
“并不需要,向8个人进行正式的演讲,” Johnson说。“也许是每隔一个周四,和负责风险委员会的三个人一起吃顿饭。”
作者:Jason Sparapani
来源:51CTO
数字安全使企业关注CISO汇报架构相关推荐
- 架构工作台:构建企业(应用)架构的数字孪生
架构工作台是一个环境,其设计初衷用于帮助人们设计架构.演进架构.观测架构,并有效地运用架构所需要的高质量工具,如交互式的架构开发和分析. 在上一篇文章<架构即代码:编码下一代企业(应用)架构体系 ...
- 如何利用数字创新使您的企业脱颖而出
如何利用数字创新使您的企业脱颖而出 数字创新并非易事,但它会对您的企业内部和外部产生积极影响. 然而,数字化的方式如此之多,企业很难决定将注意力集中在哪里. 本文的目的是概述数字创新的战略方法.这种方 ...
- Gartner:如何利用数字孪生帮助企业创造价值?
❑ 导 读 白皮书预测:到2021年,半数的大型工业企业将使用数字孪生,从而使这些企业的效率提高10%.到2024年,超过25%的全新数字孪生将作为新loT原生业务应用的绑定功能被采用. 全文共计17 ...
- 【智能制造】见识一下某航空企业的智能制造技术架构!
来源:PLM之神 授权 产业智能官 转载. 导读 本文通过对航空企业智能制造体系顶层框架设计.制造系统智能感知与集成,结合飞机研制中智能制造技术的应用发展要求,提出了构建企业智能制造顶层参考体系框架和 ...
- 数字化转型,企业需要何种网络架构?
文/刘少伟 华为企业网络产品线总裁 我们正进入数字化时代. 这是一个令人激动的过程.因为转型为数字化企业后,企业的经营决策管理.营销与线索管理.客户管理.采购管理.供应链管理.人力资源管理等核心业务的 ...
- 助力企业应用与基础架构现代化 VMware这波组合拳够强!
顺应时代的发展,"数字化转型"已经成为企业发展的必由之路.应用作为数字化转型的核心,能够帮助企业向客户提供定制化的数字化体验,创造新的收入来源.在数字化转型道路上,中国企业走的并不 ...
- 论企业集成平台的架构设计
来自软考论文 论企业集成平台的架构设计 三.选择合适的应用集成平台 (介绍)目前,开放式(开源)企业应用集成的规范和平台的主流技术有两种: - 种是微软公司的COM+(组件对象模型)规范和Window ...
- 计算机企业锻炼总结,计算机教师企业锻炼总结汇报2021【5篇】.docx
PAGE 2 计算机教师企业锻炼总结汇报2021[5篇] 总结中的经验体会是从实际工作中,也就是从大量事实材料中提炼出来的.经验体会一旦形成,又要选择必要的材料予以说明,经验体会才能"立&q ...
- 如何使企业中的e-Learning价值最大化
小贴士:E-Learning源于Electronic Learning,中文译作"数字(化)学习"."电子(化)学习"."网络(化)学 习" ...
最新文章
- angular $observe() 和$watch的区别
- 返璞归真 asp.net mvc (10) - asp.net mvc 4.0 新特性之 Web API
- Spring - Java/J2EE Application Framework 应用框架 第 11 章 使用ORM工具进行数据访问
- java oop编程中的is-a,has-a,is-like-a的区别
- 【CNN】很细的讲解什么以及为什么是卷积(Convolution)!
- ScriptX打印控件的使用
- 2016高管必看的五大互联网营销方法
- (六)linux中的进程管理
- Should I normalize/standardize/rescale the data
- antd4 TreeSelect树选择关闭虚拟滚动
- PPT提取文字C代码实现
- php sql多字段求和,JSP_sql实现多字段求和并查询,下面就sql多字段求和并作为sql - phpStudy...
- bootstrap常用样式整理
- iphone刷基带_基带有什么用?iPhone手机基带查询方法
- java全栈系列之JavaSE--数组的使用025
- 静息状态脑电图节律和地形分析的建议
- android apk 反编译 工具下载,android APK反编译工具Apktool
- 【60】MSI-X介绍
- 【产品宣传广告片制作软件】Focusky教程 | 前景设置功能
- cnc计算机控制,第二章计算机数控系统CNC与控制原理分解.pdf