每次發(fā)生數(shù)據(jù)泄露事故，都暴露了一家企業(yè)的安全做法中存在的問(wèn)題。在Target泄露事故中，最有趣的的發(fā)現(xiàn)是，Target公司所有安全責(zé)任都在***信息官(CIO)身上，該公司甚至都沒(méi)有***安全官(CSO)。

[[111547]]

毫不奇怪，當(dāng)Target公司CIO兼技術(shù)服務(wù)執(zhí)行副總裁Beth Jacob上個(gè)月辭職時(shí)，很多人提出的***個(gè)問(wèn)題是CIO Jacop是否應(yīng)該承擔(dān)責(zé)任，因?yàn)檫\(yùn)行IT基礎(chǔ)設(shè)施(通常是CIO的責(zé)任)和保護(hù)信息(通常是CSO的責(zé)任)涉及不同的責(zé)任，這兩者可以是互補(bǔ)的，但經(jīng)常存在分歧。

首先，任何規(guī)模的企業(yè)(特別是Target這樣規(guī)模的企業(yè))需要有一個(gè)負(fù)責(zé)安全的高管，并且，安全部門需要在董事會(huì)有一席之地。如果安全完全交給IT部門(其主要職責(zé)是運(yùn)行可靠的基礎(chǔ)設(shè)施)，可能會(huì)出現(xiàn)糟糕的決策和泄露事故。

現(xiàn)在，企業(yè)沒(méi)有CSO就像是足球隊(duì)沒(méi)有后衛(wèi)。為了讓企業(yè)取得成功，他們必須擁有可靠的基礎(chǔ)設(shè)施以及對(duì)信息的適當(dāng)保護(hù)。如果企業(yè)只有CIO而沒(méi)有CSO，沒(méi)有人會(huì)側(cè)重于安全性，壞的事情將會(huì)發(fā)生。缺乏CSO意味著缺乏安全性。

最有可能的情況是，Target有一個(gè)安全團(tuán)隊(duì)，對(duì)所有安全問(wèn)題大喊大叫。但管理層沒(méi)有人聽(tīng)他們的投訴或者幫助他們解決問(wèn)題。工程師需要能夠與CEO進(jìn)行溝通，CSO就是他們的溝通渠道。如果沒(méi)有CSO，關(guān)鍵的安全信息無(wú)法傳達(dá)到管理層。筆者猜測(cè)，如果Target高管收到了關(guān)于安全的正確信息，他們可能會(huì)作出不同的決定，這個(gè)故事可能會(huì)有一個(gè)快樂(lè)的結(jié)局。

平等的代表權(quán)

CIO和CSO應(yīng)該是盟友，在董事會(huì)有著平等的代表權(quán)。通常情況下，CIO直接向***運(yùn)營(yíng)官報(bào)告，CSO向CFO報(bào)告。COO和CFO直接向CEO報(bào)告。但無(wú)論組織結(jié)構(gòu)如何，CIO和CSA必須有著不同的報(bào)告結(jié)構(gòu)。而且，為了讓CIO和CSO建立有效的工作關(guān)系，他們必須有明確的責(zé)任界限。

通常情況下，***的做法是，讓CSO定義適當(dāng)?shù)陌踩?，CIO來(lái)部署安全，審計(jì)員來(lái)驗(yàn)證這種安全性的實(shí)現(xiàn)。CSO定義的安全性應(yīng)該基于企業(yè)可接受水平的風(fēng)險(xiǎn)，提供明確的指導(dǎo)方針，并提供衡量合規(guī)性的簡(jiǎn)單方法。

隨著越來(lái)越多的安全泄露事故被公開(kāi)，我們應(yīng)該更容易說(shuō)服高管他們需要一個(gè)CSO。真正的問(wèn)題是，很多CIO不希望有一個(gè)CSO，因?yàn)槿绻伤麄兛刂艻T基礎(chǔ)設(shè)施的所有方面， 他們能夠更容易地完成工作。這些內(nèi)部政策創(chuàng)造了這種局面，即CIO不會(huì)游說(shuō)高管設(shè)置一個(gè)CSO。因此，企業(yè)需要另外的人來(lái)告訴***執(zhí)行官，“你對(duì)企業(yè)的安全水平感到滿意嗎?你是否收到了正確的安全指標(biāo)來(lái)作出決定?”

在很多情況下，***執(zhí)行官想要?jiǎng)?chuàng)建一個(gè)CSO的職位，但CIO說(shuō)服他們，他們并不需要CSO。雖然他們有著良好的意圖，往往是CIO在抵觸CSO，因?yàn)镃SO減弱他們控制權(quán)，可能使他們的工作變得更加困難。筆者的預(yù)測(cè)是，在未來(lái)五年內(nèi)，大多數(shù)企業(yè)都會(huì)有一個(gè)CSO，直接向高管報(bào)告。

在你的企業(yè)，CIO和CSO是什么關(guān)系呢?他們是盟友還是敵人呢?