一直以來，CISO應該向誰匯報的疑問，因為數(shù)字安全的上升，讓企業(yè)高層有了新的緊迫感。

數(shù)字安全在企業(yè)內(nèi)已經(jīng)上升到了新高度，而CISO則是它的守護者。

“趕緊找一位CISO，”Nemertes Research的總裁和創(chuàng)始人。

網(wǎng)絡安全專家Candy Alexander認為企業(yè)需要一位CISO。 “這是至關重要的。絕對至關重要。企業(yè)絕對不能沒有CISO。”

比較有爭議的是，一旦這位安全高層上任，最佳的匯報架構(gòu)應該是什么。他或她應該向CIO匯報?還是向運營或者法務部門匯報?還是直接向CEO匯報?

“自從CISO這個職位誕生，就一直有爭議。” Alexander說，他之前也是一位CISO，現(xiàn)在是獨立顧問。

根據(jù)Cloud Security Alliance and Skyhigh Networks最近的一份報告， 61%的企業(yè)有一位CISO。其中，42%的向CIO匯報，32%的向CEO匯報， 26%的向其他高管匯報，包括總法律顧問和CFO。

之所以有CISO匯報架構(gòu)的爭論，和CISO為什么如此重要有關：保護公司的業(yè)務不受各類信息安全的威脅。匯報給不合適的上級，他可能會從業(yè)務角度施加不正當?shù)挠绊?，限制CISO展開工作的能力。

信息安全需要IT計劃，當然，是屬于CIO的職能范圍，但全面數(shù)字安全則不屬于， Alexander說。

“他們不一定像我們這些處于該領域內(nèi)的人一樣，擁有對于安全技術(shù)和/或?qū)嵺`和方法的遠見，洞察力。”

CISO匯報架構(gòu)的多樣化

不僅僅是管理信息安全，CISO需要管理整個公司的信息安全戰(zhàn)略。他或她需要與高管合作，讓他們意識到網(wǎng)絡安全威脅是業(yè)務的威脅，然后確保消息層層傳遞下去，到達中層經(jīng)理和他們的業(yè)務部門。

如果CISO向CIO匯報，可能會有生產(chǎn)力和安全之間的沖突， Alexander說。CIO的職責是創(chuàng)新，推動盈利的業(yè)務戰(zhàn)略，讓新的應用上線，并確保在用戶需要的時候，有IT服務可用，理論上，會掩蓋安全措施。Alexander說，CISO與CIO之間會發(fā)生預算上的爭論，多少資金應該分配給安全，多少分配給支持業(yè)務的IT基礎設施。

“你很難向公司的高管進行匯報，述說IT應該配合這個項目，當你的老板也坐在其中，”她說。“你真的不想那樣做。”

CISO也不應該向CEO匯報，在Alexander看來。CIO與CISO之間的爭論經(jīng)常需要CEO做出裁決，而CEO沒有這樣的時間。

正確的架構(gòu)根據(jù)公司有所不同，她說，但是COO應該是CISO的老板，因為這種模式將安全和風險意識直接帶入企業(yè)的日常運營。CFO也可以，因為作為負責財務報告質(zhì)量的高管，明白相互制衡對于企業(yè)安全的重要性。

總之，最重要的是，CISO需要和CIO平級， Alexander說。這樣，CIO會重視CISO，當他警告某個應用或其他IT資源對企業(yè)構(gòu)成了威脅。他們之間的對話不應該是“為什么你不能保護你的邊界?”而應該是“讓我們一起想想，能做些什么。”

網(wǎng)絡犯罪合作伙伴

Equinix公司位于硅谷，為全球的企業(yè)提供數(shù)據(jù)中心資源，它的CISO向CIO匯報。George Do擔當這一信息安全職位，他知道所有圍繞CISO匯報架構(gòu)的爭論。在某些企業(yè)內(nèi)，首席IT和安全官之間，可能是對立的，無法合作的，但是在Equinix卻不是。 他的老板是CIO， Brian Lillie。

“我們是數(shù)據(jù)中心公司，但實際上我們的使命是和我們的客戶相互連接，” Do說。公司為了這一使命，在IT和云計算上投入巨資。“CIO是一個巨大的利益相關者。對我來說，安全應該支持這一使命;安全不主導，但是支持。”

企業(yè)在全球范圍內(nèi)運行145個數(shù)據(jù)中心，Do為公司開發(fā)了一個安全戰(zhàn)略。除了風險評估和制定長期和短期的目標，他負責的常規(guī)運營項目還包括防火墻，為安全事故起草響應計劃，部署新技術(shù)來減少風險。他向Lillie匯報這一切，然后，他會給反饋，然后簽字。

在Lillie之后，Do將有關安全和風險意識的信息傳遞給公司內(nèi)的其他人。他丟棄了在象牙塔內(nèi)管理安全的想法，使用良好的，傳統(tǒng)的溝通技能和同事進行交流。

“我們使用合理化的安全政策，為什么我們有這些政策，為什么我們使用這種方式，”Do說。“10次中有9次，用戶能夠明白和理解。”

業(yè)務關聯(lián)

Nemertes的Johnson最近就安全戰(zhàn)略采訪了一些公司，發(fā)現(xiàn)在擁有最成熟的網(wǎng)絡安全戰(zhàn)略的企業(yè)內(nèi)，CISO直接向業(yè)務高管匯報。

這項研究，調(diào)查了17個企業(yè)，發(fā)現(xiàn)CISO和業(yè)務方面的距離越近，企業(yè)應對當前和未來的安全挑戰(zhàn)準備的越充分。

Johnson在3月8日的網(wǎng)絡研討會上發(fā)表了這一研究。 如果CISO距離業(yè)務高管2個或以上級別，“你匯報的對象的匯報對象向業(yè)務高管匯報”——這樣的企業(yè)的安全成熟度就較低。擁有這樣相距兩個級別的CISO匯報架構(gòu)的企業(yè)擁有應對網(wǎng)絡攻擊的基本技術(shù)和員工，但它不能在問題發(fā)生之初，就阻止。

匯報給CIO的情況稍好，但是距離業(yè)務高管仍有一個級別。

“錯誤不在CIO，” Johnson在接受采訪時表示。“這是CISO的工作，將信息安全風險轉(zhuǎn)化為業(yè)務風險。” 而CISO向哪位業(yè)務高管匯報則不那么重要：可以是CEO，CFO，COO或者首席風險官。

CISO也應該定期與董事會保持溝通， Johnson說，每個財政季度向負責風險和合規(guī)審計的運營委員會進行更新。

“并不需要，向8個人進行正式的演講，” Johnson說。“也許是每隔一個周四，和負責風險委員會的三個人一起吃頓飯。”