安排專職高管負(fù)責(zé)安全問(wèn)題的重要性越來(lái)越明顯。這也是IDG《2020年安全重點(diǎn)研究》的主要發(fā)現(xiàn)之一：61%的受訪公司有安全專家身居高管位置，大企業(yè)在高管層給安全專家留一席之地的比例更是高達(dá)80%。這些安全高管在公司中發(fā)揮著重要作用：同一研究發(fā)現(xiàn)，相比設(shè)置了安全高管的公司，缺乏CISO、CSO或其他高層安全管理人員的公司更容易反饋稱其雇員安全培訓(xùn)不足，安全策略不夠主動(dòng)。

[[391222]]

但不是所有的安全高管在公司組織架構(gòu)圖上的位置都是一樣的，而其間差異會(huì)影響組織文化和安全結(jié)果。安全職位上的員工不可避免地會(huì)與其他人發(fā)生沖突，因?yàn)榘踩藛T的本能就是鎖定系統(tǒng)讓人難以訪問(wèn)，而這顯然不能令希望信息和應(yīng)用都能無(wú)摩擦訪問(wèn)的IT部門(mén)滿意。CISO/CSO對(duì)戰(zhàn)CIO時(shí)就會(huì)在公司組織架構(gòu)高層上演此類劇碼，斗爭(zhēng)輪廓往往由公司內(nèi)部的匯報(bào)層級(jí)描繪：如果安全高管向IT部門(mén)管理層匯報(bào)，CISO的戰(zhàn)略執(zhí)行能力就會(huì)受限，因?yàn)樗麄兊脑O(shè)想終需服從IT部門(mén)“更大”的構(gòu)想。

《2020年安全重點(diǎn)研究》訪問(wèn)調(diào)查的公司中，近半數(shù)安全主管直接通聯(lián)公司高層。34%的案例中，安全高管向CEO匯報(bào)，另有12%向董事會(huì)匯報(bào)。同時(shí)，33%的情況下CISO或同等職位人員向公司CIO或部門(mén)CIO匯報(bào)。余下21%分散在不同匯報(bào)途徑上，例如首席風(fēng)險(xiǎn)官或法律總顧問(wèn)。小公司傾向于扁平化組織安排或許并不令人意外：研究發(fā)現(xiàn)，中小企業(yè)里59%的安全高管直接向CEO匯報(bào)，大企業(yè)這一比例僅為22%。

還有一個(gè)同樣不出意外的有趣關(guān)聯(lián)：能夠“上達(dá)天聽(tīng)”的安全高管也更有可能瓜分較多IT預(yù)算留作安全所用。CIO.com發(fā)布的《2019年CIO狀態(tài)》調(diào)查報(bào)告也清楚地反映了這一點(diǎn)。IT預(yù)算中只有不到5%花在安全上的公司同樣有可能是CSO向CIO或CEO回報(bào);但在安全上投入10%或更多的公司，CSO向CEO匯報(bào)的概率要高出一倍。安全高管頭銜落在CISO身上的公司這種影響甚至更加突出：IT預(yù)算只花不到5%在安全方面的公司，僅3%的CISO向CEO匯報(bào)，但安全預(yù)算占IT預(yù)算10%以上的公司，26%的CISO向CEO匯報(bào)。

▶ 頭銜意味著什么?

面對(duì)這么多種頭銜，我們不妨先闡述下個(gè)中區(qū)別。頭銜使用上的一些趨勢(shì)可以用來(lái)區(qū)分CSO和CISO?？偟恼f(shuō)來(lái)，根據(jù)《2019年CIO狀態(tài)》調(diào)查研究的數(shù)據(jù)，CSO在公司組織架構(gòu)中的層級(jí)相對(duì)較高：安全高管頂著CSO頭銜的受訪公司中，43%直接向CEO匯報(bào);但僅18%的CISO能直面公司高層。9%的受訪公司稱其首席信息安全主管向CSO匯報(bào)，表明該CSO職位有時(shí)候還負(fù)責(zé)IT以外的職責(zé)，比如物理安全。

但也有許多例外，對(duì)很多公司而言，CSO職位純屬技術(shù)性質(zhì)。與其硬性區(qū)分，不如就用“CSO”統(tǒng)稱安全高管，假定其絕大部分工作職責(zé)落在信息安全上。而且，事實(shí)上，很多專家都是混用CISO和CSO的。

▶ 安居IT范疇?

企業(yè)總是從小做大的，其匯報(bào)結(jié)構(gòu)也是在發(fā)展壯大的過(guò)程中形成的。在成立時(shí)間相對(duì)較短的公司里，CSO向CIO或其他IT主管的結(jié)構(gòu)很常見(jiàn)。如果公司尚有大量阻止和處理工作有待完成，例如確保實(shí)施恰當(dāng)?shù)姆阑饓σ?guī)則，或者及時(shí)應(yīng)用安全補(bǔ)丁，甚或初步盤(pán)點(diǎn)公司資產(chǎn)等基本過(guò)程;那這種情形就很真實(shí)了。畢竟，都不知道信息和設(shè)備在哪兒，何談信息安全保護(hù)?CSO向CIO或IT主管報(bào)告的安排，能夠使CIO充分摸清IT的情況，各個(gè)信息技術(shù)領(lǐng)域的全面可見(jiàn)性都匯集到一個(gè)中心人物那里。

但隨著公司逐步成長(zhǎng)，安全職能再呆在CIO體系下就不舒服了。最突出的就是，CSO可能會(huì)發(fā)現(xiàn)自己未必與IT部門(mén)其他人共享相同的工作目標(biāo)和動(dòng)力。CSO向CIO匯報(bào)的結(jié)構(gòu)可能會(huì)造成成本管理凌駕于風(fēng)險(xiǎn)管理之上。說(shuō)得更直白一點(diǎn)：CIO通常因?yàn)榻桓赌軒?lái)收益的業(yè)務(wù)項(xiàng)目而獲得獎(jiǎng)勵(lì)。CISO的工作則是修復(fù)漏洞，而這些安全項(xiàng)目總在跟盈利驅(qū)動(dòng)的項(xiàng)目爭(zhēng)奪資源。

此外還有重點(diǎn)不同的問(wèn)題：CIO的業(yè)務(wù)目標(biāo)很多，如果CSO受CIO管轄，他們?cè)谕瓿纱箜?xiàng)目時(shí)就會(huì)被劃到同一陣營(yíng)。舉個(gè)例子，HigherGround Managed Services首席執(zhí)行官Brian Brammeier就在提供的咨詢的一家公司遇到過(guò)這樣的場(chǎng)景：“有個(gè)重大安全漏洞正在泄露數(shù)據(jù)。CIO收到了通知，但并沒(méi)有把這個(gè)問(wèn)題分類為必須拋下一切優(yōu)先修復(fù)的問(wèn)題，也就沒(méi)有給予應(yīng)有的足夠重視，而實(shí)際上這個(gè)問(wèn)題還真就是不及時(shí)修復(fù)就會(huì)出大亂子的。鑒于問(wèn)題的嚴(yán)重性，安全主管聯(lián)系了董事會(huì)，后來(lái)董事會(huì)就修改了匯報(bào)結(jié)構(gòu)，CISO直接向董事會(huì)匯報(bào)了。”

Brammeier解釋道：“發(fā)現(xiàn)安全問(wèn)題的時(shí)候，大多數(shù)人都會(huì)豎起防御姿態(tài)。出現(xiàn)問(wèn)題時(shí)其實(shí)無(wú)所謂是誰(shuí)的錯(cuò)，只要專注解決問(wèn)題就好。”但在現(xiàn)實(shí)中，不是每個(gè)人都這么有大局觀，CSO和頂頭上司CIO之間的沖突也不是每次都能像Brammeier描述的案例那樣妥善解決。沒(méi)錯(cuò)，你可以告知董事會(huì)你和CIO之間的分歧，但這通常無(wú)益于你在CISO的職位上干得長(zhǎng)久。

▶ 具有戰(zhàn)略思維

向CIO匯報(bào)可能會(huì)限制CSO的戰(zhàn)略執(zhí)行能力。處在這個(gè)位置上的CSO對(duì)自己主張的安全狀態(tài)是投錢(qián)又投人。承認(rèn)自己構(gòu)建的安全架構(gòu)不再有效可能會(huì)引發(fā)巨大壓力，因而CISO并不愿意在有需要的時(shí)候推倒重來(lái)或調(diào)整?；旧?，CISO既沒(méi)權(quán)力也沒(méi)動(dòng)力轉(zhuǎn)向有益于整個(gè)公司的安全方法。

公司設(shè)置有直面高層的匯報(bào)結(jié)構(gòu)就能避免CSO陷入這種陷阱。公司技術(shù)側(cè)一旦成熟，安全部門(mén)就能過(guò)渡到更加基于風(fēng)險(xiǎn)的方法，向公司高層匯報(bào)。事實(shí)上，大多數(shù)受訪者表示，前瞻性思維公司的標(biāo)志之一就是CSO不聽(tīng)命于CIO，而是像公司領(lǐng)導(dǎo)人一樣思考。

CSO這個(gè)角色更像是多部門(mén)協(xié)調(diào)者的組織受到幾位受訪高管的推崇。掌握所有安全相關(guān)事務(wù)的“指揮控制”型CISO概念不再有效。CISO成為了委員會(huì)主席一樣的人物，負(fù)責(zé)跨部門(mén)收集和溝通各項(xiàng)指標(biāo)，再打包上呈公司高層。這種模式下，安全架構(gòu)存在于公司各個(gè)職能領(lǐng)域，由CISO負(fù)責(zé)治理和提供透明性。

換句話說(shuō)，CSO需要跳出IT范疇。CISO完全以IT為中心，并因此位于CIO管轄之下的日子一去不復(fù)返了。安全有效性管理和風(fēng)險(xiǎn)管理超出了IT范疇，需在高管層級(jí)上執(zhí)行，這樣技術(shù)決策者和非技術(shù)決策者才都能擁有基于證據(jù)的數(shù)據(jù)，能夠更高效地做出明智的業(yè)務(wù)決策。

▶ 上達(dá)天聽(tīng)

讓決策者聽(tīng)到自己的聲音，或許是CSO想要跳出IT體系最重要的原因，而且，離頂層越近越好。理想狀況下，CSO/CISO可以直接向董事會(huì)匯報(bào)。鑒于大多數(shù)公司的實(shí)際情況，更務(wù)實(shí)的目標(biāo)或許是向CEO或同等地位的人匯報(bào)。CISO或CSO想要真正高效，就需要接觸核心決策過(guò)程和權(quán)威，作為獨(dú)立的聲音參與決策過(guò)程。想要真正為公司提供信息與資產(chǎn)安全指引，就需要加入到高管層決策會(huì)談中去。不單純作為旁觀者，而是要擁有投票權(quán)。

提到如何獲取CSO需要的資源，讓領(lǐng)導(dǎo)層聽(tīng)到自己的聲音能帶來(lái)切實(shí)的好處。通常，安全文化扎實(shí)的成功企業(yè)里，CSO都是直接向CFO或COO這樣的高管匯報(bào)的。這些高管一般深涉日常決策，有能力理解長(zhǎng)期安全需求并將之納入資本支出計(jì)劃，也能夠在必要的時(shí)候?yàn)?ldquo;應(yīng)急”需求提供資金支持。

▶ 組織結(jié)構(gòu)的多種可能性

大多數(shù)受訪高管都承認(rèn)，CSO向CIO匯報(bào)的模式仍就十分常見(jiàn)，但多少情況下并不是理想之選。被問(wèn)及偏愛(ài)的匯報(bào)路徑時(shí)，這些高管提出了許多建議。

• CSO→CEO：CSO向CEO匯報(bào)可以提供直接而及時(shí)的信息流。而且有時(shí)候如果你的高管恰好是技術(shù)出身，那你的贏面就更大了。有個(gè)技術(shù)型CEO當(dāng)領(lǐng)導(dǎo)真的是太走運(yùn)，可以跨越典型的溝通障礙，讓我們能夠享受當(dāng)今社會(huì)的快節(jié)奏進(jìn)展。·
• CSO→COO：但不是每個(gè)人都那么幸運(yùn)，CEO每天面對(duì)那么多需求，安全考慮可能被排到了其他重要決策之后。與此相反，如果向COO匯報(bào)，CSO就相當(dāng)于能接觸“重度參與日常決策”的領(lǐng)導(dǎo)層。
• CSO→CFO：在有些公司里，CFO負(fù)責(zé)避免出現(xiàn)任何形式的財(cái)務(wù)損失，安全也就進(jìn)入了他們的視野。不過(guò)，CFO通常缺乏技術(shù)背景，不太能理解CISO職能的錯(cuò)綜復(fù)雜。有利情況下，CFO稍作拖延就選擇支持CISO。如果是不利情況，CFO的技術(shù)欠缺加上他們一貫的省錢(qián)思維，就能陷CISO于困境。有些公司選擇讓CSO向更專業(yè)的首席風(fēng)險(xiǎn)官(CRO)匯報(bào)。
• CSO→法律總顧問(wèn)：由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和數(shù)據(jù)泄露事件常帶來(lái)重大法律影響，尤其是在監(jiān)管嚴(yán)格的行業(yè)，讓CSO向公司首席律師匯報(bào)就很明智了。公司可以利用這一匯報(bào)結(jié)構(gòu)深度協(xié)調(diào)和統(tǒng)一圍繞網(wǎng)絡(luò)風(fēng)險(xiǎn)的問(wèn)責(zé)和觀點(diǎn)。
• CIO→CSO：看起來(lái)似乎是顛倒了，但有時(shí)候確實(shí)會(huì)這樣。這一定程度上是因?yàn)镮T、云、移動(dòng)應(yīng)用和其他由業(yè)務(wù)部門(mén)推動(dòng)的項(xiàng)目的消費(fèi)化，而不是企業(yè)范圍的IT決策。同時(shí)，CIO向CSO報(bào)告的匯報(bào)關(guān)系也受到企業(yè)歷史的影響，典型的例子就是CIO升任CISO然后給自己招聘了個(gè)CIO下屬的情況。

▶ 應(yīng)得的尊重

向高層匯報(bào)的CSO更受看重，這樣會(huì)增加他們的工作滿意度。與決策者之間的距離是CISO平均任期只有18個(gè)月左右的常見(jiàn)原因。CISO不是個(gè)好著手的工作，如果不能通往成功，那就很難干得長(zhǎng)久。如果公司想要招聘安全高管，匯報(bào)關(guān)系是CSO向CEO報(bào)告的話會(huì)更能吸引到頂級(jí)人才。

但能否得到尊重不僅僅關(guān)乎CSO的個(gè)人幸福，還關(guān)乎公司的安全。CSO在重視安全的公司里最為如魚(yú)得水，而賦予CSO直通公司高層的權(quán)力，才能形成這種相得益彰的局面。如果數(shù)據(jù)泄露事件會(huì)搞垮公司，那CISO就應(yīng)該向CEO匯報(bào)。事情就這么簡(jiǎn)單，不過(guò)是將CEO的思維轉(zhuǎn)向確保做好安全計(jì)劃而已。CISO直接向CEO匯報(bào)的時(shí)候，信息流就及時(shí)而通暢了。這種匯報(bào)關(guān)系還向整個(gè)公司及其利益相關(guān)者(雇員、客戶、董事會(huì)、投資人等等)表明安全是頭等大事。

越來(lái)越嚴(yán)格的安全監(jiān)管要求也促使CSO獨(dú)立于IT直接向高層匯報(bào)。今天這種監(jiān)管大環(huán)境下，公司理應(yīng)將CISO/CSO置于擁有獨(dú)立性和監(jiān)督權(quán)的位子上，能夠作為安全職能和功能的業(yè)務(wù)顧問(wèn)。如果位于CIO之下，CISO就失去了獨(dú)立性和客觀性，其評(píng)估工作就受到控制和束縛，以至于根本發(fā)揮不出價(jià)值。

最后，不斷變化的法律和威脅形勢(shì)也將使CSO成為CIO和其他高管的同級(jí)搭檔，而原因只有一個(gè)：最終盈虧!最近，影響公司股價(jià)的安全事件屢見(jiàn)不鮮。例如，Equifax的股價(jià)在公司發(fā)生重大數(shù)據(jù)泄露后就沒(méi)再恢復(fù)，索尼的股價(jià)也一樣，在PlayStation數(shù)據(jù)泄露事件和內(nèi)部文件被盜事件后一直疲軟。隨著此類影響甚廣的重大事件不斷發(fā)生，CISO或許將在未來(lái)幾年內(nèi)開(kāi)始進(jìn)入公司的高級(jí)管理團(tuán)隊(duì)。

IDG《2020年安全重點(diǎn)研究》：(戳閱讀原文直接查看)

https://resources.idg.com/download/2020-security-priorities-executive-summary