CIO和CSO是盟友还是敌人?

　　最近数据泄露事故层出不穷。企业发生数据泄露，就会暴露一家企业的安全做法中存在的问题。那么企业中的CIO和CSO谁来承担这个责任呢?这就涉及到CIO和CSO是盟友还是敌人的问题。

　　最在Target公司泄露事故中，最有趣的的发现是，Target公司所有安全责任都在首席信息官(CIO)身上，该公司甚至都没有首席安全官(CSO)。

　　毫不奇怪，当Target公司CIO兼技术服务执行副总裁Beth Jacob上个月辞职时，很多人提出的第一个问题是CIO Jacop是否应该承担责任，因为运行IT基础设施(通常是CIO的责任)和保护信息(通常是CSO的责任)涉及不同的责任，这两者可以是互补的，但经常存在分歧。

　　首先，任何规模的企业(特别是Target这样规模的企业)需要有一个负责安全的高管，并且，安全部门需要在董事会有一席之地。如果安全完全交给IT部门(其主要职责是运行可靠的基础设施)，可能会出现糟糕的决策和泄露事故。

　　现在，企业没有CSO就像是足球队没有后卫。为了让企业取得成功，他们必须拥有可靠的基础设施以及对信息的适当保护。如果企业只有CIO而没有CSO，没有人会侧重于安全性，坏的事情将会发生。缺乏CSO意味着缺乏安全性。

　　最有可能的情况是，Target有一个安全团队，对所有安全问题大喊大叫。但管理层没有人听他们的投诉或者帮助他们解决问题。工程师需要能够与CEO进行沟通，CSO就是他们的沟通渠道。如果没有CSO，关键的安全信息无法传达到管理层。笔者猜测，如果Target高管收到了关于安全的正确信息，他们可能会作出不同的决定，这个故事可能会有一个快乐的结局。

　　CIO和CSO应该是盟友，在董事会有着平等的代表权。通常情况下，CIO直接向首席运营官报告，CSO向CFO报告。COO和CFO直接向CEO报告。但无论组织结构如何，CIO和CSA必须有着不同的报告结构。而且，为了让CIO和CSO建立有效的工作关系，他们必须有明确的责任界限。

　　通常情况下，最好的做法是，让CSO定义适当的安全水平，CIO来部署安全，审计员来验证这种安全性的实现。CSO定义的安全性应该基于企业可接受水平的风险，提供明确的指导方针，并提供衡量合规性的简单方法。

　　随着越来越多的安全泄露事故被公开，我们应该更容易说服高管他们需要一个CSO。真正的问题是，很多CIO不希望有一个CSO，因为如果由他们控制IT基础设施的所有方面， 他们能够更容易地完成工作。这些内部政策创造了这种局面，即CIO不会游说高管设置一个CSO。因此，企业需要另外的人来告诉首席执行官，“你对企业的安全水平感到满意吗?你是否收到了正确的安全指标来作出决定?”

　　在很多情况下，首席执行官想要创建一个CSO的职位，但CIO说服他们，他们并不需要CSO。虽然他们有着良好的意图，往往是CIO在抵触CSO，因为CSO减弱他们控制权，可能使他们的工作变得更加困难。笔者的预测是，在未来五年内，大多数企业都会有一个CSO，直接向高管报告。

　　在你的企业，CIO和CSO是什么关系呢?他们是盟友还是敌人呢?

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。