每次發(fā)生數(shù)據(jù)泄露事故，都暴露了一家企業(yè)的安全做法中存在的問題。在Target泄露事故中，最有趣的的發(fā)現(xiàn)是，Target公司所有安全責(zé)任都在***信息官(CIO)身上，該公司甚至都沒有***安全官(CSO)。

[[111547]]

毫不奇怪，當(dāng)Target公司CIO兼技術(shù)服務(wù)執(zhí)行副總裁Beth Jacob上個月辭職時，很多人提出的***個問題是CIO Jacop是否應(yīng)該承擔(dān)責(zé)任，因為運(yùn)行IT基礎(chǔ)設(shè)施(通常是CIO的責(zé)任)和保護(hù)信息(通常是CSO的責(zé)任)涉及不同的責(zé)任，這兩者可以是互補(bǔ)的，但經(jīng)常存在分歧。

首先，任何規(guī)模的企業(yè)(特別是Target這樣規(guī)模的企業(yè))需要有一個負(fù)責(zé)安全的高管，并且，安全部門需要在董事會有一席之地。如果安全完全交給IT部門(其主要職責(zé)是運(yùn)行可靠的基礎(chǔ)設(shè)施)，可能會出現(xiàn)糟糕的決策和泄露事故。

現(xiàn)在，企業(yè)沒有CSO就像是足球隊沒有后衛(wèi)。為了讓企業(yè)取得成功，他們必須擁有可靠的基礎(chǔ)設(shè)施以及對信息的適當(dāng)保護(hù)。如果企業(yè)只有CIO而沒有CSO，沒有人會側(cè)重于安全性，壞的事情將會發(fā)生。缺乏CSO意味著缺乏安全性。

最有可能的情況是，Target有一個安全團(tuán)隊，對所有安全問題大喊大叫。但管理層沒有人聽他們的投訴或者幫助他們解決問題。工程師需要能夠與CEO進(jìn)行溝通，CSO就是他們的溝通渠道。如果沒有CSO，關(guān)鍵的安全信息無法傳達(dá)到管理層。筆者猜測，如果Target高管收到了關(guān)于安全的正確信息，他們可能會作出不同的決定，這個故事可能會有一個快樂的結(jié)局。

平等的代表權(quán)

CIO和CSO應(yīng)該是盟友，在董事會有著平等的代表權(quán)。通常情況下，CIO直接向***運(yùn)營官報告，CSO向CFO報告。COO和CFO直接向CEO報告。但無論組織結(jié)構(gòu)如何，CIO和CSA必須有著不同的報告結(jié)構(gòu)。而且，為了讓CIO和CSO建立有效的工作關(guān)系，他們必須有明確的責(zé)任界限。

通常情況下，***的做法是，讓CSO定義適當(dāng)?shù)陌踩剑珻IO來部署安全，審計員來驗證這種安全性的實現(xiàn)。CSO定義的安全性應(yīng)該基于企業(yè)可接受水平的風(fēng)險，提供明確的指導(dǎo)方針，并提供衡量合規(guī)性的簡單方法。

隨著越來越多的安全泄露事故被公開，我們應(yīng)該更容易說服高管他們需要一個CSO。真正的問題是，很多CIO不希望有一個CSO，因為如果由他們控制IT基礎(chǔ)設(shè)施的所有方面， 他們能夠更容易地完成工作。這些內(nèi)部政策創(chuàng)造了這種局面，即CIO不會游說高管設(shè)置一個CSO。因此，企業(yè)需要另外的人來告訴***執(zhí)行官，“你對企業(yè)的安全水平感到滿意嗎?你是否收到了正確的安全指標(biāo)來作出決定?”

在很多情況下，***執(zhí)行官想要創(chuàng)建一個CSO的職位，但CIO說服他們，他們并不需要CSO。雖然他們有著良好的意圖，往往是CIO在抵觸CSO，因為CSO減弱他們控制權(quán)，可能使他們的工作變得更加困難。筆者的預(yù)測是，在未來五年內(nèi)，大多數(shù)企業(yè)都會有一個CSO，直接向高管報告。

在你的企業(yè)，CIO和CSO是什么關(guān)系呢?他們是盟友還是敵人呢?