一直以來，CISO應(yīng)該向誰匯報的疑問，因為數(shù)字安全的上升，讓企業(yè)高層有了新的緊迫感。

數(shù)字安全在企業(yè)內(nèi)已經(jīng)上升到了新高度，而CISO則是它的守護者。

“趕緊找一位CISO，”Nemertes Research的總裁和創(chuàng)始人。

網(wǎng)絡(luò)安全專家Candy Alexander認(rèn)為企業(yè)需要一位CISO。 “這是至關(guān)重要的。絕對至關(guān)重要。企業(yè)絕對不能沒有CISO。”

比較有爭議的是，一旦這位安全高層上任，最佳的匯報架構(gòu)應(yīng)該是什么。他或她應(yīng)該向CIO匯報?還是向運營或者法務(wù)部門匯報?還是直接向CEO匯報?

“自從CISO這個職位誕生，就一直有爭議。” Alexander說，他之前也是一位CISO，現(xiàn)在是獨立顧問。

根據(jù)Cloud Security Alliance and Skyhigh Networks最近的一份報告， 61%的企業(yè)有一位CISO。其中，42%的向CIO匯報，32%的向CEO匯報， 26%的向其他高管匯報，包括總法律顧問和CFO。

之所以有CISO匯報架構(gòu)的爭論，和CISO為什么如此重要有關(guān)：保護公司的業(yè)務(wù)不受各類信息安全的威脅。匯報給不合適的上級，他可能會從業(yè)務(wù)角度施加不正當(dāng)?shù)挠绊?，限制CISO展開工作的能力。

信息安全需要IT計劃，當(dāng)然，是屬于CIO的職能范圍，但全面數(shù)字安全則不屬于， Alexander說。

“他們不一定像我們這些處于該領(lǐng)域內(nèi)的人一樣，擁有對于安全技術(shù)和/或?qū)嵺`和方法的遠(yuǎn)見，洞察力。”

CISO匯報架構(gòu)的多樣化

不僅僅是管理信息安全，CISO需要管理整個公司的信息安全戰(zhàn)略。他或她需要與高管合作，讓他們意識到網(wǎng)絡(luò)安全威脅是業(yè)務(wù)的威脅，然后確保消息層層傳遞下去，到達(dá)中層經(jīng)理和他們的業(yè)務(wù)部門。

如果CISO向CIO匯報，可能會有生產(chǎn)力和安全之間的沖突， Alexander說。CIO的職責(zé)是創(chuàng)新，推動盈利的業(yè)務(wù)戰(zhàn)略，讓新的應(yīng)用上線，并確保在用戶需要的時候，有IT服務(wù)可用，理論上，會掩蓋安全措施。Alexander說，CISO與CIO之間會發(fā)生預(yù)算上的爭論，多少資金應(yīng)該分配給安全，多少分配給支持業(yè)務(wù)的IT基礎(chǔ)設(shè)施。

“你很難向公司的高管進(jìn)行匯報，述說IT應(yīng)該配合這個項目，當(dāng)你的老板也坐在其中，”她說。“你真的不想那樣做。”

CISO也不應(yīng)該向CEO匯報，在Alexander看來。CIO與CISO之間的爭論經(jīng)常需要CEO做出裁決，而CEO沒有這樣的時間。

正確的架構(gòu)根據(jù)公司有所不同，她說，但是COO應(yīng)該是CISO的老板，因為這種模式將安全和風(fēng)險意識直接帶入企業(yè)的日常運營。CFO也可以，因為作為負(fù)責(zé)財務(wù)報告質(zhì)量的高管，明白相互制衡對于企業(yè)安全的重要性。

總之，最重要的是，CISO需要和CIO平級， Alexander說。這樣，CIO會重視CISO，當(dāng)他警告某個應(yīng)用或其他IT資源對企業(yè)構(gòu)成了威脅。他們之間的對話不應(yīng)該是“為什么你不能保護你的邊界?”而應(yīng)該是“讓我們一起想想，能做些什么。”

網(wǎng)絡(luò)犯罪合作伙伴

Equinix公司位于硅谷，為全球的企業(yè)提供數(shù)據(jù)中心資源，它的CISO向CIO匯報。George Do擔(dān)當(dāng)這一信息安全職位，他知道所有圍繞CISO匯報架構(gòu)的爭論。在某些企業(yè)內(nèi)，首席IT和安全官之間，可能是對立的，無法合作的，但是在Equinix卻不是。 他的老板是CIO， Brian Lillie。

“我們是數(shù)據(jù)中心公司，但實際上我們的使命是和我們的客戶相互連接，” Do說。公司為了這一使命，在IT和云計算上投入巨資。“CIO是一個巨大的利益相關(guān)者。對我來說，安全應(yīng)該支持這一使命;安全不主導(dǎo)，但是支持。”

企業(yè)在全球范圍內(nèi)運行145個數(shù)據(jù)中心，Do為公司開發(fā)了一個安全戰(zhàn)略。除了風(fēng)險評估和制定長期和短期的目標(biāo)，他負(fù)責(zé)的常規(guī)運營項目還包括防火墻，為安全事故起草響應(yīng)計劃，部署新技術(shù)來減少風(fēng)險。他向Lillie匯報這一切，然后，他會給反饋，然后簽字。

在Lillie之后，Do將有關(guān)安全和風(fēng)險意識的信息傳遞給公司內(nèi)的其他人。他丟棄了在象牙塔內(nèi)管理安全的想法，使用良好的，傳統(tǒng)的溝通技能和同事進(jìn)行交流。

“我們使用合理化的安全政策，為什么我們有這些政策，為什么我們使用這種方式，”Do說。“10次中有9次，用戶能夠明白和理解。”

業(yè)務(wù)關(guān)聯(lián)

Nemertes的Johnson最近就安全戰(zhàn)略采訪了一些公司，發(fā)現(xiàn)在擁有最成熟的網(wǎng)絡(luò)安全戰(zhàn)略的企業(yè)內(nèi)，CISO直接向業(yè)務(wù)高管匯報。

這項研究，調(diào)查了17個企業(yè)，發(fā)現(xiàn)CISO和業(yè)務(wù)方面的距離越近，企業(yè)應(yīng)對當(dāng)前和未來的安全挑戰(zhàn)準(zhǔn)備的越充分。

Johnson在3月8日的網(wǎng)絡(luò)研討會上發(fā)表了這一研究。 如果CISO距離業(yè)務(wù)高管2個或以上級別，“你匯報的對象的匯報對象向業(yè)務(wù)高管匯報”——這樣的企業(yè)的安全成熟度就較低。擁有這樣相距兩個級別的CISO匯報架構(gòu)的企業(yè)擁有應(yīng)對網(wǎng)絡(luò)攻擊的基本技術(shù)和員工，但它不能在問題發(fā)生之初，就阻止。

匯報給CIO的情況稍好，但是距離業(yè)務(wù)高管仍有一個級別。

“錯誤不在CIO，” Johnson在接受采訪時表示。“這是CISO的工作，將信息安全風(fēng)險轉(zhuǎn)化為業(yè)務(wù)風(fēng)險。” 而CISO向哪位業(yè)務(wù)高管匯報則不那么重要：可以是CEO，CFO，COO或者首席風(fēng)險官。

CISO也應(yīng)該定期與董事會保持溝通， Johnson說，每個財政季度向負(fù)責(zé)風(fēng)險和合規(guī)審計的運營委員會進(jìn)行更新。

“并不需要，向8個人進(jìn)行正式的演講，” Johnson說。“也許是每隔一個周四，和負(fù)責(zé)風(fēng)險委員會的三個人一起吃頓飯。”