安排專職高管負(fù)責(zé)安全問題的重要性越來越明顯。這也是IDG《2020年安全重點(diǎn)研究》的主要發(fā)現(xiàn)之一：61%的受訪公司有安全專家身居高管位置，大企業(yè)在高管層給安全專家留一席之地的比例更是高達(dá)80%。這些安全高管在公司中發(fā)揮著重要作用：同一研究發(fā)現(xiàn)，相比設(shè)置了安全高管的公司，缺乏CISO、CSO或其他高層安全管理人員的公司更容易反饋稱其雇員安全培訓(xùn)不足，安全策略不夠主動。

[[391222]]

但不是所有的安全高管在公司組織架構(gòu)圖上的位置都是一樣的，而其間差異會影響組織文化和安全結(jié)果。安全職位上的員工不可避免地會與其他人發(fā)生沖突，因?yàn)榘踩藛T的本能就是鎖定系統(tǒng)讓人難以訪問，而這顯然不能令希望信息和應(yīng)用都能無摩擦訪問的IT部門滿意。CISO/CSO對戰(zhàn)CIO時就會在公司組織架構(gòu)高層上演此類劇碼，斗爭輪廓往往由公司內(nèi)部的匯報層級描繪：如果安全高管向IT部門管理層匯報，CISO的戰(zhàn)略執(zhí)行能力就會受限，因?yàn)樗麄兊脑O(shè)想終需服從IT部門“更大”的構(gòu)想。

《2020年安全重點(diǎn)研究》訪問調(diào)查的公司中，近半數(shù)安全主管直接通聯(lián)公司高層。34%的案例中，安全高管向CEO匯報，另有12%向董事會匯報。同時，33%的情況下CISO或同等職位人員向公司CIO或部門CIO匯報。余下21%分散在不同匯報途徑上，例如首席風(fēng)險官或法律總顧問。小公司傾向于扁平化組織安排或許并不令人意外：研究發(fā)現(xiàn)，中小企業(yè)里59%的安全高管直接向CEO匯報，大企業(yè)這一比例僅為22%。

還有一個同樣不出意外的有趣關(guān)聯(lián)：能夠“上達(dá)天聽”的安全高管也更有可能瓜分較多IT預(yù)算留作安全所用。CIO.com發(fā)布的《2019年CIO狀態(tài)》調(diào)查報告也清楚地反映了這一點(diǎn)。IT預(yù)算中只有不到5%花在安全上的公司同樣有可能是CSO向CIO或CEO回報;但在安全上投入10%或更多的公司，CSO向CEO匯報的概率要高出一倍。安全高管頭銜落在CISO身上的公司這種影響甚至更加突出：IT預(yù)算只花不到5%在安全方面的公司，僅3%的CISO向CEO匯報，但安全預(yù)算占IT預(yù)算10%以上的公司，26%的CISO向CEO匯報。

▶ 頭銜意味著什么?

面對這么多種頭銜，我們不妨先闡述下個中區(qū)別。頭銜使用上的一些趨勢可以用來區(qū)分CSO和CISO?？偟恼f來，根據(jù)《2019年CIO狀態(tài)》調(diào)查研究的數(shù)據(jù)，CSO在公司組織架構(gòu)中的層級相對較高：安全高管頂著CSO頭銜的受訪公司中，43%直接向CEO匯報;但僅18%的CISO能直面公司高層。9%的受訪公司稱其首席信息安全主管向CSO匯報，表明該CSO職位有時候還負(fù)責(zé)IT以外的職責(zé)，比如物理安全。

但也有許多例外，對很多公司而言，CSO職位純屬技術(shù)性質(zhì)。與其硬性區(qū)分，不如就用“CSO”統(tǒng)稱安全高管，假定其絕大部分工作職責(zé)落在信息安全上。而且，事實(shí)上，很多專家都是混用CISO和CSO的。

▶ 安居IT范疇?

企業(yè)總是從小做大的，其匯報結(jié)構(gòu)也是在發(fā)展壯大的過程中形成的。在成立時間相對較短的公司里，CSO向CIO或其他IT主管的結(jié)構(gòu)很常見。如果公司尚有大量阻止和處理工作有待完成，例如確保實(shí)施恰當(dāng)?shù)姆阑饓σ?guī)則，或者及時應(yīng)用安全補(bǔ)丁，甚或初步盤點(diǎn)公司資產(chǎn)等基本過程;那這種情形就很真實(shí)了。畢竟，都不知道信息和設(shè)備在哪兒，何談信息安全保護(hù)?CSO向CIO或IT主管報告的安排，能夠使CIO充分摸清IT的情況，各個信息技術(shù)領(lǐng)域的全面可見性都匯集到一個中心人物那里。

但隨著公司逐步成長，安全職能再呆在CIO體系下就不舒服了。最突出的就是，CSO可能會發(fā)現(xiàn)自己未必與IT部門其他人共享相同的工作目標(biāo)和動力。CSO向CIO匯報的結(jié)構(gòu)可能會造成成本管理凌駕于風(fēng)險管理之上。說得更直白一點(diǎn)：CIO通常因?yàn)榻桓赌軒硎找娴臉I(yè)務(wù)項(xiàng)目而獲得獎勵。CISO的工作則是修復(fù)漏洞，而這些安全項(xiàng)目總在跟盈利驅(qū)動的項(xiàng)目爭奪資源。

此外還有重點(diǎn)不同的問題：CIO的業(yè)務(wù)目標(biāo)很多，如果CSO受CIO管轄，他們在完成大項(xiàng)目時就會被劃到同一陣營。舉個例子，HigherGround Managed Services首席執(zhí)行官Brian Brammeier就在提供的咨詢的一家公司遇到過這樣的場景：“有個重大安全漏洞正在泄露數(shù)據(jù)。CIO收到了通知，但并沒有把這個問題分類為必須拋下一切優(yōu)先修復(fù)的問題，也就沒有給予應(yīng)有的足夠重視，而實(shí)際上這個問題還真就是不及時修復(fù)就會出大亂子的。鑒于問題的嚴(yán)重性，安全主管聯(lián)系了董事會，后來董事會就修改了匯報結(jié)構(gòu)，CISO直接向董事會匯報了。”

Brammeier解釋道：“發(fā)現(xiàn)安全問題的時候，大多數(shù)人都會豎起防御姿態(tài)。出現(xiàn)問題時其實(shí)無所謂是誰的錯，只要專注解決問題就好。”但在現(xiàn)實(shí)中，不是每個人都這么有大局觀，CSO和頂頭上司CIO之間的沖突也不是每次都能像Brammeier描述的案例那樣妥善解決。沒錯，你可以告知董事會你和CIO之間的分歧，但這通常無益于你在CISO的職位上干得長久。

▶ 具有戰(zhàn)略思維

向CIO匯報可能會限制CSO的戰(zhàn)略執(zhí)行能力。處在這個位置上的CSO對自己主張的安全狀態(tài)是投錢又投人。承認(rèn)自己構(gòu)建的安全架構(gòu)不再有效可能會引發(fā)巨大壓力，因而CISO并不愿意在有需要的時候推倒重來或調(diào)整?；旧?，CISO既沒權(quán)力也沒動力轉(zhuǎn)向有益于整個公司的安全方法。

公司設(shè)置有直面高層的匯報結(jié)構(gòu)就能避免CSO陷入這種陷阱。公司技術(shù)側(cè)一旦成熟，安全部門就能過渡到更加基于風(fēng)險的方法，向公司高層匯報。事實(shí)上，大多數(shù)受訪者表示，前瞻性思維公司的標(biāo)志之一就是CSO不聽命于CIO，而是像公司領(lǐng)導(dǎo)人一樣思考。

CSO這個角色更像是多部門協(xié)調(diào)者的組織受到幾位受訪高管的推崇。掌握所有安全相關(guān)事務(wù)的“指揮控制”型CISO概念不再有效。CISO成為了委員會主席一樣的人物，負(fù)責(zé)跨部門收集和溝通各項(xiàng)指標(biāo)，再打包上呈公司高層。這種模式下，安全架構(gòu)存在于公司各個職能領(lǐng)域，由CISO負(fù)責(zé)治理和提供透明性。

換句話說，CSO需要跳出IT范疇。CISO完全以IT為中心，并因此位于CIO管轄之下的日子一去不復(fù)返了。安全有效性管理和風(fēng)險管理超出了IT范疇，需在高管層級上執(zhí)行，這樣技術(shù)決策者和非技術(shù)決策者才都能擁有基于證據(jù)的數(shù)據(jù)，能夠更高效地做出明智的業(yè)務(wù)決策。

▶ 上達(dá)天聽

讓決策者聽到自己的聲音，或許是CSO想要跳出IT體系最重要的原因，而且，離頂層越近越好。理想狀況下，CSO/CISO可以直接向董事會匯報。鑒于大多數(shù)公司的實(shí)際情況，更務(wù)實(shí)的目標(biāo)或許是向CEO或同等地位的人匯報。CISO或CSO想要真正高效，就需要接觸核心決策過程和權(quán)威，作為獨(dú)立的聲音參與決策過程。想要真正為公司提供信息與資產(chǎn)安全指引，就需要加入到高管層決策會談中去。不單純作為旁觀者，而是要擁有投票權(quán)。

提到如何獲取CSO需要的資源，讓領(lǐng)導(dǎo)層聽到自己的聲音能帶來切實(shí)的好處。通常，安全文化扎實(shí)的成功企業(yè)里，CSO都是直接向CFO或COO這樣的高管匯報的。這些高管一般深涉日常決策，有能力理解長期安全需求并將之納入資本支出計劃，也能夠在必要的時候?yàn)?ldquo;應(yīng)急”需求提供資金支持。

▶ 組織結(jié)構(gòu)的多種可能性

大多數(shù)受訪高管都承認(rèn)，CSO向CIO匯報的模式仍就十分常見，但多少情況下并不是理想之選。被問及偏愛的匯報路徑時，這些高管提出了許多建議。

• CSO→CEO：CSO向CEO匯報可以提供直接而及時的信息流。而且有時候如果你的高管恰好是技術(shù)出身，那你的贏面就更大了。有個技術(shù)型CEO當(dāng)領(lǐng)導(dǎo)真的是太走運(yùn)，可以跨越典型的溝通障礙，讓我們能夠享受當(dāng)今社會的快節(jié)奏進(jìn)展。·
• CSO→COO：但不是每個人都那么幸運(yùn)，CEO每天面對那么多需求，安全考慮可能被排到了其他重要決策之后。與此相反，如果向COO匯報，CSO就相當(dāng)于能接觸“重度參與日常決策”的領(lǐng)導(dǎo)層。
• CSO→CFO：在有些公司里，CFO負(fù)責(zé)避免出現(xiàn)任何形式的財務(wù)損失，安全也就進(jìn)入了他們的視野。不過，CFO通常缺乏技術(shù)背景，不太能理解CISO職能的錯綜復(fù)雜。有利情況下，CFO稍作拖延就選擇支持CISO。如果是不利情況，CFO的技術(shù)欠缺加上他們一貫的省錢思維，就能陷CISO于困境。有些公司選擇讓CSO向更專業(yè)的首席風(fēng)險官(CRO)匯報。
• CSO→法律總顧問：由于網(wǎng)絡(luò)安全風(fēng)險和數(shù)據(jù)泄露事件常帶來重大法律影響，尤其是在監(jiān)管嚴(yán)格的行業(yè)，讓CSO向公司首席律師匯報就很明智了。公司可以利用這一匯報結(jié)構(gòu)深度協(xié)調(diào)和統(tǒng)一圍繞網(wǎng)絡(luò)風(fēng)險的問責(zé)和觀點(diǎn)。
• CIO→CSO：看起來似乎是顛倒了，但有時候確實(shí)會這樣。這一定程度上是因?yàn)镮T、云、移動應(yīng)用和其他由業(yè)務(wù)部門推動的項(xiàng)目的消費(fèi)化，而不是企業(yè)范圍的IT決策。同時，CIO向CSO報告的匯報關(guān)系也受到企業(yè)歷史的影響，典型的例子就是CIO升任CISO然后給自己招聘了個CIO下屬的情況。

▶ 應(yīng)得的尊重

向高層匯報的CSO更受看重，這樣會增加他們的工作滿意度。與決策者之間的距離是CISO平均任期只有18個月左右的常見原因。CISO不是個好著手的工作，如果不能通往成功，那就很難干得長久。如果公司想要招聘安全高管，匯報關(guān)系是CSO向CEO報告的話會更能吸引到頂級人才。

但能否得到尊重不僅僅關(guān)乎CSO的個人幸福，還關(guān)乎公司的安全。CSO在重視安全的公司里最為如魚得水，而賦予CSO直通公司高層的權(quán)力，才能形成這種相得益彰的局面。如果數(shù)據(jù)泄露事件會搞垮公司，那CISO就應(yīng)該向CEO匯報。事情就這么簡單，不過是將CEO的思維轉(zhuǎn)向確保做好安全計劃而已。CISO直接向CEO匯報的時候，信息流就及時而通暢了。這種匯報關(guān)系還向整個公司及其利益相關(guān)者(雇員、客戶、董事會、投資人等等)表明安全是頭等大事。

越來越嚴(yán)格的安全監(jiān)管要求也促使CSO獨(dú)立于IT直接向高層匯報。今天這種監(jiān)管大環(huán)境下，公司理應(yīng)將CISO/CSO置于擁有獨(dú)立性和監(jiān)督權(quán)的位子上，能夠作為安全職能和功能的業(yè)務(wù)顧問。如果位于CIO之下，CISO就失去了獨(dú)立性和客觀性，其評估工作就受到控制和束縛，以至于根本發(fā)揮不出價值。

最后，不斷變化的法律和威脅形勢也將使CSO成為CIO和其他高管的同級搭檔，而原因只有一個：最終盈虧!最近，影響公司股價的安全事件屢見不鮮。例如，Equifax的股價在公司發(fā)生重大數(shù)據(jù)泄露后就沒再恢復(fù)，索尼的股價也一樣，在PlayStation數(shù)據(jù)泄露事件和內(nèi)部文件被盜事件后一直疲軟。隨著此類影響甚廣的重大事件不斷發(fā)生，CISO或許將在未來幾年內(nèi)開始進(jìn)入公司的高級管理團(tuán)隊。

IDG《2020年安全重點(diǎn)研究》：(戳閱讀原文直接查看)

https://resources.idg.com/download/2020-security-priorities-executive-summary