随着网络安全风险管理已成为各行各业公司的首要战略重点,首席信息官应该向谁汇报的问题也变得同样重要。历史上,首席信息官向首席信息官报告,但公司越来越多地考虑一些替代方案——从把首席信息官放在风险或企业数据组,到让他们直接向首席执行官或董事会报告。虽然没有放之四海而皆准的答案,但我们可以为企业提供关于各种选择的利弊的指导。
选项#1:向CIO报告
大多数CISOs都向首席信息官据卡尔•比提安达称,如今大多数信息技术CIO都称CIO为老板,他是亿康先达北美技术实践团队的主管。
优点:CIO是最了解网络安全问题的高管,在很多情况下,他会就该主题向董事会报告。首席信息官的大部分支出都与IT直接相关。Bittianda说,在许多组织中,改变这种方法会带来破坏成本。
缺点:尽管首席信息官这个职位的设立是为了保护IT系统和数据的安全,但“这个职位的很大一部分是在IT之外的,”与BDO网络安全领域的咨询。CISOs必须考虑到员工的意识和教育,制定安全政策和程序,以及文化变革。柯宁斯说:“当首席信息官向首席信息官汇报时,可能很容易影响it部门。”“但要影响其他人就没那么容易了。”向首席信息官汇报的CISOs也可能被迫专注于技术解决方案,而牺牲更全面的解决方案。最重要的网络安全漏洞是组织中的人员,而不是其技术堆栈。Dressler, Amery & Ross律师事务所(Dressler, Amery & Ross)专攻网络安全问题的负责人丹佛•爱德华兹(Denver Edwards)表示,归为首席信息官一职,强化了网络安全只是IT问题而非企业问题的观念。Nelson Mullins Riley & Scarborough律师事务所隐私与信息安全实践小组的合伙人兼负责人David F. Katz表示,当首席信息官必须将安全与其他优先事项(如网络、应用程序开发、基础设施支持和外包)进行权衡时,也可能存在利益冲突。
选项#2:向CRO报告
在过去的五年中,一些组织,如金融服务公司和大型跨国公司,已经选择将CISO置于首席风险官(CRO)之下。
优点:BDO Advisory的康宁斯表示:“风险函数的作用是让董事会更深入地了解公司的企业风险,而不仅仅是财务风险,因此它是有意义的。”“这是一种监督职能,可以帮助确保每个人都采取必要措施,将正确的解决方案落实到位。”
缺点:在许多公司,CRO不向首席执行官报告,所以这种报告结构可以进一步拉大ciso与高管和公司战略的距离。科宁斯表示:“在一家大公司,我们把首席信息官(CISO)调到风险部门,在一年的时间里,这种做法非常有效。”“但缺点是你离其他一切都太远了。”
选项#3:向首席财务官汇报
公司把许多职能都放在财务之下——it、风险管理、采购、税务、审雷竞技下载官方版计——有些公司还把首席信息官(CISO)放在那里。
优点:首席财务官可以了解接近风险的情况,向董事会报告,并可能就网络安全支出做出关键决定。尽管其他一些首席执行官曾抱怨首席财务官以成本为中心,但亿康先达的比提安达指出,越来越多的首席财务官正在改变他们的管理方式,希望在未来接替首席执行官的职位。
缺点:当然,比蒂安达表示,不利的一面是,许多首席财务官都希望看到回报,尤其是在他们受到年度收益增长激励的情况下。BDO咨询公司的康宁斯表示:“对于网络安全合作组织来说,这可能是一场艰难的讨论,因为很难展示网络安全投资的好处。”他们可能也缺乏足够的技术理解。
选项#4:向CDO报告
首席数据官是一个相对较新的企业角色,通常专注于保存和扩大企业数据的价值,因此这与CISO在保护数据方面的角色肯定有一些重叠。
优点:Bressler, Amery & Ross律师事务所的爱德华兹表示:“一位将公司数据视为资产、了解公司防御技能的CDO,可能是负责信息安全的合适人选。”
缺点:认为自己的角色是进攻性的,利用数据来增加收入的cdo可能与认为自己的角色是保护公司有价值的信息资产的CISOs发生冲突。Nelson Mullins Riley & Scarborough的卡茨表示:“这造成了内在的冲突,最终结果是将首席信息官置于一个被认为对业务目标有潜在敌意的位置。”更重要的是,新的CDO可能无法给予网络问题足够的重视,从而限制了这一结构的有效性。爱德华兹说:“数据泄露已经变得如此普遍,以至于需要全天候关注。”“与此同时,如果一家公司拥有可以帮助其赢得市场份额的数据,但由于CDO还有其他挑战需要应对,所以执行起来缓慢,那将是浪费机会。”此外,如果首席信息官不向首席执行官报告,这又会在首席信息官和组织领导层之间造成更大的鸿沟。
选项#5:报告给GC/CLO
虽然这不是一个广泛采用的方法,但一些公司已经选择将CISO从IT部门调到总法律顾问(GC)或首席法律官(CLO)的办公室。亿康先达的Bittianda表示,这种情况通常发生在ceo认识到网络安全的关键性质并认为GC是值得信任的人的情况下。
优点:GCs处理与信息治理和合规相关的重大问题,由于他们经常担任董事会秘书,因此对公司的发展方向有很好的了解。当出现网络安全事件时,他们也倾向于介入。与CEO甚至CFO不同,GC没有许多其他直接报告的负担。
缺点:因为gc通常没有很多非合法的直接报告,他们可能不是最好的管理者。他们也更多地参与偶发性安全活动,如入侵,而不是操作问题。
选项6:向CEO汇报
三年前,IDC预测75%的ciso将向CEO汇报,但这仍然是例外而不是规则。这种情况通常发生在以技术为中心的公司,或那些遭受高调网络挫折、要求首席信息官真实可信的公司商业领袖.
优点:Nelson Mullins Riley & Scarborough的卡茨表示,向首席执行官汇报能够保持首席信息官角色的独立性,并能够“就实体内部更大的利益相关者群体可能出现的风险、资源、优先次序和冲突进行坦率和坦诚的讨论”。向董事会或其他有定期报告要求的监督委员会提供虚线报告关系可以加强这种安排。
缺点:网络安全虽然是一个高度优先的问题,但在许多组织中并不是首席执行官的核心职责。"更多的原则谁rayapp 降低了高管专注于战略和组织领导力的能力,”Rumberger Kirk & Caldwell律师事务所诉讼助理史蒂夫•伯林(Steve Berlin)表示。他帮助客户制定网络安全政策,并在相关诉讼中为客户辩护。首席信息官向首席执行官汇报,但不属于管理团队,这与战略决策仍然有一定的距离。BDO咨询公司的康宁斯表示:“在很多情况下,最好向首席信息官(CIO)汇报,他是管理团队的一员,可以向首席信息官提供必要的信息。”
选择#7:向董事会报告
少数公司考虑过但值得探索的另一种选择是,让首席信息官直接向董事会或董事会或其中一个委员会报告。
优点:“最终,董事会有责任监督管理层。Bressler, Amery & Ross律师事务所的爱德华兹表示:“董事会需要关于公司网络表现的真实信息。”“直接向董事会报告可以使董事们在不处理信息的情况下对管理层提出探索性的问题。它还使董事会能够在董事会会议之外获得独立的网络信息,当他们可能被一系列问题淹没时。”
缺点:要做到这一点,公司的董事会成员必须对网络安全问题有专门的了解,并愿意监督首席信息官的角色和职能。
本文首发于安全圆桌会议于2018年5月29日发布,经他们的许可在此转载。
