信息化觀察網(wǎng)

最近，IT安全問題一直是人們關(guān)注的焦點(diǎn)，最終導(dǎo)致幾位備受矚目的首席信息官因?yàn)榘踩┒炊鴣G了工作。CIO辦公室內(nèi)外的許多人都認(rèn)為IT安全是一門過于復(fù)雜的學(xué)科，不適合由CIO來管理，CIO的任務(wù)還包括從管理基礎(chǔ)設(shè)施到制定技術(shù)策略，再到監(jiān)督大規(guī)模的軟件發(fā)布。我們是否還需要另一個(gè)專門負(fù)責(zé)IT安全的c級(jí)職位，或者這個(gè)職位應(yīng)該只由CIO負(fù)責(zé)?

從CIO的角度來看，有兩個(gè)令人信服的理由將IT安全移出CIO的職責(zé)范圍。

第一個(gè)論點(diǎn)是，IT安全是一個(gè)專家職位，沒有一個(gè)有效的通才能夠完全理解這個(gè)職位。有一種合理的觀點(diǎn)認(rèn)為，CIO根本沒有資格判斷一個(gè)安全事件是一個(gè)無聊的少年，還是一個(gè)數(shù)十億美元違約的第一個(gè)跡象。然而，一般的CIO也不太可能有資格討論網(wǎng)絡(luò)路由、高性能應(yīng)用程序設(shè)計(jì)或虛擬化的細(xì)微差別，很少有CIO會(huì)認(rèn)為這些領(lǐng)域?qū)儆贗T之外。

這就引出了第二個(gè)不那么高尚的原因，一些CIO認(rèn)為IT安全不屬于CIO的職責(zé)范圍:躲避潛在的子彈。正如最近的事件所顯示的，CIO經(jīng)常是一個(gè)引人注目的安全漏洞的受害者，并且作為最終負(fù)責(zé)安全的人，如果IT安全落在CIO的權(quán)限內(nèi)，這可以說是一個(gè)合理的結(jié)果。

有些人建議，另一個(gè)c級(jí)的頭銜，專門用于IT安全或與其他風(fēng)險(xiǎn)領(lǐng)域相結(jié)合，是IT安全的合適位置。一些公司已經(jīng)雇傭了首席風(fēng)險(xiǎn)官，或者首席安全官，有一個(gè)合理的理由認(rèn)為IT安全屬于一個(gè)更廣泛的安全或風(fēng)險(xiǎn)保護(hù)傘。這種方法的主要問題是，它將安全性從基礎(chǔ)設(shè)施和應(yīng)用程序決策中分離出來，從而產(chǎn)生了一種風(fēng)險(xiǎn)，即it可以愉快地部署解決方案，而“其他人”可以進(jìn)入并在事后應(yīng)用安全性。就像沒有保險(xiǎn)庫、鎖或閉路電視的銀行很難“改造”安全性一樣，將安全性應(yīng)用于沒有考慮安全性的應(yīng)用程序和基礎(chǔ)設(shè)施也同樣困難。

當(dāng)然，一個(gè)專門的安全組織可以將自己插入到構(gòu)建-購買討論中，并嘗試將安全性注入到適當(dāng)?shù)膶?duì)話中，但是這將導(dǎo)致一個(gè)繁重的過程，并且當(dāng)應(yīng)用程序從一個(gè)獨(dú)立的安全組織滑過時(shí)，這個(gè)過程很可能會(huì)失敗。

IT部門被安全問題所困擾的原因可能是，一般的IT部門沒有配備正確的人員或預(yù)算來支持對(duì)安全問題的全面響應(yīng)。與公司的任何部門一樣，它從來沒有足夠的資金或員工，但在說明與數(shù)據(jù)泄露相關(guān)的風(fēng)險(xiǎn)和制定適當(dāng)?shù)膽?yīng)對(duì)計(jì)劃方面，它也做得很糟糕。它對(duì)安全性的關(guān)注過多地與花哨的設(shè)備和供應(yīng)商的承諾有關(guān)，這些設(shè)備和承諾取代了勤奮的人員配備和適當(dāng)?shù)娜藛T監(jiān)督。

說你低估了公司關(guān)鍵數(shù)據(jù)的風(fēng)險(xiǎn)，并舉例說明與減輕此類違約的成本相比，重大違約的成本并不可恥。就像生活中的許多方面一樣，安全性是一種平衡行為，既要允許人們高效地完成工作職責(zé)，又要?jiǎng)?chuàng)建終極的、高安全性的基礎(chǔ)設(shè)施，這種基礎(chǔ)設(shè)施可能非常笨重，甚至無法使用。

最近發(fā)布的關(guān)于高調(diào)安全失敗的新聞中，有一點(diǎn)值得注意，那就是即使您無法清楚地說明所需的風(fēng)險(xiǎn)和緩解策略，您也可以獲得適當(dāng)?shù)馁Y金。然而，這是一個(gè)短期現(xiàn)象，雇用錯(cuò)誤的人或者相信最新的安全設(shè)備，在不久的將來，你的頭就會(huì)被砍下來。

除非您準(zhǔn)備處理另一層開銷，否則建議將IT安全推到一邊可能會(huì)使您的生活變得復(fù)雜，因?yàn)闀?huì)有額外的管理開銷和職責(zé)沖突。雖然不能期望您了解IT安全的每一個(gè)細(xì)微差別，但是作為一個(gè)領(lǐng)導(dǎo)者，您應(yīng)該為您的組織配備優(yōu)秀的人員，并構(gòu)建一個(gè)業(yè)務(wù)案例來雇傭和保留能夠降低業(yè)務(wù)風(fēng)險(xiǎn)的人才。