信息化觀察網(wǎng)

對數(shù)據(jù)泄露的擔(dān)憂，遵守數(shù)據(jù)隱私法規(guī)以及將安全工作與IT部門分離的舉動，這些都在提升首席信息安全官這一角色的重要性。

作為麥當(dāng)勞公司的首席信息安全官，蒂莫西·揚布洛德(Timothy Youngblood)的職責(zé)范圍很廣且有影響力，這與幾年前像他這樣的大多數(shù)高管有很大不同。

作為這家快餐業(yè)巨頭的首席安全執(zhí)行官，揚布洛德的職責(zé)不僅是在全球范圍內(nèi)保護麥當(dāng)勞品牌，還包括推進和支持業(yè)務(wù)計劃和目標(biāo)。他向高層領(lǐng)導(dǎo)匯報工作，具有董事會級別的重要性和責(zé)任心，并在公司的關(guān)鍵業(yè)務(wù)決策中有話語權(quán)。

揚布洛德說：“10到15年前，首席信息安全官的角色更像是一個獨角獸。”“很少有公司配有首席信息安全官，甚至不知道首席信息安全官是做什么的。”

揚布洛德表示，如果已配有負(fù)責(zé)安全工作的主管，它通常會向基礎(chǔ)架構(gòu)副總裁或類似角色匯報工作，并且僅限于負(fù)責(zé)圍繞訪問控制之類的業(yè)務(wù)工作。如今，首席信息安全官不僅要向董事會匯報工作，而且還是其中的一員。“由于今天的頭條新聞，大多數(shù)董事會都想在與首席信息官溝通之前先與負(fù)責(zé)安全工作的主管進行對話。”

首席信息安全官的快速發(fā)展

由于人們對數(shù)據(jù)隱私和保護方面的期望不斷變化，首席信息安全官的角色正在迅速發(fā)展。數(shù)據(jù)泄露、法規(guī)遵從性和第三方風(fēng)險管理都已成為人??們關(guān)注的重點。

經(jīng)歷過數(shù)據(jù)泄露的組織可能需要付出巨大的代價和造成品牌損害。Equifax公司在2017年的數(shù)據(jù)泄露導(dǎo)致其損失3.81億美元進行違約賠償。此外，美國聯(lián)邦貿(mào)易委員會(FTC)強制性要求該公司在未來五年內(nèi)投入至少10億美元用于安全工作的改進。

諸如歐盟的《通用數(shù)據(jù)保護條例》(GDPR)和《加利福尼亞消費者隱私法案》(CCPA)等法規(guī)正在通過要求組織機構(gòu)對客戶和消費者數(shù)據(jù)實施新的、更細致的控制措施來對他們施加壓力。由于供應(yīng)鏈和第三方之間的漏洞而導(dǎo)致的數(shù)據(jù)泄露，使企業(yè)面臨承擔(dān)新的責(zé)任，迫使他們做出反應(yīng)。

首席信息安全官正處于如此多的變化當(dāng)中，并且越來越多地被賦予責(zé)任來制定隱私風(fēng)險計劃，管理第三方風(fēng)險和供應(yīng)商。對于許多人來說，這些都是新領(lǐng)域，他們幾乎沒有經(jīng)驗，或者沒什么現(xiàn)有技術(shù)可以借鑒，布魯斯·波特(Bruce Potter)表示。他是Expel公司首席信息安全官，是奧巴馬總統(tǒng)“增強國家網(wǎng)絡(luò)安全委員會”成員的高級技術(shù)顧問。

波特說：“我認(rèn)為，首席信息安全官現(xiàn)在所處的環(huán)境與過去迥然不同。”“從很多方面來說，我們是一邊逃離一邊在建造飛機。”

不同的風(fēng)險和監(jiān)管環(huán)境

例如，許多組織機構(gòu)發(fā)現(xiàn)自己必須實施用于數(shù)據(jù)映射和跟蹤數(shù)據(jù)流的新功能，這樣它們才能符合《通用數(shù)據(jù)保護條例》和《加利福尼亞消費者隱私法案》的要求，從而使消費者能夠更好地管理自己的個人資料。波特表示，很少有組織機構(gòu)具有這種能力，因為到目前為止，他們還不需要知道個人資料在其整個企業(yè)中所保存的位置。

同樣，這些法規(guī)中對數(shù)據(jù)最小化的要求與許多組織機構(gòu)近年來實施的數(shù)據(jù)挖掘和數(shù)據(jù)分析舉措背道而馳，波特表示。他補充說：“您讓首席技術(shù)官和首席信息官出去收集盡可能多的數(shù)據(jù)，然后將其放入數(shù)據(jù)倉庫中，然后讓業(yè)務(wù)變得更智能。”“沒有人真正考慮過隱私問題，因為根本沒有處罰措施。”

第三方風(fēng)險管理和供應(yīng)商管理是另外的領(lǐng)域，會提高首席信息安全官的重要性，以及使其變得更引人注目。如今，首席信息安全官的一個不錯且不斷增加的職責(zé)是為其組織機構(gòu)審核供應(yīng)商的產(chǎn)品和服務(wù)。最近的很多數(shù)據(jù)泄露事件都是利用攻擊合作伙伴網(wǎng)絡(luò)中的漏洞引發(fā)的，而且安全性組織越來越多地被要求來查找和清除潛在問題。

例如，揚布洛德最近就身處麥當(dāng)勞公司的三筆技術(shù)收購中。波特說：“首席信息安全官的角色已經(jīng)發(fā)生了巨大變化，成為了可以與哪些公司開展業(yè)務(wù)的仲裁者。”他最近接觸的一些安全性組織將40%的時間用于管理第三方風(fēng)險。他說：“這使他們符合采購等方面的條件，而在過去他們是不符合采購條件的。”

在這一領(lǐng)域，首席信息安全官在整個企業(yè)中變得越來越引人注目和有影響力。從僅限于主要負(fù)責(zé)運營和技術(shù)工作的一個角色，安全主管們第一次發(fā)現(xiàn)自己在越來越多的公司中擔(dān)任更廣泛和更具影響力的角色。

PAS Global公司的前首席信息安全官、匈牙利石油公司MOL Group的前首席安全主管賈森•黑沃德-格勞(Jason Haward-Grau)表示，首席安全主管正在獲得更多機會來影響、合作和支持整個企業(yè)的變革。“我認(rèn)為，各個行業(yè)的許多首席信息安全官都感到了來自同事、同行以及自身的期望。”

不斷變化的環(huán)境要求首席信息安全官對自身角色進行不同的思考。以前，首席信息安全官具有運營和技術(shù)能力就足夠了，如今，他必須能夠展示出具有商業(yè)頭腦，同時清楚安全性工作如何創(chuàng)造價值和商機。

首席信息安全官需要能夠與業(yè)務(wù)主管、高管層和董事會合作;理解業(yè)務(wù)需求;成為新計劃的推動者，以及成為不同業(yè)務(wù)職能部門(例如IT部門和運營技術(shù)部門)之間的仲裁者。黑沃德-格勞說：“首席信息安全官現(xiàn)在不僅需要了解安全性、風(fēng)險和合規(guī)性，還需要了解對其業(yè)務(wù)、客戶以及目前的供應(yīng)商群體的潛在后果和影響的細微差別。”

首席信息安全官的匯報工作途徑成為關(guān)注重點

首席信息安全官角色的快速變化迫使人們需要解決有關(guān)其匯報工作途徑的一些長期存在的問題。傳統(tǒng)上，首席信息安全官向首席信息官、首席技術(shù)官或在某些情況下向基礎(chǔ)架構(gòu)主管匯報工作，這是因為他主要被視為具有運營性和技術(shù)性角色。

一段時間以來，很多人認(rèn)為，要想真正管理風(fēng)險和推動變革，因為存在利益沖突，首席信息安全官的角色必須與IT部門分離。盡管首席信息官通常會基于維護系統(tǒng)正常運行和采用新技術(shù)而衡量其成績和受到獎勵，但首席信息安全官則專注于保護公司資產(chǎn)和降低風(fēng)險。

近年來，出現(xiàn)了將安全治理工作與運營工作分離開來的趨勢。一些首席信息安全官已開始向首席執(zhí)行官、首席財務(wù)官、首席運營官，甚至總法律顧問匯報工作。揚布洛德表示，由于在管理網(wǎng)絡(luò)安全等領(lǐng)域中人們對該角色的運營預(yù)期，絕大多數(shù)首席信息安全官繼續(xù)向首席信息官匯報工作。他說：“如果將這些運營職責(zé)轉(zhuǎn)給其他主管，您將會看到首席信息安全官更多地關(guān)注于治理和戰(zhàn)略工作。”

首席信息安全官負(fù)責(zé)的許多安全功能正在整合到組織機構(gòu)所購買的技術(shù)中。揚布洛德表示，例如，大多數(shù)網(wǎng)絡(luò)路由器和邊緣設(shè)備已經(jīng)集成了安全功能，可以由基礎(chǔ)架構(gòu)和運營團隊進行管理。同樣，身份管理工作也正變得更成為一個交鑰匙項目，具有高度可操作性和高度可重復(fù)性，而且基礎(chǔ)架構(gòu)團隊可以處理。他表示，首席信息安全官越能擺脫這些崗位職責(zé)，就越能承擔(dān)起真正的治理角色。

對于首席信息安全官而言，自然的發(fā)展方向是成為首席信息風(fēng)險官(CIRO)角色，與財務(wù)、戰(zhàn)略、運營和其他團隊進行緊密合作。揚布洛德表示，預(yù)計策略管理職能也將交給首席信息風(fēng)險官。他說：“我們目前看到，這個角色更多地出現(xiàn)在金融服務(wù)行業(yè)中，但它也將更多地出現(xiàn)在其他行業(yè)中。”