兩位CIO解釋了他們是如何看待與安全部門的關系的，以及為什么首席信息安全官(CISO)需要與CIO密切合作，無論他們是否需要向CIO報告。

CSO或CISO向CEO而不是CIO報告的情況并不少見。雖然每家公司都有自己的組織和報告結(jié)構(gòu)，但是CSO的位置和他們的報告對象無疑會影響公司內(nèi)部的關系。這包括了CISO和CIO之間的關鍵關系。

[[283195]]

在倫敦舉行的英國CIO峰會上，兩位CIO討論了他們與安全的關系，以及他們的角色是如何與安全功能協(xié)同工作的。

在英國，很少有CSO能夠與CIO并肩同行

根據(jù)英國CIO 100調(diào)查的結(jié)果，在英國大約65%的公司有一個CISO或類似的需要向CIO進行職能報告的人。只有12%的組織認為CISO與CIO是同級的，這個比例在近幾年增長了三倍之后，在去年的基礎上略有下降了。

這一比例落后于美國。在美國，根據(jù)2019年的CIO狀況調(diào)查發(fā)現(xiàn)，近四分之一的CISO或類似機構(gòu)會向首席執(zhí)行官匯報--其中有43%的CSO和18%的CISO--只有45%的CISO需要向CIO匯報。然而，無論他們坐在哪里，CISO都應該努力讓CIO也站在他們這邊。

CIO/CSO的協(xié)作是關鍵

作為News Corp全球業(yè)務的首席信息官，Sabah Carter負責監(jiān)督該公司在班加羅爾的設施，包括數(shù)據(jù)工程、產(chǎn)品工程、安全和基礎設施運營，以及公司所有旗艦產(chǎn)品的運營，包括News UK、Dow Jones & Company和News Australia。其他業(yè)務部門也有自己的CIO和CISO，他們需要負責不同的地理位置、服務和產(chǎn)品線，她將其描述為一個“高度的矩陣結(jié)構(gòu)”。

“我發(fā)現(xiàn)解決這個問題的最好辦法就是劃定非常嚴格的界限。這周我和我的CISO以及CISO小組進行了一次非常有趣的對話，討論誰應該對此負責，我最后說，‘好吧，如果班加羅爾出了什么事，而且不太對勁，我的命就保不住了。所以，給我一份CISO報告肯定有利于這種控制，我認為如果沒有它，我就可能會失去這種控制。”

除了向Carter報告，她的CISO還需要向總法律顧問報告，這對預算和促進董事會的認識等方面都有好處。“如果(CISO)是為首席技術(shù)官(CTO)或首席信息官(CIO)工作，那么這個人就有責任在(CIO)的預算范圍內(nèi)解決一切問題，因為他們會從CEO那里得到很多壓力，”她表示。“如果那個人真的被安插到了首席執(zhí)行官或首席法律顧問的位置上，那么這種風險就會在董事會層面上得到分擔，而在那個層面上，你很難說不。你不會覺得你真的必須為安全開支辯護。”

“我覺得在我的預算范圍內(nèi)，我控制了很多交付安全方面的問題，但是如果它可能會影響到全球的潛在品牌，那么其他人就必須提出一個案例和董事會層面的問題，這是非常有幫助的，”Carter說。

Carter表示，無論報告結(jié)構(gòu)如何，重要的是合作與協(xié)作。“如果你有一種文化，在這種文化中，人們會因為為彼此幫助而得到獎勵，那么你就會有這個問題，”她說。“如果CISO的工作是進行評估，指出網(wǎng)絡安全哪里不好，或者我們在哪些其他方面做得不好，那么顯然你是在一個敵對的環(huán)境中建立起來的，這是兩個對立的因素。”

“不久前，有人宣傳說，他們想要對所有不同的首席信息官進行全公司范圍的安全評估，我們都拒絕了，因為我們不需要有人給我們的作業(yè)打分，”Carter說。“這絕對是錯誤的設置。”

相反，Carter認為CIO和CISO應該一起尋找解決方案，而不是相互指責。“我不希望任何人來找我，告訴我他們發(fā)現(xiàn)了同事的一些東西，因為他們的回答總是，‘為什么會這樣?你有什么計劃嗎?你們先不要來找我，等你們有了計劃再一起來。’”

CSO需要對CIO表現(xiàn)出信任

CSO需要意識到，一些CIO可能不會把新安全主管的到來視為完全積極的事情--尤其是在這個職位是最近才設立的時候--如果他們以前只負責安全的話。“我想知道處于同一級別的平行模式是否真的會削弱CIO的角色，”Alan Hill說，他是?？巳卮髮W的信息和數(shù)字總監(jiān)，“因為我們應該以企業(yè)的最大利益為出發(fā)點來運營，而且我覺得我能夠親自來平衡這些風險的技術(shù)解決方案和商業(yè)風險。”

因為學校沒有CSO，所以Hill也在負責著安全的工作。該大學也確實有一個資深的信息風險負責人(教務長，相當于副首席執(zhí)行官)，他負責大學內(nèi)部的風險管理，他將允許?？巳貙⑸虡I(yè)和技術(shù)風險合并到一個地方。他認為，至少對于較小的組織來說，如果已經(jīng)有了CIO，通常就不再需要CISO了。

“這種觀察威脅、分析威脅并把它們運用到商業(yè)活動中的能力，以及圍繞這些威脅提出政策、指導和投資的能力，就是我的職責。我認為CIO們應該完全能夠明白這一點。如果我處于那個位置，而他們又給了我一個CISO，我會感到有點委屈。這意味著他們不再信任我的工作了。”

“這對人們來說是個挑戰(zhàn)，”Hill繼續(xù)說道。“究竟是不是因為我們作為CIO的工作做得還不夠好，所以你才需要一個CISO和一個CSO，還是我沒有抓住要點?”