每年,首席信息官(CIO)官网都会发起名为“State of the CIO”的CIO现状调查,今年的调查报告已经出炉,这些调查数据将帮助你窥悉CIO角色在今天商业环境中的演变趋势,有助于你了解2018下半年的企业信息化发展态势并确定自身企业相关议程。
此次的CIO现状调查涉及范围广泛,内容多样,但今天我们要重点来关注的是2018年到现在为止的一些企业IT安全状况,由于安全导致的违规成本不断升高,而且信息安全已逐渐成为各大公司企业战略中的关键部份,是企业关乎全局发展中不可忽视的问题。那么在企业信息化发展中,到底谁来负责信息安全?负责信息安全的人主要向谁汇报对谁负责?还有一个实质的问题是,信息安全负责人手中多少预算才合理?针对这些安全相关问题,我们也围绕企业信息安全职位的发展定位,作了一个名为-The state of IT security 2018 的调查,希望结合State of the CIO的调查报告,厘清企业信息安全规划和发展思路,起到一些借鉴作用。
企业中到底谁来负责信息安全?
查看一家公司是否确实重视某事的最好方法之一,就是看看他们负责这件事的人对公司来说有多重要。从确切的信息化任职头衔上来说,可能会让人造成一些混淆,有首席安全官(CSO),也有首席信息安全官(CISO)等,而且这些任职描述也可能因公司而异,就比如说首席安全官(CSO)负责的会有物理安全和数字信息安全的工作。
按照这种安全职位的任职方式来看,在我们调查的公司中结果有些混乱,有25%的公司拥有CISO,11%的公司拥有CSO,17%的公司安全高管中还兼任另一职位头衔,这也就意味着有近一半的公司没有专职管理人员来负责企业的信息安全工作。
首席安全官(CSO)负责整个机构的安全运行状态,既包括物理安全又包括数字信息安全。CSO负责监控、协调公司内部的安全工作,包括信息技术、人力资源、通信、合规性、设备管理以及其他组织,CSO还要负责制订安全措施和安全标准。CSO需要经常举办或参加相关领域的活动,如参与跟业务连续性、损失预防、诈骗预防和保护隐私等相关议题的活动。 首席信息安全官即CISO,负责整个机构的安全策略。
首席信息官(又称CIO,是Chief Information Officer的缩写)中文意思是首席信息官或信息主管,是负责一个公司信息技术和系统所有领域的高级官员。他们通过指导对信息技术的利用来支持公司的目标。他们具备技术和业务过程两方面的知识,具有多功能的概念,常常是将组织的技术调配战略与业务战略紧密结合在一起的最佳人选。CIO原指政府管理部门中的首席信息官,随着信息系统由后方 办公室的辅助工具发展到直接参与企业的有力手段,CIO在企业中应运而生,成为举足轻重的人物。美国企业的首席信息经理相当于副总经理直接对最高决策者负责。
负责信息安全的人向谁汇报工作?
当然,熟谙公司文化的人都会了解,通常个人在公司的内部影响力,很大程度上取决于自身向谁汇报工作而定,由此,我们就这个问题,分别向设有CSO和CISO的公司进行了一些调查,但结果却各有不同。
在设置有CSO的公司里,大约有一半公司的CSO直接向CEO或COO汇报工作,而有将近四分之一公司的CSO直接对公司CIO高管负责;而对设置有CISO的公司里,这种工作负责制几乎是相反的,有接近一半公司的CISO受CIO高管负责领导,有四分之一公司的CISO受公司其它高管负责领导。根据这种调查情况来看,至少从目前来看,似乎CSO是个更具威望的职位。而且在这两个职位之上,有时还会存在一些其它的隐形潜在领导,比如部门CIO和资产防损的CFO等。
信息安全负责人如何来规划企业信息安全发展道路?
为了实现效率最大化原则,安全需要从一开始就要融入集成到企业的规划战略中去。对于大多数公司的IT高管来说,这是公司信息化发展中最根本的事。我们针对IT安全规划和IT战略结合度的调查发现,有接近54%的受访公司表示其已进行了“高度整合”,这也侧面表明,IT安全规划已经逐渐成为IT战略发展中的重要部分。但也有近10%的公司表示,他们的安全投资或响应仅限于对当前出现的安全事件或挑战进行部署。
接受调查访问的公司IT高管深知这方面还存在很多不足之处,所以在我们问到,三年后如何整合IT安全战略与IT战略时,有82%的公司IT高管表示,会把这两者“紧密集成”,而仅有2%的公司IT高管表示不会集成整合。
公司CEO应该为企业安全做些什么?
对于信息安全方面的专业技术人员来说,抱怨高管人员对安全的松懈态度已经司空见惯,但随着网络攻击的增加,作为公司CEO的首席执行官们也会慢慢开始了解到,他们的工作与安全事件的潜在后果密切相关。在2015年的休斯顿CIO Perspectives会议上,Foley&Lardner LLP技术事务与外包业务合伙人Matthew Karlyn就表示,在这个数字经济驱动的利益环境下,数据泄露事件都会在各个公司不同程度的潜在或发生,公司必须提前做好准备,以最大限度地减少对资产、员工和客户的影响, “The entire C-suite and board is on the hot seat for security these days”(整个公司高层和董事会都需要着重考虑安全问题)。
针对这个问题,我们向受访公司CIO询问,公司CEO在来年的首要任务是什么?在排名前三的选项中,有36%的CIO表示,公司CEO在来年可能会提升企业IT和数据安全架构以防止网络攻击,这是这些CIO给出的最多选项。
信息安全处理需要流程化
在一项可能与公司CEO避免网络攻击的关注点有所冲突的数据抽样调查中,有28%的受访公司表示,“安全/风险管理”只是一项推动IT部门投资的技术举措,而其余受访者则强调企业资金可以向其它非安全业务方面倾斜。
但当我们深入问到会有什么样的业务计划会推动企业IT投资时,得到了一些不同的回应:31%的人表示“增加网络安全保护”,另外19%表示可以用“满足合规要求(如GDPR等)” –而这种遵守GDPR等规则的方法,又通常属于高级别安全管理人员的权限范围。这些不同的声音表明,公司管理人员在企业整体战略规划中,确实应该将安全视为其中的一部份进行通盘考虑,而不仅仅是把安全简单地看成是购买安装一套安全软件的方式。
公司IT安全规划需要花费多少钱?
在2015年,IDC调查表示公司IT预算的13.7%是最理想最合理的信息安全支出数额,但最近几年,网络安全挑战日益严峻,这也意味着IT安全支出只会大幅增加,公司其它方面的预算也会有所调整。
尽管如此,我们大多数受访公司还是达不到这个理想的安全支出预算:有超过一半受访公司声称,只有不到10%的花费用于信息安全,而仅有四分之一的公司安全支出在10%到20%的范围内。
公司最希望招聘什么样的安全人才?
这些调查数据会让大家觉得,信息安全是一个非常极具前景的领域,尤其对于那些想要涉足这个领域的信息安全专家来说,你的选择非常明智。经过调查我们发现,很多公司在适当的安全技能组合中,最急切最希望招聘的是那些具备安全和风险管理技能的专家型人才,有大约39%的受访公司都选择了这类型人才。在最希望招聘的top5职位中,分别为安全/风险管理人才、业务情报和数据分析专家、云集成专家、应用程序研发、企业管理软件研发。从这一点来说,安全小白们,成为高帅富的路,为你们指明了,好好学习,历精技艺吧。
