本文来自微信公众号“数世咨询”,作者/晨雨。
随着IT相关业务需求的变化,IT领导者的角色和职责也随之变化。首席信息官(CIO)和首席信息安全官(CISO)的情况也是如此,数字化转型加剧了他们的角色转变。CISO控制数字风险的管理工作对于保护当今的企业至关重要,也是成功数字化转型不可或缺的一部分,因此CIO与CISO的角色越来越重叠。两个角色是否合并、如何合并都尚待确定,但它们肯定已经正在融合中,这凸显了网络安全从服务器机房到董事会会议室的发展轨迹。
如果你回顾20年前,很明显这两个角色已经结合了相当长一段时间。早在2000年代初,CIO的任务就是监督和管理组织的IT基础设施和应用程序,这些基础设施和应用程序通常位于公司拥有的数据中心,由使用公司计算机的工作人员从公司园区和分支机构网络进行访问。他们的任务是确保运营效率、业务连续性和风险管理,并使IT与业务目标保持一致的同时控制好成本。然而,随着数字化转型、自带设备(BYOD)、云计算和更多远程访问等IT趋势,直接管理基础设施和硬件的CIO越来越少,他们现在充当的是IT服务的经纪人。
虽然CIO仍然负责制定和实现技术目标并控制预算,但他们的主要任务是确定公司如何利用技术进行创新,并采购、管理相关资源。尽管许多公司仍然保留着庞大的本地IT资产,但他们进行数字化转型只是时间问题。不管怎样,随着时间的推移,CIO角色的实操性显然已经变得不那么强了。
另一方面,自2000代初以来,为了应对不断出现的合规要求、数据泄露和新兴网络安全威胁,CISO的地位不断提高,但需要与CIO更加协同工作。虽然数据泄露可能迫使企业越来越关注安全性,但为其提供资金的却是合规性要求。从HIPAA和PCI DSS再到GDPR、SOC 2等,合规性对于CISO来说一直是一把双刃剑。
合规性增强了网络安全团队的作用,使他们在IT和整个业务中更加引人注目,为CISO提供了更多的预算和更大的支出自由度。然而,他们在合规性方面付出的所有努力并没有阻止网络钓鱼、勒索软件、内部人员的重大违规和/或恶意行为。起初这强化了“安全是财务和运营的陷阱”的看法,因此迫使CISO(其中许多人偏向技术)开始“讲业务语言”。
与此同时,数字安全和合规性在董事会层面的可见性和重要性迫使CIO们(通常是所有数字化事物的主要代言人)越来越多地参与了解所有的网络安全问题。这也进一步模糊了角色间的界限。
CISO与CIO角色融合面临的挑战
数字化转型提供的是从根本上改善网络安全的机会,或者至少是“安全左移”的机会。数字化转型固有的战略和战术决策都要求CISO与CIO比以往任何时候都更加步调一致。CIO虽然掌舵,但CISO不再是事后诸葛亮,而是从一开始就积极主动充分参与运营决策的合作伙伴。
随着公司继续拥抱云、软件即服务(SaaS)和远程办公作,最重要的问题是,接下来将如何发展?在这一点上,不存在也不应该有单一、容易的路径。
两个角色如何结合在一起(或者说是否应该结合在一起)取决于很多因素,例如公司规模、所处行业、组织架构、企业文化、现有IT环境和未来的数字化转型计划等等。一些安全领导者认为“结合”将进展顺利,还有一些人建议将其分为两个不同的职能:一个面向业务,专注于风险管理和合规性;另一个技术性更强,专注于威胁防护、检测和响应。
无论这两个角色如何演变,这些转变都表明,CISO与CIO之间的协调协作对于数字化转型的成功越来越重要。