為什么CIO應(yīng)該擁有IT安全性

最近，IT安全問題一直是人們關(guān)注的焦點，最終導(dǎo)致幾位備受矚目的首席信息官因為安全漏洞而丟了工作。CIO辦公室內(nèi)外的許多人都認為IT安全是一門過于復(fù)雜的學(xué)科，不適合由CIO來管理，CIO的任務(wù)還包括從管理基礎(chǔ)設(shè)施到制定技術(shù)策略，再到監(jiān)督大規(guī)模的軟件發(fā)布。我們是否還需要另一個專門負責(zé)IT安全的c級職位，或者這個職位應(yīng)該只由CIO負責(zé)?

從CIO的角度來看，有兩個令人信服的理由將IT安全移出CIO的職責(zé)范圍。

第一個論點是，IT安全是一個專家職位，沒有一個有效的通才能夠完全理解這個職位。有一種合理的觀點認為，CIO根本沒有資格判斷一個安全事件是一個無聊的少年，還是一個數(shù)十億美元違約的第一個跡象。然而，一般的CIO也不太可能有資格討論網(wǎng)絡(luò)路由、高性能應(yīng)用程序設(shè)計或虛擬化的細微差別，很少有CIO會認為這些領(lǐng)域?qū)儆贗T之外。

這就引出了第二個不那么高尚的原因，一些CIO認為IT安全不屬于CIO的職責(zé)范圍:躲避潛在的子彈。正如最近的事件所顯示的，CIO經(jīng)常是一個引人注目的安全漏洞的受害者，并且作為最終負責(zé)安全的人，如果IT安全落在CIO的權(quán)限內(nèi)，這可以說是一個合理的結(jié)果。

有些人建議，另一個c級的頭銜，專門用于IT安全或與其他風(fēng)險領(lǐng)域相結(jié)合，是IT安全的合適位置。一些公司已經(jīng)雇傭了首席風(fēng)險官，或者首席安全官，有一個合理的理由認為IT安全屬于一個更廣泛的安全或風(fēng)險保護傘。這種方法的主要問題是，它將安全性從基礎(chǔ)設(shè)施和應(yīng)用程序決策中分離出來，從而產(chǎn)生了一種風(fēng)險，即it可以愉快地部署解決方案，而“其他人”可以進入并在事后應(yīng)用安全性。就像沒有保險庫、鎖或閉路電視的銀行很難“改造”安全性一樣，將安全性應(yīng)用于沒有考慮安全性的應(yīng)用程序和基礎(chǔ)設(shè)施也同樣困難。

當(dāng)然，一個專門的安全組織可以將自己插入到構(gòu)建-購買討論中，并嘗試將安全性注入到適當(dāng)?shù)膶υ捴?，但是這將導(dǎo)致一個繁重的過程，并且當(dāng)應(yīng)用程序從一個獨立的安全組織滑過時，這個過程很可能會失敗。

IT部門被安全問題所困擾的原因可能是，一般的IT部門沒有配備正確的人員或預(yù)算來支持對安全問題的全面響應(yīng)。與公司的任何部門一樣，它從來沒有足夠的資金或員工，但在說明與數(shù)據(jù)泄露相關(guān)的風(fēng)險和制定適當(dāng)?shù)膽?yīng)對計劃方面，它也做得很糟糕。它對安全性的關(guān)注過多地與花哨的設(shè)備和供應(yīng)商的承諾有關(guān)，這些設(shè)備和承諾取代了勤奮的人員配備和適當(dāng)?shù)娜藛T監(jiān)督。

說你低估了公司關(guān)鍵數(shù)據(jù)的風(fēng)險，并舉例說明與減輕此類違約的成本相比，重大違約的成本并不可恥。就像生活中的許多方面一樣，安全性是一種平衡行為，既要允許人們高效地完成工作職責(zé)，又要創(chuàng)建終極的、高安全性的基礎(chǔ)設(shè)施，這種基礎(chǔ)設(shè)施可能非常笨重，甚至無法使用。

最近發(fā)布的關(guān)于高調(diào)安全失敗的新聞中，有一點值得注意，那就是即使您無法清楚地說明所需的風(fēng)險和緩解策略，您也可以獲得適當(dāng)?shù)馁Y金。然而，這是一個短期現(xiàn)象，雇用錯誤的人或者相信最新的安全設(shè)備，在不久的將來，你的頭就會被砍下來。

除非您準(zhǔn)備處理另一層開銷，否則建議將IT安全推到一邊可能會使您的生活變得復(fù)雜，因為會有額外的管理開銷和職責(zé)沖突。雖然不能期望您了解IT安全的每一個細微差別，但是作為一個領(lǐng)導(dǎo)者，您應(yīng)該為您的組織配備優(yōu)秀的人員，并構(gòu)建一個業(yè)務(wù)案例來雇傭和保留能夠降低業(yè)務(wù)風(fēng)險的人才。