CIO与CISO的关系及安全团队的未来

关键要点

• 当前许多公司在领导结构方面存在困惑，讨论CIO是否应向CISO汇报。
• 大多数CISO依然向CIO报告，只有少数人直接向CTO报告。
• 有专家认为CISO应成为最高IT执行官，推动安全与业务的结合。
• 角色颠倒和新职务的出现是解决当前安全挑战的重要措施。

在当前的公司环境中，有关CIO是否应向CISO汇报以及安全团队是否应消失的问题正引发了广泛讨论。这是许多公司在领导结构上面临的大胆选择。

通常情况下，信息安全首席官（CISO）是负责保护数据和系统的最高IT执行官，向首席信息官（CIO）报告，后者负责企业目标所需的计算机系统。根据（2022年3月更新），54%的受访CISO向CIO报告，只有15%直接向CTO报告，69%的CISO被安排在技术功能下，而不是业务功能下。

然而，如果这一结构被颠倒呢？这一想法在安全社区内已有讨论。BenJohnson，Obsidian的联合创始人兼首席技术官，在RSA大会的午餐圆桌会上表示：“我们迫使CISO真正成为商业高管。他们也必须具备超强的技术能力，或者至少需要了解他们正在保护的系统。”他指出，这导致他们不得不迅速晋升。

当然，反方观点认为网络安全仍然是信息技术的一部分，CIO需要领导IT的综合使命。然而，判断哪一方是正确的，可能没有理解为何这一辩论产生来得重要。

“我认为问题的根源在于，安全仍被视为一种税，而非投资，”Johnson在午餐讨论后对SC媒体表示。“为了继续推动这一变化，我们需要继续沟通涉及企业业务中技术风险的问题。”

Johnson将这种必要的思维转变比作汽车的设计和工程过程需要从一开始就充分考虑安全，而不是事后再增加安全装备。他认为，是否将CISO变为组织中最高的IT执行官，今天的企业中的现实性并不如创建一种视角重要，即技术部署和投资应与安全框架和架构相映射，确保新技术增强总体安全态势，而非削弱或复杂化。

“安全团队，包括领导层，需要理解技术栈，而CISO一直在被要求成为商业领袖，”他说。“这意味着他们非常适合担任CIO一职，因此在CIO岗位上拥有额外的安全基因可以提高整个公司的网络防御意识和能力。”

是否需要针对每个安全问题的新职位？

角色颠倒并不是解决此问题的唯一方式。在过去几年中，商业信息安全官（BISO）已经开始出现，通常负责评估、塑造和增强公司范围内的信息安全举措，使之与关键商业目标和合规需求紧密对齐。有时BISO与CISO共存，有时则取代CISO的位置。

“这个想法有其一定的价值，”Gigamon的威胁情报与检测高级经理JoeSlowik在午餐讨论中表示。“我不喜欢说我们会发明新角色来解决每个问题。但组织的存在并非只是围绕一个安全网络；大多数情况下，你是在提供服务、生产商品，并思考安全如何能够适当支持这些功能，确保机密性、可用性和完整性的合理投资。拥有一个专门负责沟通的人可能会有帮助。”

因此，如果安全理想上要整合到整个组织中，是否真的需要一个专门的安全团队？有些人对此进行考虑，科技公司开始将安全专业人士嵌入开发团队。Johnson表示，这延伸了关于放弃质量保证团队的建议，理论上如果去掉质量保证，开发者就必须自己承担责任。

然而，他补充说，几乎每个组织仍然都有质量保证团队。

Mend（之前的WhiteSource）的首席营销官ArabellaHallawell也注意到了这种趋势，认为安全正在嵌入工程团队。然而，她怀疑这两者会完全融合，并指出团队之间的文化差异