CISO和CIO應如何共享網絡安全所有權

最近ISACA對近3,700名全球網絡安全專業人員的調查發現，雖然近一半(48%)的網絡安全團隊直接向CISO報告，但四分之一向CIO報告。盡管報告關系存在差異，但調查顯示CISO或CIO之間在安全職能所有權方面沒有顯著差異，涉及網絡攻擊增加或減少的觀點、檢測和響應網絡威脅的能力以及網絡犯罪報告。

然而，該報告確實發現了與網絡風險評估的執行估值、董事會如何優先考慮網絡安全以及戰略調整相關的差異。更重要的是，該報告還指出了一種越來越多的行業慣例，即CISO向CIO以外的任何人報告，尤其是當CISO的范圍包括治理、風險和合規性、業務連續性/災難恢復、欺詐、信任以及安全或危機時管理。

由于組織的規模、部門和監管要求等原因，CIO和CISO對網絡安全問題的責任可能有所不同。盡管如此，隨著網絡安全與更廣泛的業務元素越來越緊密地交織在一起，誰戴什么類型的網絡安全所有權以及為什么這樣的問題變得越來越重要。

01網絡安全責任：CISO與CIO

Lightico的CIO Omri Braun以這種方式總結了大多數CIO和CISO的網絡安全職責之間的區別：“CIO更專注于確保使用正確的工具來最大限度地提高效率以及識別影響公司和不斷尋找機會使用和生產更好的技術。CISO負責確保主動保護數據安全性、完整性等。”

Orange Cyberdefense的全球首席信息安全官Richard Jones對此表示贊同。“通常，CISO的角色是從運營角度看待安全，保護企業免受網絡威脅。另一方面，CIO更注重通過設計將安全性構建到企業更廣泛的技術堆棧和正在進行的數字化轉型項目中，以提高彈性、提升用戶體驗并最大限度地提高效率。”

網絡安全架構師Tee Patel甚至說，就安全投資回報率而言，CIO經常被迫“走黨派路線”，而CISO通常需要更加獨立，專注于保護組織本身。“讓組織賺錢并實現目標(CIO)與保持安全(CISO)是現代CIO和CISO職位之間的顯著差異。”

02CISO的網絡安全職責

Zoom的CISO Jason Lee表示，他的主要重點是保護關鍵信息，包括客戶數據、員工數據和源代碼。“在安全方面，考慮大局很重要。這包括查看與業務相關的第三方并評估如何最好地管理任何風險。我還負責盡可能多地武裝員工，以確保他們為安全威脅做好準備并受到保護。”

對于HP Inc.的CISO Joanna Burkey來說，駕馭混合工作時代以保護企業是當前安全工作不可或缺的一部分。“在過去18個月左右的遠程在家工作模式中，網絡安全很容易對員工增加更多限制，因為工作通常在沒有傳統本地基礎設施保護的情況下進行。” 然而，這些安全政策和限制是為遠程工作是例外而不是常態的時候設計的，需要通過新的視角來看待，她說。“CISO現在需要考慮其他降低風險的方法如何仍然可以保護企業，但也承認現實生活中，尤其是在全球大流行之后，并不總是很好地遵守政策。”

Richard Jones補充說，管理由動態網絡威脅格局和數字化轉型浪潮相結合引起的過載是現代CISO角色的另一個組成部分。“網絡安全現在需要融入企業運營的各個方面，并成為從CEO到入門級畢業生的每個人的首要考慮。”因此，CISO必須從頭開始為公司數字環境的各個方面注入安全性，他說，確保它從數字項目開始就融入進來，最終減少安全團隊面臨的警報量，讓他們能夠更好地利用他們的技能和資源。

03CIO的網絡安全職責

特許信息安全協會首席執行官Amanda Finch說，雖然CISO負責網絡安全的各種日常和前瞻性規劃，但在大多數組織中，責任往往由CIO負責，CIO向CEO和董事會報告。“因此，CIO不能完全將責任交給CISO。相反，他們需要保持對安全戰略的認識，并確保它不會使組織的整體戰略處于危險之中，反之亦然。”

Tenable的CIO Brad Pollard表示，當今的CIO有一系列基于可用性、性能、預算和項目及時交付的安全責任。“CIO支持并支持組織內的每個業務部門。在這樣做時，他們繼承了每個業務部門的信息安全要求。”

例如，CISO可能負責定義安全參數，例如漏洞修復或訪問控制的服務級別協議，但CIO有責任為所有業務部門滿足這些要求，涵蓋公司的所有技術，波拉德說。“現代CIO面臨的主要網絡安全挑戰是滿足業務需求，特別是保持預算和進度，同時保持安全的環境。”

埃塞克斯大學的CIO Jots Sehmbi表示，CIO的角色不僅僅是運營傳統業務，它越來越多地包括實施新技術，為組織提供數字能力。“其中一些技術對組織來說可能是新穎的（例如，RPA、人工智能、物聯網）并存在潛在風險，例如數據的架構方式。因此，CIO有責任深入了解任何新技術的網絡安全趨勢。”

04沖突與合作

Lightico的CIO Omri Braun表示，鑒于世界不完美的現實，CISO和CIO不同的網絡安全責任和目標可能會導致沖突。但是，他強調需要凝聚力，以確保“正在使用具有前瞻性的技術，該技術受到一層安全和安全實踐的保障，不會危及公司、其數據或客戶的數據。”

Jones說，CIO和CISO不能孤立地看待自己，他們必須明白，雖然他們可能有不同的目標，但他們走的是同一條路。“這兩個角色之間的協作和溝通是現代企業中的關鍵。CISO和CIO必須合作利用SD-WAN、SASE和零信任等技術和方法，以支持這些新的安全、高效的工作方式，并且不會影響可用性。”他補充說，CISO和CIO也必須意識到彼此的約束并在其中運作。

Glover引用了此處涉及的監管問題，強調了國際監管社區中一個新出現的問題，監管機構現在認識到有責任了解其受監管實體提供的網絡安全保證水平。“同一受監管行業的CIO和CISO之間需要加強合作。監管機構會做他們認為正確的事情，但通常會從當地的角度看待問題。這種積極影響與CIO和CISO的歷史角色大不相同，但是，如果謹慎而富有同情心地進行，將降低業務成本，讓更多資源集中在控制而不是報告上。

Lee補充說，網絡安全在業務運營中的發展作用正在改變CIO和CISO之間的凝聚力，這是他在Zoom親身體驗過的。“我們都必須優先考慮網絡安全并應對日益增加的威脅。在做出任何決定時，安全性必須是我們的首要考慮因素。保持參與彼此的戰略和關鍵舉措至關重要。即使我們認為不需要對方來確保我們保持在同一頁面上并保持強烈的一致性，我們也會不斷地在我們的策略中相互參與。這意味著我們的角色比以往更加緊密，合作變得更加重要。”

05網絡安全所有權的未來

展望未來，專家預測CISO和CIO的網絡安全職責將發生顯著變化。“我們將看到CIO和CISO努力使安全成為具有一致性的標準、行為和執行的可信來源——就像法律、醫學和會計等職業一樣——承擔同樣的責任，”Finch說。

Zscaler的CISO Marc Lueck認為CIO在未來幾年將有一段有趣的網絡安全之旅。“要么角色和個人將擅長平衡成本和收益模式截然不同的兩種截然不同的基本服務，要么CIO將負責IT安全交付，由不再向他們報告的CISO管理并可能執行。兩種模式都將存在，并且在合適的人擔任這些角色時都會取得成功。”他指出，對于CIO而言，網絡安全失敗“目前并不令人難忘”，但對于CIO而言，網絡安全將變得與效率和成本削減技能一樣重要。

Pollard補充說，就像當代業務部門通過SaaS平臺承擔一些傳統IT職責一樣，CIO將更有責任在業務部門內尋找安全專家。“這些專家不僅需要知道如何保護所使用的特定技術，還需要了解對特定業務部門構成最大風險的威脅的態勢感知，”他補充道。

Glover預測CIO和CISO的共同職責將在第三方連接和并購領域發生變化，兩者都需要共同努力建立有意義的流程，以增加安全性和保障。“他們將共同努力，確保他們成為企業內重大舉措的一部分，并在他們之間擁有實力和權威，就第三方關系以及收購和合并做出明智、深思熟慮的聲明。”