每次發(fā)生數(shù)據(jù)泄露事故，都暴露了一家企業(yè)的安全做法中存在的問題。在Target泄露事故中，最有趣的的發(fā)現(xiàn)是，Target公司所有安全責任都在***信息官(CIO)身上，該公司甚至都沒有***安全官(CSO)。

創(chuàng)新互聯(lián)建站自2013年起，先為蘇州等服務建站，蘇州等地企業(yè)，進行企業(yè)商務咨詢服務。為蘇州企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題。

毫不奇怪，當Target公司CIO兼技術服務執(zhí)行副總裁Beth Jacob上個月辭職時，很多人提出的***個問題是CIO Jacop是否應該承擔責任，因為運行IT基礎設施(通常是CIO的責任)和保護信息(通常是CSO的責任)涉及不同的責任，這兩者可以是互補的，但經(jīng)常存在分歧。

首先，任何規(guī)模的企業(yè)(特別是Target這樣規(guī)模的企業(yè))需要有一個負責安全的高管，并且，安全部門需要在董事會有一席之地。如果安全完全交給IT部門(其主要職責是運行可靠的基礎設施)，可能會出現(xiàn)糟糕的決策和泄露事故。

現(xiàn)在，企業(yè)沒有CSO就像是足球隊沒有后衛(wèi)。為了讓企業(yè)取得成功，他們必須擁有可靠的基礎設施以及對信息的適當保護。如果企業(yè)只有CIO而沒有CSO，沒有人會側重于安全性，壞的事情將會發(fā)生。缺乏CSO意味著缺乏安全性。

最有可能的情況是，Target有一個安全團隊，對所有安全問題大喊大叫。但管理層沒有人聽他們的投訴或者幫助他們解決問題。工程師需要能夠與CEO進行溝通，CSO就是他們的溝通渠道。如果沒有CSO，關鍵的安全信息無法傳達到管理層。筆者猜測，如果Target高管收到了關于安全的正確信息，他們可能會作出不同的決定，這個故事可能會有一個快樂的結局。

平等的代表權

CIO和CSO應該是盟友，在董事會有著平等的代表權。通常情況下，CIO直接向***運營官報告，CSO向CFO報告。COO和CFO直接向CEO報告。但無論組織結構如何，CIO和CSA必須有著不同的報告結構。而且，為了讓CIO和CSO建立有效的工作關系，他們必須有明確的責任界限。

通常情況下，***的做法是，讓CSO定義適當?shù)陌踩?，CIO來部署安全，審計員來驗證這種安全性的實現(xiàn)。CSO定義的安全性應該基于企業(yè)可接受水平的風險，提供明確的指導方針，并提供衡量合規(guī)性的簡單方法。

隨著越來越多的安全泄露事故被公開，我們應該更容易說服高管他們需要一個CSO。真正的問題是，很多CIO不希望有一個CSO，因為如果由他們控制IT基礎設施的所有方面， 他們能夠更容易地完成工作。這些內部政策創(chuàng)造了這種局面，即CIO不會游說高管設置一個CSO。因此，企業(yè)需要另外的人來告訴***執(zhí)行官，“你對企業(yè)的安全水平感到滿意嗎?你是否收到了正確的安全指標來作出決定?”

在很多情況下，***執(zhí)行官想要創(chuàng)建一個CSO的職位，但CIO說服他們，他們并不需要CSO。雖然他們有著良好的意圖，往往是CIO在抵觸CSO，因為CSO減弱他們控制權，可能使他們的工作變得更加困難。筆者的預測是，在未來五年內，大多數(shù)企業(yè)都會有一個CSO，直接向高管報告。

在你的企業(yè)，CIO和CSO是什么關系呢?他們是盟友還是敵人呢?

名稱欄目：在您的企業(yè)中CIO和CSO是盟友還是敵人?
文章路徑：http://uogjgqi.cn/article/cosjsoe.html