首席安全官CSO在IT计划和服务上的发展

今天，尽管许多组织尚未聘佣CSO,我们看到这个职位在一些组织里已经添加到了工资总支出当中。也许令安全专业人士失望的是，到2020年首席安全官仍然不会被认为是管理团队的正式成员。虽然信息和组织的安全对一个组织非常重要，但是整个安全范式应该属于现有的风险管理系统。但是CSO们将给管理团队和董事会提供定期报告，特别是在信息安全的重要性增加的时候。

我认为今天常见的业务结构从现在到2020年不会使其有太多的改变，但是随着越来越多的组织雇佣CSO,现有的两个结构将会加强。

在一种情形下，CSO直接向CIO进行汇报，甚至可能有点脱离正式的IT组织图的一方，便于与“正式”的IT人员保持分离。CSO定期向CIO简要介绍潜在的安全问题并且与IT人员一起工作，确保任何确定的安全问题尽快得到解决。情况理想的话，CSO必须在可能有安全影响的项目上签字，包括新的系统和应用程序部署。CSO还负责执行常规的渗透测试，通常还要负责验证已经被实施的安全系统工作良好。不利的一面是有些人可能把IT看作是控制安全以及控制报告的元素。

另一方面，一些组织要求CSO对组织的主要风险管理官员有一个虚线（编者注：在外资企业的组织结构图中（organization_chart），有时一个职位上面会出现两个甚至两个以上的manager,其中有一个是直接经理，他和该职位之间用实线（solid line）连接，其他经理则用虚线（dotted line）连接。和solid-line manager之间是行政关系，和dotted-line manager 之间主要是业务关系并经常变化。 该职位必须直接报告给solid-line manager,并同时抄送dotted-line manager.）来维持有效的制衡。这个结构直接将CSO置于首席风险管理官的领域之内。在这里，CSO对CIO来说是一个外部代理，而不是内部资源，而且CSO对CIO可能有也可能没有一个虚线。责任是相似的，但CSO可能在某些IT计划和服务上有更多的否决权。

这是今天发生的一个点，但到2020年，我认为CSO的作用是帮助组织保护他们自己。在绝大多数情况下，做出的决策对组织可能有消极的安全影响。到2020年，我们将看到更多的组织充分资助CSO这个职位，当谈到服务收购的时候这些CSO们将拥有重要的权力。虽然他们将不会完全自主，但在组织可以同意新的服务合同和服务活动之前他们的签字是必需的。

.到2020年，CSO将成为一个必需的职位，无论是由于复杂性还是法规。今天逐渐扎根的这些结构和职责会随着安全功能的光度和深度的扩大以及技术环境的扩张而迅速增长。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友