作為麥當(dāng)勞公司的首席信息安全官,蒂莫西·揚(yáng)布洛德(TimothyYoungblood)的職責(zé)范圍很廣且有影響力,這與幾年前像他這樣的大多數(shù)高管有很大不同。
作為這家快餐業(yè)巨頭的首席安全執(zhí)行官,揚(yáng)布洛德的職責(zé)不僅是在全球范圍內(nèi)保護(hù)麥當(dāng)勞品牌,還包括推進(jìn)和支持業(yè)務(wù)計(jì)劃和目標(biāo)。他向高層領(lǐng)導(dǎo)匯報(bào)工作,具有董事會(huì)級(jí)別的重要性和責(zé)任心,并在公司的關(guān)鍵業(yè)務(wù)決策中有話語(yǔ)權(quán)。
揚(yáng)布洛德說(shuō):“10到15年前,首席信息安全官的角色更像是一個(gè)獨(dú)角獸。”“很少有公司配有首席信息安全官,甚至不知道首席信息安全官是做什么的。”
揚(yáng)布洛德表示,如果已配有負(fù)責(zé)安全工作的主管,它通常會(huì)向基礎(chǔ)架構(gòu)副總裁或類似角色匯報(bào)工作,并且僅限于負(fù)責(zé)圍繞訪問(wèn)控制之類的業(yè)務(wù)工作。如今,首席信息安全官不僅要向董事會(huì)匯報(bào)工作,而且還是其中的一員。“由于今天的頭條新聞,大多數(shù)董事會(huì)都想在與首席信息官溝通之前先與負(fù)責(zé)安全工作的主管進(jìn)行對(duì)話。”
首席信息安全官的快速發(fā)展
由于人們對(duì)數(shù)據(jù)隱私和保護(hù)方面的期望不斷變化,首席信息安全官的角色正在迅速發(fā)展。數(shù)據(jù)泄露、法規(guī)遵從性和第三方風(fēng)險(xiǎn)管理都已成為人??們關(guān)注的重點(diǎn)。
經(jīng)歷過(guò)數(shù)據(jù)泄露的組織可能需要付出巨大的代價(jià)和造成品牌損害。Equifax公司在2017年的數(shù)據(jù)泄露導(dǎo)致其損失3.81億美元進(jìn)行違約賠償。此外,美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)強(qiáng)制性要求該公司在未來(lái)五年內(nèi)投入至少10億美元用于安全工作的改進(jìn)。
諸如歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)和《加利福尼亞消費(fèi)者隱私法案》(CCPA)等法規(guī)正在通過(guò)要求組織機(jī)構(gòu)對(duì)客戶和消費(fèi)者數(shù)據(jù)實(shí)施新的、更細(xì)致的控制措施來(lái)對(duì)他們施加壓力。由于供應(yīng)鏈和第三方之間的漏洞而導(dǎo)致的數(shù)據(jù)泄露,使企業(yè)面臨承擔(dān)新的責(zé)任,迫使他們做出反應(yīng)。
首席信息安全官正處于如此多的變化當(dāng)中,并且越來(lái)越多地被賦予責(zé)任來(lái)制定隱私風(fēng)險(xiǎn)計(jì)劃,管理第三方風(fēng)險(xiǎn)和供應(yīng)商。對(duì)于許多人來(lái)說(shuō),這些都是新領(lǐng)域,他們幾乎沒(méi)有經(jīng)驗(yàn),或者沒(méi)什么現(xiàn)有技術(shù)可以借鑒,布魯斯·波特(BrucePotter)表示。他是Expel公司首席信息安全官,是奧巴馬總統(tǒng)“增強(qiáng)國(guó)家網(wǎng)絡(luò)安全委員會(huì)”成員的高級(jí)技術(shù)顧問(wèn)。
波特說(shuō):“我認(rèn)為,首席信息安全官現(xiàn)在所處的環(huán)境與過(guò)去迥然不同。”“從很多方面來(lái)說(shuō),我們是一邊逃離一邊在建造飛機(jī)。”
不同的風(fēng)險(xiǎn)和監(jiān)管環(huán)境
例如,許多組織機(jī)構(gòu)發(fā)現(xiàn)自己必須實(shí)施用于數(shù)據(jù)映射和跟蹤數(shù)據(jù)流的新功能,這樣它們才能符合《通用數(shù)據(jù)保護(hù)條例》和《加利福尼亞消費(fèi)者隱私法案》的要求,從而使消費(fèi)者能夠更好地管理自己的個(gè)人資料。波特表示,很少有組織機(jī)構(gòu)具有這種能力,因?yàn)榈侥壳盀橹梗麄冞€不需要知道個(gè)人資料在其整個(gè)企業(yè)中所保存的位置。
同樣,這些法規(guī)中對(duì)數(shù)據(jù)最小化的要求與許多組織機(jī)構(gòu)近年來(lái)實(shí)施的數(shù)據(jù)挖掘和數(shù)據(jù)分析舉措背道而馳,波特表示。他補(bǔ)充說(shuō):“您讓首席技術(shù)官和首席信息官出去收集盡可能多的數(shù)據(jù),然后將其放入數(shù)據(jù)倉(cāng)庫(kù)中,然后讓業(yè)務(wù)變得更智能。”“沒(méi)有人真正考慮過(guò)隱私問(wèn)題,因?yàn)楦緵](méi)有處罰措施。”
第三方風(fēng)險(xiǎn)管理和供應(yīng)商管理是另外的領(lǐng)域,會(huì)提高首席信息安全官的重要性,以及使其變得更引人注目。如今,首席信息安全官的一個(gè)不錯(cuò)且不斷增加的職責(zé)是為其組織機(jī)構(gòu)審核供應(yīng)商的產(chǎn)品和服務(wù)。最近的很多數(shù)據(jù)泄露事件都是利用攻擊合作伙伴網(wǎng)絡(luò)中的漏洞引發(fā)的,而且安全性組織越來(lái)越多地被要求來(lái)查找和清除潛在問(wèn)題。
例如,揚(yáng)布洛德最近就身處麥當(dāng)勞公司的三筆技術(shù)收購(gòu)中。波特說(shuō):“首席信息安全官的角色已經(jīng)發(fā)生了巨大變化,成為了可以與哪些公司開(kāi)展業(yè)務(wù)的仲裁者。”他最近接觸的一些安全性組織將40%的時(shí)間用于管理第三方風(fēng)險(xiǎn)。他說(shuō):“這使他們符合采購(gòu)等方面的條件,而在過(guò)去他們是不符合采購(gòu)條件的。”
在這一領(lǐng)域,首席信息安全官在整個(gè)企業(yè)中變得越來(lái)越引人注目和有影響力。從僅限于主要負(fù)責(zé)運(yùn)營(yíng)和技術(shù)工作的一個(gè)角色,安全主管們第一次發(fā)現(xiàn)自己在越來(lái)越多的公司中擔(dān)任更廣泛和更具影響力的角色。
PASGlobal公司的前首席信息安全官、匈牙利石油公司MOLGroup的前首席安全主管賈森•黑沃德-格勞(JasonHaward-Grau)表示,首席安全主管正在獲得更多機(jī)會(huì)來(lái)影響、合作和支持整個(gè)企業(yè)的變革。“我認(rèn)為,各個(gè)行業(yè)的許多首席信息安全官都感到了來(lái)自同事、同行以及自身的期望。”
不斷變化的環(huán)境要求首席信息安全官對(duì)自身角色進(jìn)行不同的思考。以前,首席信息安全官具有運(yùn)營(yíng)和技術(shù)能力就足夠了,如今,他必須能夠展示出具有商業(yè)頭腦,同時(shí)清楚安全性工作如何創(chuàng)造價(jià)值和商機(jī)。
首席信息安全官需要能夠與業(yè)務(wù)主管、高管層和董事會(huì)合作;理解業(yè)務(wù)需求;成為新計(jì)劃的推動(dòng)者,以及成為不同業(yè)務(wù)職能部門(mén)(例如IT部門(mén)和運(yùn)營(yíng)技術(shù)部門(mén))之間的仲裁者。黑沃德-格勞說(shuō):“首席信息安全官現(xiàn)在不僅需要了解安全性、風(fēng)險(xiǎn)和合規(guī)性,還需要了解對(duì)其業(yè)務(wù)、客戶以及目前的供應(yīng)商群體的潛在后果和影響的細(xì)微差別。”
首席信息安全官的匯報(bào)工作途徑成為關(guān)注重點(diǎn)
首席信息安全官角色的快速變化迫使人們需要解決有關(guān)其匯報(bào)工作途徑的一些長(zhǎng)期存在的問(wèn)題。傳統(tǒng)上,首席信息安全官向首席信息官、首席技術(shù)官或在某些情況下向基礎(chǔ)架構(gòu)主管匯報(bào)工作,這是因?yàn)樗饕灰暈榫哂羞\(yùn)營(yíng)性和技術(shù)性角色。
一段時(shí)間以來(lái),很多人認(rèn)為,要想真正管理風(fēng)險(xiǎn)和推動(dòng)變革,因?yàn)榇嬖诶鏇_突,首席信息安全官的角色必須與IT部門(mén)分離。盡管首席信息官通常會(huì)基于維護(hù)系統(tǒng)正常運(yùn)行和采用新技術(shù)而衡量其成績(jī)和受到獎(jiǎng)勵(lì),但首席信息安全官則專注于保護(hù)公司資產(chǎn)和降低風(fēng)險(xiǎn)。
近年來(lái),出現(xiàn)了將安全治理工作與運(yùn)營(yíng)工作分離開(kāi)來(lái)的趨勢(shì)。一些首席信息安全官已開(kāi)始向首席執(zhí)行官、首席財(cái)務(wù)官、首席運(yùn)營(yíng)官,甚至總法律顧問(wèn)匯報(bào)工作。揚(yáng)布洛德表示,由于在管理網(wǎng)絡(luò)安全等領(lǐng)域中人們對(duì)該角色的運(yùn)營(yíng)預(yù)期,絕大多數(shù)首席信息安全官繼續(xù)向首席信息官匯報(bào)工作。他說(shuō):“如果將這些運(yùn)營(yíng)職責(zé)轉(zhuǎn)給其他主管,您將會(huì)看到首席信息安全官更多地關(guān)注于治理和戰(zhàn)略工作。”
首席信息安全官負(fù)責(zé)的許多安全功能正在整合到組織機(jī)構(gòu)所購(gòu)買(mǎi)的技術(shù)中。揚(yáng)布洛德表示,例如,大多數(shù)網(wǎng)絡(luò)路由器和邊緣設(shè)備已經(jīng)集成了安全功能,可以由基礎(chǔ)架構(gòu)和運(yùn)營(yíng)團(tuán)隊(duì)進(jìn)行管理。同樣,身份管理工作也正變得更成為一個(gè)交鑰匙項(xiàng)目,具有高度可操作性和高度可重復(fù)性,而且基礎(chǔ)架構(gòu)團(tuán)隊(duì)可以處理。他表示,首席信息安全官越能擺脫這些崗位職責(zé),就越能承擔(dān)起真正的治理角色。
對(duì)于首席信息安全官而言,自然的發(fā)展方向是成為首席信息風(fēng)險(xiǎn)官(CIRO)角色,與財(cái)務(wù)、戰(zhàn)略、運(yùn)營(yíng)和其他團(tuán)隊(duì)進(jìn)行緊密合作。揚(yáng)布洛德表示,預(yù)計(jì)策略管理職能也將交給首席信息風(fēng)險(xiǎn)官。他說(shuō):“我們目前看到,這個(gè)角色更多地出現(xiàn)在金融服務(wù)行業(yè)中,但它也將更多地出現(xiàn)在其他行業(yè)中。”
