为什么CIO应该拥有IT安全性

最近，IT安全问题一直是人们关注的焦点，最终导致几位备受瞩目的首席信息官因为安全漏洞而丢了工作。CIO办公室内外的许多人都认为IT安全是一门过于复杂的学科，不适合由CIO来管理，CIO的任务还包括从管理基础设施到制定技术策略，再到监督大规模的软件发布。我们是否还需要另一个专门负责IT安全的c级职位，或者这个职位应该只由CIO负责?

从CIO的角度来看，有两个令人信服的理由将IT安全移出CIO的职责范围。

第一个论点是，IT安全是一个专家职位，没有一个有效的通才能够完全理解这个职位。有一种合理的观点认为，CIO根本没有资格判断一个安全事件是一个无聊的少年，还是一个数十亿美元违约的第一个迹象。然而，一般的CIO也不太可能有资格讨论网络路由、高性能应用程序设计或虚拟化的细微差别，很少有CIO会认为这些领域属于IT之外。

这就引出了第二个不那么高尚的原因，一些CIO认为IT安全不属于CIO的职责范围:躲避潜在的子弹。正如最近的事件所显示的，CIO经常是一个引人注目的安全漏洞的受害者，并且作为最终负责安全的人，如果IT安全落在CIO的权限内，这可以说是一个合理的结果。

有些人建议，另一个c级的头衔，专门用于IT安全或与其他风险领域相结合，是IT安全的合适位置。一些公司已经雇佣了首席风险官，或者首席安全官，有一个合理的理由认为IT安全属于一个更广泛的安全或风险保护伞。这种方法的主要问题是，它将安全性从基础设施和应用程序决策中分离出来，从而产生了一种风险，即it可以愉快地部署解决方案，而“其他人”可以进入并在事后应用安全性。就像没有保险库、锁或闭路电视的银行很难“改造”安全性一样，将安全性应用于没有考虑安全性的应用程序和基础设施也同样困难。

当然，一个专门的安全组织可以将自己插入到构建-购买讨论中，并尝试将安全性注入到适当的对话中，但是这将导致一个繁重的过程，并且当应用程序从一个独立的安全组织滑过时，这个过程很可能会失败。

IT部门被安全问题所困扰的原因可能是，一般的IT部门没有配备正确的人员或预算来支持对安全问题的全面响应。与公司的任何部门一样，它从来没有足够的资金或员工，但在说明与数据泄露相关的风险和制定适当的应对计划方面，它也做得很糟糕。它对安全性的关注过多地与花哨的设备和供应商的承诺有关，这些设备和承诺取代了勤奋的人员配备和适当的人员监督。

说你低估了公司关键数据的风险，并举例说明与减轻此类违约的成本相比，重大违约的成本并不可耻。就像生活中的许多方面一样，安全性是一种平衡行为，既要允许人们高效地完成工作职责，又要创建终极的、高安全性的基础设施，这种基础设施可能非常笨重，甚至无法使用。

最近发布的关于高调安全失败的新闻中，有一点值得注意，那就是即使您无法清楚地说明所需的风险和缓解策略，您也可以获得适当的资金。然而，这是一个短期现象，雇用错误的人或者相信最新的安全设备，在不久的将来，你的头就会被砍下来。

除非您准备处理另一层开销，否则建议将IT安全推到一边可能会使您的生活变得复杂，因为会有额外的管理开销和职责冲突。虽然不能期望您了解IT安全的每一个细微差别，但是作为一个领导者，您应该为您的组织配备优秀的人员，并构建一个业务案例来雇佣和保留能够降低业务风险的人才。