作为IT决策者 CISOs能变得更有效吗

首席信息安全官(CISOs)通常是第一个承担责任时出现安全漏洞,然而很少管理决策过程的一部分时,执行安全在整个it基础设施——至少这是最近的一项调查ThreatTrack安全指示。

调查显示，在接受调查的美国203名高管中，近四分之三的人表达了对CISOs领导能力的怀疑。当被问及CISOs是否应该获得一席之地，是否应该成为组织领导团队的一员时，74%的高管回答说:“不。”

这些受访者包括首席执行官、总裁、首席信息官、首席运营官、首席财务官以及为公司提供高级法律顾问的人员。

报告还指出，高管们有一种先入之见，认为CISO经常是安全漏洞之后的“替罪羊”。令人震惊的是，44%的c级高管支持这一观点，他们认为CISOs应该为“任何组织数据泄露”负责，而54%的人表示，CISOs不应该为网络安全采购决策负责。

简而言之，该报告指出，许多高管认为CISOs应该为入侵承担责任，但这些高管中有许多人认为，CISOs在获取防止入侵的技术和资源方面的影响力应该有限。对于那些担任CISO角色的人来说，这是一个令人困扰的难题，这表明CISOs需要在他们的组织中更有发言权，并在企业中执行更多的研究、报告和影响力。

虽然这可能会使CISO的角色变得不受欢迎，但一个简单的事实是，如果没有执行安全策略的责任，没有在企业的安全决策中发挥作用的责任，就不应该接受指责。

认为CISO是替罪羊的看法在零售(65%)和医疗(55%)公司中很流行，这可以让CISOs得到一些安慰。这表明，这些高管中的大多数人都明白，这个角色受到了不公平的指责。

正是这种观念让CISOs在企业组织中改变了他们的角色，或许为他们提供了弹药，让他们成为管理团队中更有影响力的成员，并直接向ceo报告，而不是向较低的C级管理人员报告。

部分问题来自c级主管，他们仍然认为CISOs是技术人员，他们最终努力通过让技术妨碍数据访问的便利性，从而加大企业开展业务的难度。事实上，CISOs正在寻求保护知识产权和该组织的运作免受使用安全技术的入侵。CISOs需要向整个管理团队说明的一个重要区别。

可以说，实现这一点的最佳工具是以频繁报告的形式出现的，报告显示入侵尝试已被阻止，安全问题已得到解决，以及总体威胁情况。幸运的是，市场上的大多数安全技术都提供了报告工具来实现这一点，而CISOs应该利用这些功能来让c级管理人员敏锐地意识到组织的安全姿态，同时也让他们的角色在组织中备受关注。

调查还要求参与者根据他们的总体表现对CISOs进行评分，结果显示，大多数CISOs职位在防止数据泄露和复杂网络威胁方面的能力得分为“B”或“C”(72%)。约28%的受访者还表示，他们的首席信息官做出的决策损害了企业的利润，这表明这些首席信息官要么没有正确履行职责，要么更有可能没有告知高管为保护资源而做出的决策的价值。

无论采取哪种方式，信息系统安全系统都需要加强工作，向执行人员通报对现代技术的威胁以及必须采取哪些措施来保护这些资源- -这需要作出适当的努力，经常提出报告，最重要的是在本组织中提高知名度。