信息來(lái)源：51cto

每年，首席信息官(CIO)官網(wǎng)都會(huì)發(fā)起名為“State of the CIO”的CIO現(xiàn)狀調(diào)查，今年的調(diào)查報(bào)告已經(jīng)出爐，這些調(diào)查數(shù)據(jù)將幫助你窺悉CIO角色在今天商業(yè)環(huán)境中的演變趨勢(shì)，有助于你了解2018下半年的企業(yè)信息化發(fā)展態(tài)勢(shì)并確定自身企業(yè)相關(guān)議程。

此次的CIO現(xiàn)狀調(diào)查涉及范圍廣泛，內(nèi)容多樣，但今天我們要重點(diǎn)來(lái)關(guān)注的是2018年到現(xiàn)在為止的一些企業(yè)IT安全狀況，由于安全導(dǎo)致的違規(guī)成本不斷升高，而且信息安全已逐漸成為各大公司企業(yè)戰(zhàn)略中的關(guān)鍵部份，是企業(yè)關(guān)乎全局發(fā)展中不可忽視的問(wèn)題。那么在企業(yè)信息化發(fā)展中，到底誰(shuí)來(lái)負(fù)責(zé)信息安全?負(fù)責(zé)信息安全的人主要向誰(shuí)匯報(bào)對(duì)誰(shuí)負(fù)責(zé)?還有一個(gè)實(shí)質(zhì)的問(wèn)題是，信息安全負(fù)責(zé)人手中多少預(yù)算才合理?針對(duì)這些安全相關(guān)問(wèn)題，我們也圍繞企業(yè)信息安全職位的發(fā)展定位，作了一個(gè)名為-The state of IT security 2018 的調(diào)查，希望結(jié)合State of the CIO的調(diào)查報(bào)告，厘清企業(yè)信息安全規(guī)劃和發(fā)展思路，起到一些借鑒作用。

企業(yè)中到底誰(shuí)來(lái)負(fù)責(zé)信息安全?

查看一家公司是否確實(shí)重視某事的最好方法之一，就是看看他們負(fù)責(zé)這件事的人對(duì)公司來(lái)說(shuō)有多重要。從確切的信息化任職頭銜上來(lái)說(shuō)，可能會(huì)讓人造成一些混淆，有首席安全官(CSO)，也有首席信息安全官(CISO)等，而且這些任職描述也可能因公司而異，就比如說(shuō)首席安全官(CSO)負(fù)責(zé)的會(huì)有物理安全和數(shù)字信息安全的工作。

按照這種安全職位的任職方式來(lái)看，在我們調(diào)查的公司中結(jié)果有些混亂，有25%的公司擁有CISO，11%的公司擁有CSO，17%的公司安全高管中還兼任另一職位頭銜，這也就意味著有近一半的公司沒有專職管理人員來(lái)負(fù)責(zé)企業(yè)的信息安全工作。

• 首席安全官(CSO)負(fù)責(zé)整個(gè)機(jī)構(gòu)的安全運(yùn)行狀態(tài)，既包括物理安全又包括數(shù)字信息安全。CSO負(fù)責(zé)監(jiān)控、協(xié)調(diào)公司內(nèi)部的安全工作，包括信息技術(shù)、人力資源、通信、合規(guī)性、設(shè)備管理以及其他組織，CSO還要負(fù)責(zé)制訂安全措施和安全標(biāo)準(zhǔn)。CSO需要經(jīng)常舉辦或參加相關(guān)領(lǐng)域的活動(dòng)，如參與跟業(yè)務(wù)連續(xù)性、損失預(yù)防、詐騙預(yù)防和保護(hù)隱私等相關(guān)議題的活動(dòng)。 　首席信息安全官即CISO，負(fù)責(zé)整個(gè)機(jī)構(gòu)的安全策略。
• 首席信息官(又稱CIO，是Chief Information Officer的縮寫)中文意思是首席信息官或信息主管，是負(fù)責(zé)一個(gè)公司信息技術(shù)和系統(tǒng)所有領(lǐng)域的高級(jí)官員。他們通過(guò)指導(dǎo)對(duì)信息技術(shù)的利用來(lái)支持公司的目標(biāo)。他們具備技術(shù)和業(yè)務(wù)過(guò)程兩方面的知識(shí)，具有多功能的概念，常常是將組織的技術(shù)調(diào)配戰(zhàn)略與業(yè)務(wù)戰(zhàn)略緊密結(jié)合在一起的最佳人選。CIO原指政府管理部門中的首席信息官，隨著信息系統(tǒng)由后方 辦公室的輔助工具發(fā)展到直接參與企業(yè)的有力手段，CIO在企業(yè)中應(yīng)運(yùn)而生，成為舉足輕重的人物。美國(guó)企業(yè)的首席信息經(jīng)理相當(dāng)于副總經(jīng)理直接對(duì)最高決策者負(fù)責(zé)。

負(fù)責(zé)信息安全的人向誰(shuí)匯報(bào)工作?

當(dāng)然，熟諳公司文化的人都會(huì)了解，通常個(gè)人在公司的內(nèi)部影響力，很大程度上取決于自身向誰(shuí)匯報(bào)工作而定，由此，我們就這個(gè)問(wèn)題，分別向設(shè)有CSO和CISO的公司進(jìn)行了一些調(diào)查，但結(jié)果卻各有不同。

在設(shè)置有CSO的公司里，大約有一半公司的CSO直接向CEO或COO匯報(bào)工作，而有將近四分之一公司的CSO直接對(duì)公司CIO高管負(fù)責(zé);而對(duì)設(shè)置有CISO的公司里，這種工作負(fù)責(zé)制幾乎是相反的，有接近一半公司的CISO受CIO高管負(fù)責(zé)領(lǐng)導(dǎo)，有四分之一公司的CISO受公司其它高管負(fù)責(zé)領(lǐng)導(dǎo)。根據(jù)這種調(diào)查情況來(lái)看，至少?gòu)哪壳皝?lái)看，似乎CSO是個(gè)更具威望的職位。而且在這兩個(gè)職位之上，有時(shí)還會(huì)存在一些其它的隱形潛在領(lǐng)導(dǎo)，比如部門CIO和資產(chǎn)防損的CFO等。

信息安全負(fù)責(zé)人如何來(lái)規(guī)劃企業(yè)信息安全發(fā)展道路?

為了實(shí)現(xiàn)效率最大化原則，安全需要從一開始就要融入集成到企業(yè)的規(guī)劃戰(zhàn)略中去。對(duì)于大多數(shù)公司的IT高管來(lái)說(shuō)，這是公司信息化發(fā)展中最根本的事。我們針對(duì)IT安全規(guī)劃和IT戰(zhàn)略結(jié)合度的調(diào)查發(fā)現(xiàn)，有接近54%的受訪公司表示其已進(jìn)行了“高度整合”，這也側(cè)面表明，IT安全規(guī)劃已經(jīng)逐漸成為IT戰(zhàn)略發(fā)展中的重要部分。但也有近10%的公司表示，他們的安全投資或響應(yīng)僅限于對(duì)當(dāng)前出現(xiàn)的安全事件或挑戰(zhàn)進(jìn)行部署。

接受調(diào)查訪問(wèn)的公司IT高管深知這方面還存在很多不足之處，所以在我們問(wèn)到，三年后如何整合IT安全戰(zhàn)略與IT戰(zhàn)略時(shí)，有82%的公司IT高管表示，會(huì)把這兩者“緊密集成”，而僅有2%的公司IT高管表示不會(huì)集成整合。

公司CEO應(yīng)該為企業(yè)安全做些什么?

對(duì)于信息安全方面的專業(yè)技術(shù)人員來(lái)說(shuō)，抱怨高管人員對(duì)安全的松懈態(tài)度已經(jīng)司空見慣，但隨著網(wǎng)絡(luò)攻擊的增加，作為公司CEO的首席執(zhí)行官們也會(huì)慢慢開始了解到，他們的工作與安全事件的潛在后果密切相關(guān)。在2015年的休斯頓CIO Perspectives會(huì)議上，F(xiàn)oley&Lardner LLP技術(shù)事務(wù)與外包業(yè)務(wù)合伙人Matthew Karlyn就表示，在這個(gè)數(shù)字經(jīng)濟(jì)驅(qū)動(dòng)的利益環(huán)境下，數(shù)據(jù)泄露事件都會(huì)在各個(gè)公司不同程度的潛在或發(fā)生，公司必須提前做好準(zhǔn)備，以最大限度地減少對(duì)資產(chǎn)、員工和客戶的影響， “The entire C-suite and board is on the hot seat for security these days”(整個(gè)公司高層和董事會(huì)都需要著重考慮安全問(wèn)題)。

針對(duì)這個(gè)問(wèn)題，我們向受訪公司CIO詢問(wèn)，公司CEO在來(lái)年的首要任務(wù)是什么?在排名前三的選項(xiàng)中，有36%的CIO表示，公司CEO在來(lái)年可能會(huì)提升企業(yè)IT和數(shù)據(jù)安全架構(gòu)以防止網(wǎng)絡(luò)攻擊，這是這些CIO給出的最多選項(xiàng)。

信息安全處理需要流程化

在一項(xiàng)可能與公司CEO避免網(wǎng)絡(luò)攻擊的關(guān)注點(diǎn)有所沖突的數(shù)據(jù)抽樣調(diào)查中，有28%的受訪公司表示，“安全/風(fēng)險(xiǎn)管理”只是一項(xiàng)推動(dòng)IT部門投資的技術(shù)舉措，而其余受訪者則強(qiáng)調(diào)企業(yè)資金可以向其它非安全業(yè)務(wù)方面傾斜。

但當(dāng)我們深入問(wèn)到會(huì)有什么樣的業(yè)務(wù)計(jì)劃會(huì)推動(dòng)企業(yè)IT投資時(shí)，得到了一些不同的回應(yīng)：31%的人表示“增加網(wǎng)絡(luò)安全保護(hù)”，另外19%表示可以用“滿足合規(guī)要求(如GDPR等)” –而這種遵守GDPR等規(guī)則的方法，又通常屬于高級(jí)別安全管理人員的權(quán)限范圍。這些不同的聲音表明，公司管理人員在企業(yè)整體戰(zhàn)略規(guī)劃中，確實(shí)應(yīng)該將安全視為其中的一部份進(jìn)行通盤考慮，而不僅僅是把安全簡(jiǎn)單地看成是購(gòu)買安裝一套安全軟件的方式。

公司IT安全規(guī)劃需要花費(fèi)多少錢?

在2015年，IDC調(diào)查表示公司IT預(yù)算的13.7%是最理想最合理的信息安全支出數(shù)額，但最近幾年，網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴(yán)峻，這也意味著IT安全支出只會(huì)大幅增加，公司其它方面的預(yù)算也會(huì)有所調(diào)整。

盡管如此，我們大多數(shù)受訪公司還是達(dá)不到這個(gè)理想的安全支出預(yù)算：有超過(guò)一半受訪公司聲稱，只有不到10%的花費(fèi)用于信息安全，而僅有四分之一的公司安全支出在10%到20%的范圍內(nèi)。

公司最希望招聘什么樣的安全人才?

這些調(diào)查數(shù)據(jù)會(huì)讓大家覺得，信息安全是一個(gè)非常極具前景的領(lǐng)域，尤其對(duì)于那些想要涉足這個(gè)領(lǐng)域的信息安全專家來(lái)說(shuō)，你的選擇非常明智。經(jīng)過(guò)調(diào)查我們發(fā)現(xiàn)，很多公司在適當(dāng)?shù)陌踩寄芙M合中，最急切最希望招聘的是那些具備安全和風(fēng)險(xiǎn)管理技能的專家型人才，有大約39%的受訪公司都選擇了這類型人才。在最希望招聘的top5職位中，分別為安全/風(fēng)險(xiǎn)管理人才、業(yè)務(wù)情報(bào)和數(shù)據(jù)分析專家、云集成專家、應(yīng)用程序研發(fā)、企業(yè)管理軟件研發(fā)。從這一點(diǎn)來(lái)說(shuō)，安全小白們，成為高帥富的路，為你們指明了，好好學(xué)習(xí)，歷精技藝吧。