首席安全官是纸老虎么？

在澳大利亚一些企业的眼里，所谓的首席安全官就是一只纸老虎，雇佣他们的目的仅仅就是为了满足监管的要求。他们的作用就是把公司从一个信息安全灾难带进另一个信息安全灾难。

很多金融机构和政府机构认为之所以需要一个首席安全官，就是为了满足包括PCI、萨班斯·奥克斯利法案和澳大利亚通信与电子安全指导33在内的审计法律的要求。它们经常宣称，首席安全官存在的唯一依据就是基于此。

首席安全官经常由需要遵循PCI、萨班斯·奥克斯利法案和澳大利亚通信与电子安全指导33在内的审计法律的公司委任。

如果首席安全官没有实权的话。可以看到，员工和部门并没有将安全作为优先事项。

采用这种黑箱操作的企业将不停地从一个信息安全灾难到另一个信息安全灾难。

澳大利亚法律的效力不是很强，而且倾向于只要试图遵守就可以，而不是必须遵循。

首席安全官必须能够找出每个业务部门面临的风险，并告诉他们：“你们存在这样的风险，但我会帮助你们解决它。”

“我可以告诉你很多谈判过的企业的名称，他们在过去的几个月中上马新的安全基础设施，纯粹是为遵守法律的要求。”安全管理服务供应商Earthwave的创始人兼首席执行官卡罗·米阿森说道。“他们耗费二十万聘请了首席安全官，以保证符合法律的要求。但除此之外，首席安全官由于没有预算，无法取得相应的发言权，在董事会中也没有任何的影响力；导致，没有人来管理入侵检测系统和防火墙，日志也没有进行监管，软件过期三年了也没有人通知。”

安全厂商BlueCoat的澳大利亚区经理韦恩·内奇认为，首席安全官基本上已经成为“替罪羔羊”的角色。

“他们有自己的责任，但并没被授予相应的权力以获得需要的资源，以便有效地工作，”他说。

董事总经理布赖恩·布朗尼格相信，采用黑箱操作的企业将不停地从一个信息安全灾难到另一个信息安全灾难。

“他们需要一个这样的人，”他说，“并且任命一个首席安全官只不过是最便宜的选择。”

董事会的重视
设置首席安全官只是为了遵循法律的要求，而不是为了对安全事件进行分析和处理。

“首席安全官所面临的挑战是从公司的安全政策和程序中获得承诺，以便对所有的人进行安全保护，以及在董事会中得到认真的对待。”来自Earthwave的米阿森说道。

首席安全官的工作变得只限于提供报告。他们对业务部门的安全情况提出了意见和建议，但业务部门自己根据情况作出了选择。

“业务部门领导的议程往往是有限的——有时只有和利润相关的才会被关注。”

CheckPoint的商务拓展经理，弗莱德·布尔森

“首席安全官的权力很少，”CheckPoint的商务拓展经理弗莱德·布尔森说，“如果业务部门对决定了公司策略和预算的话，他很难工作。”

“如果首席安全官制定了一个涉及到采购决定的策略的话，他应该获得来自公司的资金支持，以及来自业务部门的遵循。这个是不能打折扣的。”他说。

“如果首席安全官不能发挥他的作用，”他警告道，“公司将处于一种风险不可预测的状态。”他说。“业务部门领导的议程往往是有限的——有时只有和利润相关的才会被关注。”

无力的执行
Agreon的布朗尼格认为，对于大部分的法律，存在这样一个问题，公司正在寻找有没有可以仅仅在表面上遵循就可以而不必实际实行的渠道。

他认为，与美国相比，澳大利亚法律的执行力是很弱的。因为，只要试图遵循就可以被接受，而在美国，这是不行的。
在澳大利亚你可以失败，而不会导致实质的后果。

Agreon系统董事总经理，布赖恩·布朗尼格

“在澳大利亚你可以失败，而不会导致实质的后果。”他说，“我就知道很多由于没有通过安全审计的公司。”

安全厂商Clearswift的董事总经理彼得·克罗夫特认为，仅仅任命一个带首席安全官头衔的人是没有什么用处的。“这是一个良好的开端，但它不是整个问题的答案。”

来自Agreon的布朗尼格透露道，情况将会发生改变。确保敏感数据，特别是私人资料，将在法律上给予体现。

“我敢以我的职位为赌注，”他说。“一定会有越来越多的相关法律出现。这是一个世界潮流。”

举例来说，澳大利亚法律改革委员会，已经准备对去年发布的澳大利亚隐私法进行修订，下面是相关的数据，可以作为修订建议的一部分。

“如果该法获得通过，将可以补上澳大利亚在这方面的欠帐。”IBRS安全分析师詹姆士·特纳说道。“澳大利亚公司与相参照的国家比较，在信用卡欺诈防范领域作得非常好，远远低于平均水平。但在解决个人身份资料被盗的过程中，收费仍然是太高了。对于银行来说，这可能是一种可接受的风险水平；但是对于个人来说，他们的信用卡详细资料外泄是不可接受的。你不能说，这些人没有受到影响。”
有时这意味着胡萝卜，有时这意味着大棒。

IBRS安全分析师詹姆士·特纳

特纳认为，如果这样的法律得到通过，很多公司将面临一些问题。“很多人都会忙于清理目前隐藏着的非法数据。”他说。

“很多情况下，我们习惯于来得快去得也快，这样可以节省时间。”Agreon的布朗尼格表示了赞同。“新法是保证其实行的唯一途径。我希望陆克文的政府有义务保证有关个人信息的法律得以通过。并且希望即将到来的信息清理是在首席安全官的控制下进行。”

“立法是有助于转移风险，”IBRS安全分析师詹姆士·特纳认为。“如果公司不认为保护其客户资料可以提高它的成本效益。那么，政府的工作就是让其可以提高它的成本效益。有时这意味着胡萝卜，有时这意味着大棒。”

参议员约翰·福克纳在这个星期谈到，政府将研究是否修改法律，以将周边的隐私数据违规行为包括在内。

首席安全官作用的再思考
在此期间，首席安全官仍然要通过各种其它的手段保证公司的安全处于可接受的水平。

关于首席安全官的作用，特纳觉得，需要加以重新考虑。他认为，首席安全官更类似一个守卫和防御者，而不是开展安全技术项目的人员。

“首席安全官应该帮助企业理解安全是如何为相关的业务流程服务的，”他说。“对于高管们来说，最好的礼物是一个经过深思熟虑的非常清晰明确的计划书。”

对于高管们来说，最好的礼物是一个经过深思熟虑的非常清晰明确的计划书。

IBRS安全分析师詹姆士·特纳

“不是做一个扫兴的人。而是利用IT部门从新的角度看待问题，改变通过人收集数据的传统观点。”

安全厂商RSA的澳大利亚区经理马克·布伦建议，首席安全官应该对公司进行深入的分析，找出各个业务部门之间的联系。

“应该将来自每个业务线上的人组织起来，成立风险委员会，”他说。“我将要求该委员会定期举行会议，谈论他们面临的是什么样的风险。很多人会发现他们有相同的问题，或可以使用和其它人一样的的可重复的解决方案。”

关于风险评估，布伦提醒道，“作为首席安全官，你需要明确指出，风险不是属于信息安全部门，它属于业务的一部分” 。

“商业是基于风险的，而资本和风险会带来利润，这就是商业存在的本质。首席安全官应该告诉业务部门，这是你面临的风险，但我将在这里帮你解决。”