你的企业中需要一名"首席信息安全官"吗

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　在信息技术领域，数据安全的重要性是显而易见的，但是，一家公司什么时候需要不得不任命一名首席信息安全官呢?

　　Mike Newman是一家信息技术公司的领导人，他在他的同行中率先迈进了一步。18个月之前，欧洲最大的独立保险中介商Towergate公司的首席信息官任命了一名全职的信息技术安全负责人，作为一个更高级别策略的一部分，使信息的完整性保持优先位置。

　　“其实，毫无疑问数据安全是基本原则，” 做出聘用一名信息安全负责人决定的Newman说。 “作为一家服务型公司，关键的资产是你的客户 - 保护资产的安全是你真正的责任。我们需要一些聪明的安全专家去防止数据曝光的潜在风险，并确保企业在最佳的管理方法下使用这些信息。”

　　根据Ponemon咨询管理机构的说法，好消息是，在大多数情况下，技术人员意识到雇用一个专门安全负责人的重要性。高达百分之62的信息技术专业人员认为一个公司关于数据安全所需要的最有价值的治理措施是任命一名首席信息安全官(CISO)或其他高级安全负责人。

　　但坏消息是，对于保护数据资产的责任并不总是被董事会所理解。 Ponemon咨询管理机构的研究表明只有百分之14的信息技术专家认为与执行长官讨论有关所受到的安全攻击威胁是值得的。

信息技术专家认为安全的重要性 – 但是董事会也这么认为吗?

　　认知差距

　　这就出现了，意识到需要专业安全管理的信息技术专家与不理解信息完整重要性的董事会之间产生了一个鸿沟。

　　根据Towergate公司的情况，Newman说，通过不断增加的金融服务领域的大量规章制度，该公司的注意力被吸引到数据安全方面上。新技术的不断涌现产生了更多的关注。

　　“现在由于增加了支持Web的软件和智能手机的应用，业务的复杂性不断增加，” 他说。这种复杂性意味着许多公司将不得不继续购买终端安全产品，例如，应用在计算机，虚拟机和智能手机上的反恶意软件。根据分析机构Gartner公司的说法，2010年，在安全软件上面的开支将超过165亿美元，比2009年增加了百分之11.3。

　　“终端的不断改变，而一个公司潜在的数据泄漏风险也将变得更大，” Newman说。 “我们到达了我们已经必须要有基本防范的阶段，例如，周界防护和病毒防护，并希望做更深入的安全战略。”

　　紧密关系

　　这更深入的理解需要依靠业务主管和现有资源的紧密关系 – 寻找合格的信息技术安全的负责人只是一个重要的因素。 “安全性可能是一个金钱陷阱，你必须按照一个相称的方式做事，并不仅仅是去任命一名首席信息安全官，” Newman说。

　　“你需要一名专家对安全负责，但你还需要在每一个业务部分嵌入相应的政策。由于技术的不断涌现，判断它们潜在的风险，评估这些技术和高层管理人员所购买的软件和设备所带来的风险。使得对于建立客户数据的重要性成为一种文化。”

　　不幸的是，对于建立一个高水平的信息重要的认识并不是简单的。Ashley Winton是一名欧洲的技术律师和White & Case律师事务所的合作人，Ashley Winton说技术人员对此类业务持有一种玩世不恭的态度。

由于缺乏来自企业上的支持，信息安全危险遭到冷嘲热讽

　　“许多信息技术专家认为他们的公司没有足够的专用安全资源，” 他说。 “他们的公司认为安全并不是紧要任务，而且他们的上司也不支持他们正在试图所做的。正确的政策往往不能及时到位。即使当安全政策落实到位了，但是他们往往并没有有效的运作。“

　　预防成本

　　Winton表示，公司往往是很难证明所花费在安全技术上的作用，直到漏洞的发生。但是，预防总是比治疗可能会便宜，Ponemon说，在2009年，每一个记录在案的安全漏洞的平均费用为64英镑。因此，正确的领导决策将无疑降低风险和成本。

　　Winton说，“这些雇用首席信息安全官的公司具有最好的安全措施，" Winton相信如果公司拥有一个负责安全的管理层，这些公司会更好的应对这些威胁。这与英国Vodafone公司的信息技术执行官Brian Burton的理念是一致的。

　　“你必须到每层楼处理安全威胁。你可以处理数据，锁定装置和清除信息。但是你的企业如何去适应人们现在使用非标准设备这一事实。” 他说。

　　“你不能挑选其它特殊的设备，你必须为多种形式的沟通提供相同的安全平台。这么做并不是很陌生 – 重新利用你的安全技巧然后向你的经理宣传你的理念。这就好像看电影的时候有人尖叫，另一个人打了他们的脸一记耳光，以便让他们清醒过来。”

　　信息完整性

　　打击的力度取决于领导层的意识。David Bason是Shoosmiths律师事务所的董事，David Bason说，信息完整性对于他的公司来说是至关重要的，因为他的公司会经常受到来自银行和其他金融企业的审计。

信息安全仅仅应该属于CIO的职权范围吗

　　为确保必要的管理到位，该公司最近获得国际标准化组织27001信息安全认证。Bason说，公司也需要遵守各种法规的约束，包括数据保护法和支付卡行业数据安全标准，还有信息保留和删除政策。

　　“随着高达50万英镑罚款的出台，这将不难获得董事会的关注”，Bason说，谁也认为，公司治理的最佳方法应包括经过专家委员会的风险管理。

　　这样一个委员会将管理公司的风险倾向，驱使任务的优先次序和分配资金。首席信息官做出这样一个决定是不可或缺的。如果是这样，Bason推断，一个专门的首席信息安全官需要应该可以被减少。

　　“认真地关切信息安全是必需的，但对于一名首席信息安全官需要并不不是必需的，” 他说。 “数据安全应该是首席信息官的职权范围，并应纳入整个信息管理战略之中。”