自2018年以来,很多事情都发生了变化,比如财富100强名单中的公司名称。 但这份自吹自擂的名单的一个方面自那以来一直没有太大变化,那就是这些公司中很少有在其高层管理人员中列出任何安全专业人员。
对 2022 年财富 100 强公司名单发布的高管页面的审查发现,只有四家公司——百思买、信诺、可口可乐和沃尔玛——在其公司最高级别中列出了首席安全官 (CSO) 或首席信息安全官 (CISO)。
去年财富 100 强公司中,有三分之一的高管都配备了首席技术官 (CTO); 40 个列出了首席信息官 (CIO) 职位,但只有 21 个职位包括首席风险官 (CRO)。
这并不是说 96% 的财富 100 强公司在其员工中没有首席信息安全官 (CISO) 或首席安全官 (CSO):LinkedIn 的一项审查表明,大多数公司实际上确实有人员担任这些职位,专家表示,一些最大的跨国公司将有多人担任这些职位。但有趣的是,顶级公司认为哪些高管职位值得在其高管领导力页面上发布。 例如,88% 的受访者列出了人力资源总监(或“首席人事官”),100 人中有 37 人列出了首席营销官。
并不是说这些角色在某种程度上比组织内的 CISO/CSO 更重要或更不重要。 所有这些职位的平均薪酬也没有太大差异。 然而,考虑到平均数据泄露对营销(考虑消费者/客户数据)和人力资源(考虑员工个人/财务数据)的影响程度,越来越多的公司没有将其首席安全人员列入其高层,这有点值得注意。对于许多公司仍然没有将网络安全的领导纳入最高梯队的一个可能的解释是,这些员工不直接向公司首席执行官、董事会或首席风险官汇报。
传统上,CSO 或 CISO 职位向担任技术角色的高管汇报,例如 CTO 或 CIO。 但劳动力专家表示,将 CISO/CSO 与组织最高领导者置于不平等的地位,使得网络安全和风险问题更有可能让位于旨在提高生产力和总体发展业务的举措的次要地位。Datos Insights 分析师塔里·施雷德 (Tari Schreider) 表示:“无论是网络威胁、员工欺诈还是实体盗窃,职责分离都是安全的基本概念。” “但是,随着 CISO 或 CSO 向技术负责人汇报,这种关键的分离每天都在被违反。”
IANS 是一家面向 CISO/CSO 及其团队的组织,去年对 500 多个组织进行了调查,发现大约 65% 的 CISO 仍然向技术领导者(例如 CTO 或 CIO)报告:IANS 发现 46% 的 CISO 向 CIO 报告,其中 15% 直接向 CTO 报告。
IANS 去年的一项调查发现,65% 的 CISO 向组织内的技术职能部门汇报,例如 CTO 或 CIO。 图片:IANS 研究。
施雷德表示,许多 CISO 和 CSO 没有出现在大公司的企业高管传记中的一个重要原因是,这些职位通常不享有与公司内其他管理人员相同的法律和保险保护。通常,较大的公司会购买“董事和高级管理人员”责任保险,如果该组织的一位高管发现自己因雇主的某些业务失败而被拖上法庭,该保险将涵盖法律费用。 但施雷德表示,不向安全负责人提供此类服务的组织不太可能将这些职位列为最高级别。“坦率地说,这令人震惊,”施雷德在听说财富 100 强企业中只有四家在其高层管理人员中列出了安全人员后说道。 “如果公司不打算为他们提供法律保障,那为什么要让他们承担安全责任呢? 他说,特别是当 CISO 和 CSO 不应该承担风险时,他们中的大多数人都承担着责任,当组织最终遭到黑客攻击时,他们往往会成为替罪羊。
Schreider 表示,虽然 Datos Insights 主要关注金融和保险行业,但最近的 Datos 调查与 IANS 去年的调查结果相呼应。 Datos 调查了资产规模最大的 25 家金融机构(其中两家已不复存在),发现只有 22% 的 CSO/CISO 向首席执行官汇报。 大多数人(65%)的 CSO/CISO 向 CTO 或 CIO 汇报。“我多年来一直在研究这些类型的统计数据,但它们从未真正改变过那么多,”施雷德说。 “从管理角度来看,CISO 或 CSO 属于技术堆栈的职权范围。 对、错或无关紧要,这就是正在发生的事情。”
今年早些时候,IT 咨询公司埃森哲发布了对 14 个国家 15 个行业的 3,000 多名受访者的安全成熟度水平调查结果。 埃森哲发现,他们调查的组织中只有约三分之一拥有足够的安全成熟度,能够将安全性集成到其业务的几乎各个方面,其中包括让 CISO 或 CSO 向负责监督整个业务风险的人员报告。毫不奇怪,埃森哲还发现,在评估整体企业风险时,只有三分之一的受访者“在很大程度上”考虑了网络安全风险。报告总结道:“这凸显出,要使网络安全成为企业内主动的战略必要性,还有很长的路要走。”