几乎所有的公司都会表示“我们会十分严肃地对待用户的隐私和安全,这是我们的重中之重”。但是从大多数公司官网显示的领导团队来看,很少有公司会真的这么做,因为“安全官”这种职位很少出现在它们的最高领导团队中。哪怕是最顶尖的科技公司,将“首席技术官”纳入最高领导团队的,可能还不到一半。这也解释了当下堪忧的用户安全状况,以及它为何难以发生改变。
有相关调查显示,全球市值最高的100家公司中,只有5%的企业,高层领导团队中有首席信息安全官或首席安全官,而首席技术官的这一比例,则不到三分之一。
在纳斯达克上市的企业中,排名前五十的公司的相关数据会让你更加惊讶:只有不到一半公司将首席技术官列入了领导团队,只有三家公司设立了安全相关的高管职位,
当然我们不是说这些公司没有首席信息安全官或首席技术官等职位。上述公司的领英数据也已经表明,这些岗位并不缺人。
但值得留意的是,大多数公司认为这些岗位并没有资格进入自己的高层领导团队。市值最高的100家企业的领导团队中,共计有73位首席人力官,大约有三分之一的团队拥有首席营销官。
这些岗位并没有比首席安全官或首席信息安全官更重要,相比之下,各自的薪水也没有太大差别。一旦营销数据(公司的客户数据)和人力资源数据(公司的员工数据和财务数据)发生泄露,那么公司会受到多么巨大的影响,因此企业对这些职位的“偏心”,的确值得我们反思。
市场分析公司Aite Group的研究主管Julie Conroy表示,她原本以为那些极度依赖网络安全的企业(例如银行)的高层团队里,应该设有安全相关的职位。
“但是美国银行和摩根大通银行的数据和我预料的不一样。在这些公司里,首席信息安全官并不属于最高领导团队,他们只是向领导团队汇报。”Conroy说道。
Conroy表示,这些数据说明了企业仍然更看重人力资源和业务扩张能力等因素,因为它们会直接影响到营收,相比之下网络安全自然会被“冷落”。
“营销和数字化技术会直接增加公司的营收数额,对于日益‘网络化’的零售企业和银行而言,数字化技术的重要性不言而喻。尽管我们都知道网络安全和损失预防对于所有企业来说都很重要,但大多数公司的架构并没有体现出这一点。在我看来,这些岗位的高管难以争取到所需的预算,更别提投资技术,降低损失。”Conroy说道。
Equifax的前车之鉴目前盛行的负责人汇报制度存在这样的风险:如果安全问题影响到了公司的生产效率,那么前者往往会被忽视,甚至安全团队里也不再会有人去争取应有的预算。
去年Equifax发生了大规模的个人数据和财务数据泄露,受害人数高达1.48亿。许多人认为Equifax是因为没有及时给漏洞打补丁才引发这次事故,但SANS Institute的主管Lance Spitzner认为,Equifax的人力及企业架构是问题的根本所在。
“每当提起Equifax数据泄露事件,大家都认为这是个补丁问题,不法分子利用了Struts漏洞,而且Equifax之前就知道这个漏洞的存在,但却没有及时修补。”Spitzner在报告中写道。
那么这个漏洞为什么没有及时修补?为什么公司花了两个月才找到这个漏洞?Spitzner在报告中指出,最根本的原因是首席安全官Susan Mauldin无法直接向首席信息官汇报,他的汇报对象是首席法律官。IT和网络安全被分割,双方无法交流和协作,因此这个漏洞一直留在公司里。
但是为什么会出现这种不合理的公司架构?Spitzner表示:“十年前,公司的首席安全官还是直接向首席信息官汇报的。后来双方无法合作,前者被转移到首席法律官之下。但是新任首席信息官David Webb和新任首席安全官Susan Mauldin入职后,这一变动并没有恢复。如今,公司的首席信息官会直接向首席执行官汇报。”
去年的信息泄露事件暴露了Equifax存在的安全问题和管理问题,这家公司也记住了这次教训。在这次事件后,首席信息安全官及首席安全官也出现在了Equifax的领导团队中,之前则没有。
领导团队的调整许多人力资源专家认为,许多公司不会把安全相关的职位列入领导团队,主要原因是这些职位通常不会直接向公司的董事会或首席执行官汇报。一般情况下,他们的汇报对象是首席技术官或首席信息官。
“你要确保公司的技术和安全必须齐头并进,否则公司内部就会出现问题。”保险公司Aon PLC的首席安全官Anthony Belfiore说道。
Aite Group的资深分析师Alissa Valentina Knight表示,在过去,首席信息安全官更像是一种技术型岗位,但现在的它更应该引起董事会的重视,企业的汇报结构正在发生改变,而我们正处于这样的变革中。
“过去首席信息安全官大多向首席技术官汇报。尽管前者也属于‘C字辈’(CISO),但它通常没有资格出现在公司的官网上。”Knight说道。
