早期的CSO，角色定位相當模糊，并且經驗不足，隨著安全經驗的增加和職位的明晰，CSO們對安全風險的認識也更加深入，作用也顯而易見——積極引入安全功能的企業能夠在技術變革的大潮中處于更為有利的位置，進而從容應對持續威脅及安全漏洞帶來的沖擊。

經過十年的探索及發展，CSO這個角色終于突破了大環境對新生事物的束縛成為了一種趨勢，許多企業已經建立了CSO一職或者與之類似的職位，這是一個可喜的進步。遺憾的是，正當CSO角色欣然走向成熟的時候新的“威脅”又出現了，這次的威脅更加兇險，它來自CSO賴以生存的企業內部。

CSO面臨著企業內部的重重攻擊

目前尚無一套標準化方案能夠指導企業準確定義CSO這個角色，因此，在多數情況下，CSO僅僅是一位被賦予了安全職責及保護公司義務的安全管理者，他們往往無法獲得工作中所必需的資源、權利或者與高管及董事會對話的資格。因此，不少公司的CSO屬于名存實亡。

如果沒有意識到這一點，大家可以通過下面的問題做個簡單的測試，以便對所在的企業是否擁有成熟的安全管理模式有個清晰的認識——

●您企業的CSO是否會向董事會成員提交年度報告?

●是否定期與CEO或COO進行交流磋商?

●董事會或CEO以何種形式為處理風險事務的管理者提供必要權利?這種授權機制是否正式?

●董事會或者CEO如何確定企業對信息安全風險的承受能力?這種能力是否擁有與之相匹配的文檔說明及溝通機制?

●CSO定位能否為在職者提供必要的團隊管理權?

●CSO是否只能向CEO或董事會提交未經篩選的安全態勢信息?

●CSO到底屬于管理角色、運營角色還是二者兼而有之?

雖然這份評估問卷并不完整，但其中的問題仍然帶來了一些發人深省的啟示，足以幫助大家考量自身的信息安全方案是否成熟。在對企業安全規范及流程的評估過程中，我們應該重點權衡哪些因素?前面提到的風險承受能力、風險管理授權以及將未經篩選的信息交付CEO及董事會等正是其中的原則性內容。只有將這些因素全部納入安全管理流程，企業才能真正有能力抵御安全威脅。而CSO也只有獲得了相應的組織地位，方可與CEO或董事會進行順暢交流，從而在攻擊活動影響到企業之前就正確安排必要的應對措施。

事實上，很多現任CSO雖然擁有這一頭銜、手中卻欠缺警示致命安全風險的話語權。另一種令人不安的趨勢在于，首席信息安全官的角色似乎被迫向管理方面傾斜。在這種情況下，CSO的定位會受到嚴重拖累而非促進——這是因為CSO此時恐怕僅能作為有一定影響力的評論者而非風險決策制定者。#p#

匯報關系的變化剝奪了CSO的實權

損害CSO權利的另一大因素在于上下級關系的變化。普華永道發布的最新年度安全報告中表明：過去三年中CSO逐漸由專門向CIO述職轉變為需要向企業的其它各部門遞交報告。

這種趨勢讓人恐慌，因為CSO只有作為IT部門的一分子才能更好地完成自身工作。盡管與整個企業各部門進行互動能夠開闊視野、幫助CSO把握全局，但約有七成左右的信息安全問題需要由IT部門來決定并監控。

隨著CSO不再需要向CIO遞交報告，首席安全官的角色將逐步被排除在IT部門之外，并因此沒有機會參與到事件決策當中，甚至很可能在戰略及技術規劃工作方面失去話語權。

向CIO直接報告的另一大重要作用在于，一旦CSO與CIO之間發生意義分歧，安全管理者必須有能力將問題進一步遞交至CEO或者董事會成員手中，從而保證實際方針與風險評估方針保持一致。再有，管理結構中還存在另一種動態制約手段，即企業預算。如果剝奪了CSO的運營職責與預算制定地位，那么安全部門的組織能力與影響能力必然受到嚴重打擊。

規模較大的企業，IT部門間的“圈地”活動也不遺余力。首席信息安全官成為企業中的眾矢之的，各個部門都希望把安全職責劃分到自己的管理范疇當中，這些職責包括隱私管理、合規性遵循、審計、應用軟件開發、網絡運營以及架構組織等。大家可能不只一次的聽說過應用程序開發人員或IT運營管理員抱怨自己的日常工作受到安全規則或其它監控工具的約束。抱怨多了，IT門外漢的企業領導者便認為這些機制是多余的，但他們沒認識到：CSO與安全機制的存在確實對威脅起到了很好的控制作用，一旦放開、企業的安全機制將無法正常運行。

所以，今天，許多CSO已經開始將“業務部門需求”作為自身工作的最佳擋箭牌。在四面楚歌之下，他們不得不將風險一股腦推給業務部門，自己則閑坐著喝茶看報。

事實上，更好的處理方式在于建立一套正規化的風險評估模式，指定董事會中的某一位成員為安全風險承擔職責。然而有多少企業能把風險承受能力提升至董事會或者CEO的高度?缺乏這些基礎措施，CSO才會舉步維艱甚至敷衍了事。#p#

還CSO的權利需要企業魄力

下面我們要談的內容比較尖銳也的確如此，如今大部分企業都缺乏一種積極的進取精神，我將其稱為“企業魄力”。我們到底擁有一套有效的安全計劃、能幫助企業以正確方式處理風險?還是僅虛設一套名存實亡的安全規程、根本無法帶來實質性作用與影響?要做到問題的確切答案，企業需要拿出魄力與勇氣。幾乎沒有多少安全管理者有魄力站出來全力支持正確的處理方案，并強烈建議企業將其納入運營流程。面對如今這個威脅與風險空前高漲的時代，我們需要重新審視自己對于安全角色的定位。換言之，CSO只有獲得相應的組織地位并擁有足夠的魄力才能對企業高管所不擅長的風險決策提出質疑。

時至今日，技術的不斷發展促進了創新工作的提升，但同時也給安全提出了更多關于復雜性與安全性的難題。我們需要為CSO們提供其工作所必需的工具及資源，只有這樣才能使其職責得到真正貫徹。

很多企業已經開始積極應對未來可能出現的挑戰，利用成熟的安全規程保證CSO能夠與CEO及董事會成員們進行直接溝通、以自身組織影響力參與運營決策，從而真正讓企業步入安全發展的正軌。但遺憾的是，這些企業僅僅是行業中的特例，要真正使其成為普遍規則還有很長的路要走。