每次發生數據泄露事故，都暴露了一家企業的安全做法中存在的問題。在Target泄露事故中，最有趣的的發現是，Target公司所有安全責任都在***信息官(CIO)身上，該公司甚至都沒有***安全官(CSO)。

[[111547]]

毫不奇怪，當Target公司CIO兼技術服務執行副總裁Beth Jacob上個月辭職時，很多人提出的***個問題是CIO Jacop是否應該承擔責任，因為運行IT基礎設施(通常是CIO的責任)和保護信息(通常是CSO的責任)涉及不同的責任，這兩者可以是互補的，但經常存在分歧。

首先，任何規模的企業(特別是Target這樣規模的企業)需要有一個負責安全的高管，并且，安全部門需要在董事會有一席之地。如果安全完全交給IT部門(其主要職責是運行可靠的基礎設施)，可能會出現糟糕的決策和泄露事故。

現在，企業沒有CSO就像是足球隊沒有后衛。為了讓企業取得成功，他們必須擁有可靠的基礎設施以及對信息的適當保護。如果企業只有CIO而沒有CSO，沒有人會側重于安全性，壞的事情將會發生。缺乏CSO意味著缺乏安全性。

最有可能的情況是，Target有一個安全團隊，對所有安全問題大喊大叫。但管理層沒有人聽他們的投訴或者幫助他們解決問題。工程師需要能夠與CEO進行溝通，CSO就是他們的溝通渠道。如果沒有CSO，關鍵的安全信息無法傳達到管理層。筆者猜測，如果Target高管收到了關于安全的正確信息，他們可能會作出不同的決定，這個故事可能會有一個快樂的結局。

平等的代表權

CIO和CSO應該是盟友，在董事會有著平等的代表權。通常情況下，CIO直接向***運營官報告，CSO向CFO報告。COO和CFO直接向CEO報告。但無論組織結構如何，CIO和CSA必須有著不同的報告結構。而且，為了讓CIO和CSO建立有效的工作關系，他們必須有明確的責任界限。

通常情況下，***的做法是，讓CSO定義適當的安全水平，CIO來部署安全，審計員來驗證這種安全性的實現。CSO定義的安全性應該基于企業可接受水平的風險，提供明確的指導方針，并提供衡量合規性的簡單方法。

隨著越來越多的安全泄露事故被公開，我們應該更容易說服高管他們需要一個CSO。真正的問題是，很多CIO不希望有一個CSO，因為如果由他們控制IT基礎設施的所有方面， 他們能夠更容易地完成工作。這些內部政策創造了這種局面，即CIO不會游說高管設置一個CSO。因此，企業需要另外的人來告訴***執行官，“你對企業的安全水平感到滿意嗎?你是否收到了正確的安全指標來作出決定?”

在很多情況下，***執行官想要創建一個CSO的職位，但CIO說服他們，他們并不需要CSO。雖然他們有著良好的意圖，往往是CIO在抵觸CSO，因為CSO減弱他們控制權，可能使他們的工作變得更加困難。筆者的預測是，在未來五年內，大多數企業都會有一個CSO，直接向高管報告。

在你的企業，CIO和CSO是什么關系呢?他們是盟友還是敵人呢?