安排專職高管負責安全問題的重要性越來越明顯。這也是IDG《2020年安全重點研究》的主要發現之一：61%的受訪公司有安全專家身居高管位置，大企業在高管層給安全專家留一席之地的比例更是高達80%。這些安全高管在公司中發揮著重要作用：同一研究發現，相比設置了安全高管的公司，缺乏CISO、CSO或其他高層安全管理人員的公司更容易反饋稱其雇員安全培訓不足，安全策略不夠主動。

[[391222]]

但不是所有的安全高管在公司組織架構圖上的位置都是一樣的，而其間差異會影響組織文化和安全結果。安全職位上的員工不可避免地會與其他人發生沖突，因為安全人員的本能就是鎖定系統讓人難以訪問，而這顯然不能令希望信息和應用都能無摩擦訪問的IT部門滿意。CISO/CSO對戰CIO時就會在公司組織架構高層上演此類劇碼，斗爭輪廓往往由公司內部的匯報層級描繪：如果安全高管向IT部門管理層匯報，CISO的戰略執行能力就會受限，因為他們的設想終需服從IT部門“更大”的構想。

《2020年安全重點研究》訪問調查的公司中，近半數安全主管直接通聯公司高層。34%的案例中，安全高管向CEO匯報，另有12%向董事會匯報。同時，33%的情況下CISO或同等職位人員向公司CIO或部門CIO匯報。余下21%分散在不同匯報途徑上，例如首席風險官或法律總顧問。小公司傾向于扁平化組織安排或許并不令人意外：研究發現，中小企業里59%的安全高管直接向CEO匯報，大企業這一比例僅為22%。

還有一個同樣不出意外的有趣關聯：能夠“上達天聽”的安全高管也更有可能瓜分較多IT預算留作安全所用。CIO.com發布的《2019年CIO狀態》調查報告也清楚地反映了這一點。IT預算中只有不到5%花在安全上的公司同樣有可能是CSO向CIO或CEO回報;但在安全上投入10%或更多的公司，CSO向CEO匯報的概率要高出一倍。安全高管頭銜落在CISO身上的公司這種影響甚至更加突出：IT預算只花不到5%在安全方面的公司，僅3%的CISO向CEO匯報，但安全預算占IT預算10%以上的公司，26%的CISO向CEO匯報。

▶ 頭銜意味著什么?

面對這么多種頭銜，我們不妨先闡述下個中區別。頭銜使用上的一些趨勢可以用來區分CSO和CISO。總的說來，根據《2019年CIO狀態》調查研究的數據，CSO在公司組織架構中的層級相對較高：安全高管頂著CSO頭銜的受訪公司中，43%直接向CEO匯報;但僅18%的CISO能直面公司高層。9%的受訪公司稱其首席信息安全主管向CSO匯報，表明該CSO職位有時候還負責IT以外的職責，比如物理安全。

但也有許多例外，對很多公司而言，CSO職位純屬技術性質。與其硬性區分，不如就用“CSO”統稱安全高管，假定其絕大部分工作職責落在信息安全上。而且，事實上，很多專家都是混用CISO和CSO的。

▶ 安居IT范疇?

企業總是從小做大的，其匯報結構也是在發展壯大的過程中形成的。在成立時間相對較短的公司里，CSO向CIO或其他IT主管的結構很常見。如果公司尚有大量阻止和處理工作有待完成，例如確保實施恰當的防火墻規則，或者及時應用安全補丁，甚或初步盤點公司資產等基本過程;那這種情形就很真實了。畢竟，都不知道信息和設備在哪兒，何談信息安全保護?CSO向CIO或IT主管報告的安排，能夠使CIO充分摸清IT的情況，各個信息技術領域的全面可見性都匯集到一個中心人物那里。

但隨著公司逐步成長，安全職能再呆在CIO體系下就不舒服了。最突出的就是，CSO可能會發現自己未必與IT部門其他人共享相同的工作目標和動力。CSO向CIO匯報的結構可能會造成成本管理凌駕于風險管理之上。說得更直白一點：CIO通常因為交付能帶來收益的業務項目而獲得獎勵。CISO的工作則是修復漏洞，而這些安全項目總在跟盈利驅動的項目爭奪資源。

此外還有重點不同的問題：CIO的業務目標很多，如果CSO受CIO管轄，他們在完成大項目時就會被劃到同一陣營。舉個例子，HigherGround Managed Services首席執行官Brian Brammeier就在提供的咨詢的一家公司遇到過這樣的場景：“有個重大安全漏洞正在泄露數據。CIO收到了通知，但并沒有把這個問題分類為必須拋下一切優先修復的問題，也就沒有給予應有的足夠重視，而實際上這個問題還真就是不及時修復就會出大亂子的。鑒于問題的嚴重性，安全主管聯系了董事會，后來董事會就修改了匯報結構，CISO直接向董事會匯報了。”

Brammeier解釋道：“發現安全問題的時候，大多數人都會豎起防御姿態。出現問題時其實無所謂是誰的錯，只要專注解決問題就好。”但在現實中，不是每個人都這么有大局觀，CSO和頂頭上司CIO之間的沖突也不是每次都能像Brammeier描述的案例那樣妥善解決。沒錯，你可以告知董事會你和CIO之間的分歧，但這通常無益于你在CISO的職位上干得長久。

▶ 具有戰略思維

向CIO匯報可能會限制CSO的戰略執行能力。處在這個位置上的CSO對自己主張的安全狀態是投錢又投人。承認自己構建的安全架構不再有效可能會引發巨大壓力，因而CISO并不愿意在有需要的時候推倒重來或調整。基本上，CISO既沒權力也沒動力轉向有益于整個公司的安全方法。

公司設置有直面高層的匯報結構就能避免CSO陷入這種陷阱。公司技術側一旦成熟，安全部門就能過渡到更加基于風險的方法，向公司高層匯報。事實上，大多數受訪者表示，前瞻性思維公司的標志之一就是CSO不聽命于CIO，而是像公司領導人一樣思考。

CSO這個角色更像是多部門協調者的組織受到幾位受訪高管的推崇。掌握所有安全相關事務的“指揮控制”型CISO概念不再有效。CISO成為了委員會主席一樣的人物，負責跨部門收集和溝通各項指標，再打包上呈公司高層。這種模式下，安全架構存在于公司各個職能領域，由CISO負責治理和提供透明性。

換句話說，CSO需要跳出IT范疇。CISO完全以IT為中心，并因此位于CIO管轄之下的日子一去不復返了。安全有效性管理和風險管理超出了IT范疇，需在高管層級上執行，這樣技術決策者和非技術決策者才都能擁有基于證據的數據，能夠更高效地做出明智的業務決策。

▶ 上達天聽

讓決策者聽到自己的聲音，或許是CSO想要跳出IT體系最重要的原因，而且，離頂層越近越好。理想狀況下，CSO/CISO可以直接向董事會匯報。鑒于大多數公司的實際情況，更務實的目標或許是向CEO或同等地位的人匯報。CISO或CSO想要真正高效，就需要接觸核心決策過程和權威，作為獨立的聲音參與決策過程。想要真正為公司提供信息與資產安全指引，就需要加入到高管層決策會談中去。不單純作為旁觀者，而是要擁有投票權。

提到如何獲取CSO需要的資源，讓領導層聽到自己的聲音能帶來切實的好處。通常，安全文化扎實的成功企業里，CSO都是直接向CFO或COO這樣的高管匯報的。這些高管一般深涉日常決策，有能力理解長期安全需求并將之納入資本支出計劃，也能夠在必要的時候為“應急”需求提供資金支持。

▶ 組織結構的多種可能性

大多數受訪高管都承認，CSO向CIO匯報的模式仍就十分常見，但多少情況下并不是理想之選。被問及偏愛的匯報路徑時，這些高管提出了許多建議。

• CSO→CEO：CSO向CEO匯報可以提供直接而及時的信息流。而且有時候如果你的高管恰好是技術出身，那你的贏面就更大了。有個技術型CEO當領導真的是太走運，可以跨越典型的溝通障礙，讓我們能夠享受當今社會的快節奏進展。·
• CSO→COO：但不是每個人都那么幸運，CEO每天面對那么多需求，安全考慮可能被排到了其他重要決策之后。與此相反，如果向COO匯報，CSO就相當于能接觸“重度參與日常決策”的領導層。
• CSO→CFO：在有些公司里，CFO負責避免出現任何形式的財務損失，安全也就進入了他們的視野。不過，CFO通常缺乏技術背景，不太能理解CISO職能的錯綜復雜。有利情況下，CFO稍作拖延就選擇支持CISO。如果是不利情況，CFO的技術欠缺加上他們一貫的省錢思維，就能陷CISO于困境。有些公司選擇讓CSO向更專業的首席風險官(CRO)匯報。
• CSO→法律總顧問：由于網絡安全風險和數據泄露事件常帶來重大法律影響，尤其是在監管嚴格的行業，讓CSO向公司首席律師匯報就很明智了。公司可以利用這一匯報結構深度協調和統一圍繞網絡風險的問責和觀點。
• CIO→CSO：看起來似乎是顛倒了，但有時候確實會這樣。這一定程度上是因為IT、云、移動應用和其他由業務部門推動的項目的消費化，而不是企業范圍的IT決策。同時，CIO向CSO報告的匯報關系也受到企業歷史的影響，典型的例子就是CIO升任CISO然后給自己招聘了個CIO下屬的情況。

▶ 應得的尊重

向高層匯報的CSO更受看重，這樣會增加他們的工作滿意度。與決策者之間的距離是CISO平均任期只有18個月左右的常見原因。CISO不是個好著手的工作，如果不能通往成功，那就很難干得長久。如果公司想要招聘安全高管，匯報關系是CSO向CEO報告的話會更能吸引到頂級人才。

但能否得到尊重不僅僅關乎CSO的個人幸福，還關乎公司的安全。CSO在重視安全的公司里最為如魚得水，而賦予CSO直通公司高層的權力，才能形成這種相得益彰的局面。如果數據泄露事件會搞垮公司，那CISO就應該向CEO匯報。事情就這么簡單，不過是將CEO的思維轉向確保做好安全計劃而已。CISO直接向CEO匯報的時候，信息流就及時而通暢了。這種匯報關系還向整個公司及其利益相關者(雇員、客戶、董事會、投資人等等)表明安全是頭等大事。

越來越嚴格的安全監管要求也促使CSO獨立于IT直接向高層匯報。今天這種監管大環境下，公司理應將CISO/CSO置于擁有獨立性和監督權的位子上，能夠作為安全職能和功能的業務顧問。如果位于CIO之下，CISO就失去了獨立性和客觀性，其評估工作就受到控制和束縛，以至于根本發揮不出價值。

最后，不斷變化的法律和威脅形勢也將使CSO成為CIO和其他高管的同級搭檔，而原因只有一個：最終盈虧!最近，影響公司股價的安全事件屢見不鮮。例如，Equifax的股價在公司發生重大數據泄露后就沒再恢復，索尼的股價也一樣，在PlayStation數據泄露事件和內部文件被盜事件后一直疲軟。隨著此類影響甚廣的重大事件不斷發生，CISO或許將在未來幾年內開始進入公司的高級管理團隊。

IDG《2020年安全重點研究》：(戳閱讀原文直接查看)

https://resources.idg.com/download/2020-security-priorities-executive-summary