《华尔街日报》：企业科技领袖厘清各自在网络安全中的职责

信息技术与网络安全主管们在2022年关系愈发紧密，这种态势使得威胁应对更为全面，但也引发了关于职责划分的新问题。

许多高管表示，随着双方在网络安全领域的角色趋于融合，他们正努力厘清共同承担的安全与IT职责边界。

数据库服务提供商MongoDB公司首席信息安全官莉娜·斯马特称，几年前若遭遇勒索软件攻击，首席信息官会"匆忙求助"CISO处理善后。

斯马特女士表示，如今她的安全部门与CIO明迪·利伯曼协同预防勒索攻击。据其透露，该公司约50%有IT部门积极参与的威胁演练都涉及勒索软件场景。

分析师指出，全球范围内CIO与CISO正在重构合作关系，这一转变既源于重大网络攻击激增，也因IT持续现代化推动网络安全跃居CIO优先事项首位。最常见的企业架构中，CISO向CIO汇报。

技术研究与咨询公司Gartner首席研究员克里斯·霍华德今年早些时候向《华尔街日报》表示：“网络安全…已成为最高优先级。”

企业技术环境中云计算和基于云的软件加速采用，也使云成为“顶级攻击者的主要目标”，Alphabet公司旗下谷歌云的首席信息安全官菲尔·维纳布尔斯表示。

维纳布尔斯称，这也促使首席信息官与首席信息安全官之间建立更紧密的联系，因为他们更加重视保护跨云环境的基础设施。

公用事业公司杜克能源的首席信息官邦妮·蒂托内表示，在某些情况下，首席信息官与首席安全官会就IT团队应优先处理软件补丁和系统监控等任务进行“艰难对话”，这些任务对缓解网络威胁至关重要。蒂托内称，这些任务可能加重IT运维团队的工作量。

一位商业技术领袖顾问建议首席信息官与首席安全官明确界定职责归属和问责机制。图片来源：Woohae Cho/彭博新闻社这家总部位于北卡罗来纳州夏洛特的电力生产商约一年前将网络安全纳入蒂托内的职责范围，部分原因是为应对类似导致殖民管道公司2021年暂时关闭管道的勒索软件攻击等网络威胁。

“作为公用事业公司，尤其是最大规模的企业之一，杜克就像800磅重的大猩猩，”蒂托内说，“我们通常会成为众矢之的。”

尽管首席信息安全官向她汇报，蒂托内女士表示安全部门拥有"最响亮的话语权"。另一方面，“IT部门的职责是赋能公司，否则就无法构建工具、规则和组件。那会阻碍创新，“她说。

医疗保健产品公司强生的首席信息官吉姆·斯旺森指出，虽然安全属于他的优先事项和职责范围，但他确保首席信息安全官马琳·艾莉森的意见能被听到。公司表示艾莉森女士将于年底退休，由加里·哈比森接任。

“我始终确保这是一个重要职能部门，直接向我的领导团队汇报，它没有被埋没在组织架构中，他们拥有独立发言权，“斯旺森先生说。“因此当我向董事会汇报时，我谈运营数据，而由我的首席信息安全官做专题汇报。”

在Adobe公司，首席信息安全官制定企业网络安全政策，但会与IT部门协作执行，该公司首席信息官辛西娅·斯托达德表示。但双方也存在协作关系，“安全部门可能制定政策，而我的团队会提出’嘿，你们考虑过这个吗？’“斯托达德女士说。

软件制造商Freshworks公司的首席信息官兼前首席信息安全官普拉萨德·拉马克里希南表示，在评估企业软件采购的网络安全弹性方面，IT和安全部门共同发挥作用。在保障混合办公环境安全时，他兼任网络安全和IT的双重角色，包括在公司笔记本电脑的云端软件上新增网络安全防护层。

MongoDB的斯玛特女士表示，她经常与利伯曼女士合作，确保公司软件工程师开发的内部应用程序的安全性。“作为一家科技公司，我们有许多定制工具，“她说。“如果我们发现某个工具存在严重漏洞，他们会立即修复。这是我们的协议。”

随着对企业安全负责人需求的增长——以及该角色的地位和可见性的提升——人们对首席信息官（CIO）和首席信息安全官（CISO）之间的动态关系重新产生了兴趣，与IT领导者合作的Gartner顾问亚历克斯·迈克尔斯表示。

迈克尔斯先生建议首席信息官和首席信息安全官"明确所有权、责任以及角色和职责的定义”，特别是针对勒索软件和恶意软件攻击场景。

“无论首席信息安全官和首席信息官之间的关系如何，重要的是要记住，信息的业务所有者最终要负责保护自己的信息，“他说。

 伊莎贝尔·布斯凯特对本文亦有贡献。

请致信贝勒·林，邮箱：[email protected]