作为麦当劳公司的首席信息安全官,蒂莫西·扬布洛德(TimothyYoungblood)的职责范围很广且有影响力,这与几年前像他这样的大多数高管有很大不同。
作为这家快餐业巨头的首席安全执行官,扬布洛德的职责不仅是在全球范围内保护麦当劳品牌,还包括推进和支持业务计划和目标。他向高层领导汇报工作,具有董事会级别的重要性和责任心,并在公司的关键业务决策中有话语权。
扬布洛德说:“10到15年前,首席信息安全官的角色更像是一个独角兽。”“很少有公司配有首席信息安全官,甚至不知道首席信息安全官是做什么的。”
扬布洛德表示,如果已配有负责安全工作的主管,它通常会向基础架构副总裁或类似角色汇报工作,并且仅限于负责围绕访问控制之类的业务工作。如今,首席信息安全官不仅要向董事会汇报工作,而且还是其中的一员。“由于今天的头条新闻,大多数董事会都想在与首席信息官沟通之前先与负责安全工作的主管进行对话。”
首席信息安全官的快速发展
由于人们对数据隐私和保护方面的期望不断变化,首席信息安全官的角色正在迅速发展。数据泄露、法规遵从性和第三方风险管理都已成为人们关注的重点。
经历过数据泄露的组织可能需要付出巨大的代价和造成品牌损害。Equifax公司在2017年的数据泄露导致其损失3.81亿美元进行违约赔偿。此外,美国联邦贸易委员会(FTC)强制性要求该公司在未来五年内投入至少10亿美元用于安全工作的改进。
诸如欧盟的《通用数据保护条例》(GDPR)和《加利福尼亚消费者隐私法案》(CCPA)等法规正在通过要求组织机构对客户和消费者数据实施新的、更细致的控制措施来对他们施加压力。由于供应链和第三方之间的漏洞而导致的数据泄露,使企业面临承担新的责任,迫使他们做出反应。
首席信息安全官正处于如此多的变化当中,并且越来越多地被赋予责任来制定隐私风险计划,管理第三方风险和供应商。对于许多人来说,这些都是新领域,他们几乎没有经验,或者没什么现有技术可以借鉴,布鲁斯·波特(BrucePotter)表示。他是Expel公司首席信息安全官,是奥巴马总统“增强国家网络安全委员会”成员的高级技术顾问。
波特说:“我认为,首席信息安全官现在所处的环境与过去迥然不同。”“从很多方面来说,我们是一边逃离一边在建造飞机。”
不同的风险和监管环境
例如,许多组织机构发现自己必须实施用于数据映射和跟踪数据流的新功能,这样它们才能符合《通用数据保护条例》和《加利福尼亚消费者隐私法案》的要求,从而使消费者能够更好地管理自己的个人资料。波特表示,很少有组织机构具有这种能力,因为到目前为止,他们还不需要知道个人资料在其整个企业中所保存的位置。
同样,这些法规中对数据最小化的要求与许多组织机构近年来实施的数据挖掘和数据分析举措背道而驰,波特表示。他补充说:“您让首席技术官和首席信息官出去收集尽可能多的数据,然后将其放入数据仓库中,然后让业务变得更智能。”“没有人真正考虑过隐私问题,因为根本没有处罚措施。”
第三方风险管理和供应商管理是另外的领域,会提高首席信息安全官的重要性,以及使其变得更引人注目。如今,首席信息安全官的一个不错且不断增加的职责是为其组织机构审核供应商的产品和服务。最近的很多数据泄露事件都是利用攻击合作伙伴网络中的漏洞引发的,而且安全性组织越来越多地被要求来查找和清除潜在问题。
例如,扬布洛德最近就身处麦当劳公司的三笔技术收购中。波特说:“首席信息安全官的角色已经发生了巨大变化,成为了可以与哪些公司开展业务的仲裁者。”他最近接触的一些安全性组织将40%的时间用于管理第三方风险。他说:“这使他们符合采购等方面的条件,而在过去他们是不符合采购条件的。”
在这一领域,首席信息安全官在整个企业中变得越来越引人注目和有影响力。从仅限于主要负责运营和技术工作的一个角色,安全主管们第一次发现自己在越来越多的公司中担任更广泛和更具影响力的角色。
PASGlobal公司的前首席信息安全官、匈牙利石油公司MOLGroup的前首席安全主管贾森•黑沃德-格劳(JasonHaward-Grau)表示,首席安全主管正在获得更多机会来影响、合作和支持整个企业的变革。“我认为,各个行业的许多首席信息安全官都感到了来自同事、同行以及自身的期望。”
不断变化的环境要求首席信息安全官对自身角色进行不同的思考。以前,首席信息安全官具有运营和技术能力就足够了,如今,他必须能够展示出具有商业头脑,同时清楚安全性工作如何创造价值和商机。
首席信息安全官需要能够与业务主管、高管层和董事会合作;理解业务需求;成为新计划的推动者,以及成为不同业务职能部门(例如IT部门和运营技术部门)之间的仲裁者。黑沃德-格劳说:“首席信息安全官现在不仅需要了解安全性、风险和合规性,还需要了解对其业务、客户以及目前的供应商群体的潜在后果和影响的细微差别。”
首席信息安全官的汇报工作途径成为关注重点
首席信息安全官角色的快速变化迫使人们需要解决有关其汇报工作途径的一些长期存在的问题。传统上,首席信息安全官向首席信息官、首席技术官或在某些情况下向基础架构主管汇报工作,这是因为他主要被视为具有运营性和技术性角色。
一段时间以来,很多人认为,要想真正管理风险和推动变革,因为存在利益冲突,首席信息安全官的角色必须与IT部门分离。尽管首席信息官通常会基于维护系统正常运行和采用新技术而衡量其成绩和受到奖励,但首席信息安全官则专注于保护公司资产和降低风险。
近年来,出现了将安全治理工作与运营工作分离开来的趋势。一些首席信息安全官已开始向首席执行官、首席财务官、首席运营官,甚至总法律顾问汇报工作。扬布洛德表示,由于在管理网络安全等领域中人们对该角色的运营预期,绝大多数首席信息安全官继续向首席信息官汇报工作。他说:“如果将这些运营职责转给其他主管,您将会看到首席信息安全官更多地关注于治理和战略工作。”
首席信息安全官负责的许多安全功能正在整合到组织机构所购买的技术中。扬布洛德表示,例如,大多数网络路由器和边缘设备已经集成了安全功能,可以由基础架构和运营团队进行管理。同样,身份管理工作也正变得更成为一个交钥匙项目,具有高度可操作性和高度可重复性,而且基础架构团队可以处理。他表示,首席信息安全官越能摆脱这些岗位职责,就越能承担起真正的治理角色。
对于首席信息安全官而言,自然的发展方向是成为首席信息风险官(CIRO)角色,与财务、战略、运营和其他团队进行紧密合作。扬布洛德表示,预计策略管理职能也将交给首席信息风险官。他说:“我们目前看到,这个角色更多地出现在金融服务行业中,但它也将更多地出现在其他行业中。”