信息來源：51cto

每年，首席信息官(CIO)官網(wǎng)都會發(fā)起名為“State of the CIO”的CIO現(xiàn)狀調(diào)查，今年的調(diào)查報告已經(jīng)出爐，這些調(diào)查數(shù)據(jù)將幫助你窺悉CIO角色在今天商業(yè)環(huán)境中的演變趨勢，有助于你了解2018下半年的企業(yè)信息化發(fā)展態(tài)勢并確定自身企業(yè)相關(guān)議程。

此次的CIO現(xiàn)狀調(diào)查涉及范圍廣泛，內(nèi)容多樣，但今天我們要重點來關(guān)注的是2018年到現(xiàn)在為止的一些企業(yè)IT安全狀況，由于安全導致的違規(guī)成本不斷升高，而且信息安全已逐漸成為各大公司企業(yè)戰(zhàn)略中的關(guān)鍵部份，是企業(yè)關(guān)乎全局發(fā)展中不可忽視的問題。那么在企業(yè)信息化發(fā)展中，到底誰來負責信息安全?負責信息安全的人主要向誰匯報對誰負責?還有一個實質(zhì)的問題是，信息安全負責人手中多少預(yù)算才合理?針對這些安全相關(guān)問題，我們也圍繞企業(yè)信息安全職位的發(fā)展定位，作了一個名為-The state of IT security 2018 的調(diào)查，希望結(jié)合State of the CIO的調(diào)查報告，厘清企業(yè)信息安全規(guī)劃和發(fā)展思路，起到一些借鑒作用。

企業(yè)中到底誰來負責信息安全?

查看一家公司是否確實重視某事的最好方法之一，就是看看他們負責這件事的人對公司來說有多重要。從確切的信息化任職頭銜上來說，可能會讓人造成一些混淆，有首席安全官(CSO)，也有首席信息安全官(CISO)等，而且這些任職描述也可能因公司而異，就比如說首席安全官(CSO)負責的會有物理安全和數(shù)字信息安全的工作。

按照這種安全職位的任職方式來看，在我們調(diào)查的公司中結(jié)果有些混亂，有25%的公司擁有CISO，11%的公司擁有CSO，17%的公司安全高管中還兼任另一職位頭銜，這也就意味著有近一半的公司沒有專職管理人員來負責企業(yè)的信息安全工作。

• 首席安全官(CSO)負責整個機構(gòu)的安全運行狀態(tài)，既包括物理安全又包括數(shù)字信息安全。CSO負責監(jiān)控、協(xié)調(diào)公司內(nèi)部的安全工作，包括信息技術(shù)、人力資源、通信、合規(guī)性、設(shè)備管理以及其他組織，CSO還要負責制訂安全措施和安全標準。CSO需要經(jīng)常舉辦或參加相關(guān)領(lǐng)域的活動，如參與跟業(yè)務(wù)連續(xù)性、損失預(yù)防、詐騙預(yù)防和保護隱私等相關(guān)議題的活動。 　首席信息安全官即CISO，負責整個機構(gòu)的安全策略。
• 首席信息官(又稱CIO，是Chief Information Officer的縮寫)中文意思是首席信息官或信息主管，是負責一個公司信息技術(shù)和系統(tǒng)所有領(lǐng)域的高級官員。他們通過指導對信息技術(shù)的利用來支持公司的目標。他們具備技術(shù)和業(yè)務(wù)過程兩方面的知識，具有多功能的概念，常常是將組織的技術(shù)調(diào)配戰(zhàn)略與業(yè)務(wù)戰(zhàn)略緊密結(jié)合在一起的最佳人選。CIO原指政府管理部門中的首席信息官，隨著信息系統(tǒng)由后方 辦公室的輔助工具發(fā)展到直接參與企業(yè)的有力手段，CIO在企業(yè)中應(yīng)運而生，成為舉足輕重的人物。美國企業(yè)的首席信息經(jīng)理相當于副總經(jīng)理直接對最高決策者負責。

負責信息安全的人向誰匯報工作?

當然，熟諳公司文化的人都會了解，通常個人在公司的內(nèi)部影響力，很大程度上取決于自身向誰匯報工作而定，由此，我們就這個問題，分別向設(shè)有CSO和CISO的公司進行了一些調(diào)查，但結(jié)果卻各有不同。

在設(shè)置有CSO的公司里，大約有一半公司的CSO直接向CEO或COO匯報工作，而有將近四分之一公司的CSO直接對公司CIO高管負責;而對設(shè)置有CISO的公司里，這種工作負責制幾乎是相反的，有接近一半公司的CISO受CIO高管負責領(lǐng)導，有四分之一公司的CISO受公司其它高管負責領(lǐng)導。根據(jù)這種調(diào)查情況來看，至少從目前來看，似乎CSO是個更具威望的職位。而且在這兩個職位之上，有時還會存在一些其它的隱形潛在領(lǐng)導，比如部門CIO和資產(chǎn)防損的CFO等。

信息安全負責人如何來規(guī)劃企業(yè)信息安全發(fā)展道路?

為了實現(xiàn)效率最大化原則，安全需要從一開始就要融入集成到企業(yè)的規(guī)劃戰(zhàn)略中去。對于大多數(shù)公司的IT高管來說，這是公司信息化發(fā)展中最根本的事。我們針對IT安全規(guī)劃和IT戰(zhàn)略結(jié)合度的調(diào)查發(fā)現(xiàn)，有接近54%的受訪公司表示其已進行了“高度整合”，這也側(cè)面表明，IT安全規(guī)劃已經(jīng)逐漸成為IT戰(zhàn)略發(fā)展中的重要部分。但也有近10%的公司表示，他們的安全投資或響應(yīng)僅限于對當前出現(xiàn)的安全事件或挑戰(zhàn)進行部署。

接受調(diào)查訪問的公司IT高管深知這方面還存在很多不足之處，所以在我們問到，三年后如何整合IT安全戰(zhàn)略與IT戰(zhàn)略時，有82%的公司IT高管表示，會把這兩者“緊密集成”，而僅有2%的公司IT高管表示不會集成整合。

公司CEO應(yīng)該為企業(yè)安全做些什么?

對于信息安全方面的專業(yè)技術(shù)人員來說，抱怨高管人員對安全的松懈態(tài)度已經(jīng)司空見慣，但隨著網(wǎng)絡(luò)攻擊的增加，作為公司CEO的首席執(zhí)行官們也會慢慢開始了解到，他們的工作與安全事件的潛在后果密切相關(guān)。在2015年的休斯頓CIO Perspectives會議上，F(xiàn)oley&Lardner LLP技術(shù)事務(wù)與外包業(yè)務(wù)合伙人Matthew Karlyn就表示，在這個數(shù)字經(jīng)濟驅(qū)動的利益環(huán)境下，數(shù)據(jù)泄露事件都會在各個公司不同程度的潛在或發(fā)生，公司必須提前做好準備，以最大限度地減少對資產(chǎn)、員工和客戶的影響， “The entire C-suite and board is on the hot seat for security these days”(整個公司高層和董事會都需要著重考慮安全問題)。

針對這個問題，我們向受訪公司CIO詢問，公司CEO在來年的首要任務(wù)是什么?在排名前三的選項中，有36%的CIO表示，公司CEO在來年可能會提升企業(yè)IT和數(shù)據(jù)安全架構(gòu)以防止網(wǎng)絡(luò)攻擊，這是這些CIO給出的最多選項。

信息安全處理需要流程化

在一項可能與公司CEO避免網(wǎng)絡(luò)攻擊的關(guān)注點有所沖突的數(shù)據(jù)抽樣調(diào)查中，有28%的受訪公司表示，“安全/風險管理”只是一項推動IT部門投資的技術(shù)舉措，而其余受訪者則強調(diào)企業(yè)資金可以向其它非安全業(yè)務(wù)方面傾斜。

但當我們深入問到會有什么樣的業(yè)務(wù)計劃會推動企業(yè)IT投資時，得到了一些不同的回應(yīng)：31%的人表示“增加網(wǎng)絡(luò)安全保護”，另外19%表示可以用“滿足合規(guī)要求(如GDPR等)” –而這種遵守GDPR等規(guī)則的方法，又通常屬于高級別安全管理人員的權(quán)限范圍。這些不同的聲音表明，公司管理人員在企業(yè)整體戰(zhàn)略規(guī)劃中，確實應(yīng)該將安全視為其中的一部份進行通盤考慮，而不僅僅是把安全簡單地看成是購買安裝一套安全軟件的方式。

公司IT安全規(guī)劃需要花費多少錢?

在2015年，IDC調(diào)查表示公司IT預(yù)算的13.7%是最理想最合理的信息安全支出數(shù)額，但最近幾年，網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴峻，這也意味著IT安全支出只會大幅增加，公司其它方面的預(yù)算也會有所調(diào)整。

盡管如此，我們大多數(shù)受訪公司還是達不到這個理想的安全支出預(yù)算：有超過一半受訪公司聲稱，只有不到10%的花費用于信息安全，而僅有四分之一的公司安全支出在10%到20%的范圍內(nèi)。

公司最希望招聘什么樣的安全人才?

這些調(diào)查數(shù)據(jù)會讓大家覺得，信息安全是一個非常極具前景的領(lǐng)域，尤其對于那些想要涉足這個領(lǐng)域的信息安全專家來說，你的選擇非常明智。經(jīng)過調(diào)查我們發(fā)現(xiàn)，很多公司在適當?shù)陌踩寄芙M合中，最急切最希望招聘的是那些具備安全和風險管理技能的專家型人才，有大約39%的受訪公司都選擇了這類型人才。在最希望招聘的top5職位中，分別為安全/風險管理人才、業(yè)務(wù)情報和數(shù)據(jù)分析專家、云集成專家、應(yīng)用程序研發(fā)、企業(yè)管理軟件研發(fā)。從這一點來說，安全小白們，成為高帥富的路，為你們指明了，好好學習，歷精技藝吧。