報告關係不只是組織圖上的線條而以,他們是權限的分派。最終,資安長報告向誰報告,反映的不只是個人的效率問題,而且更反應了組織的成熟度。
文/Josh Fruhlinger 譯/高忠義
CIO.com 所進行的2019年資訊長當前情勢調查(State of the CIO survey)調查轉型中的產業。調查發現23%的高階安全主管向執行長報告,而將近45%的高階安全主管向資訊長報告。受訪者對於安全議題日益獲得高階管理人應有的考量似乎頗有信心:64%受訪者表示IT安全策略已緊密整合而變成公司整體IT策略與發展路線圖的一部分。
僅管可預期這些受訪者都是資安議題的關注者,但這項調查也顯示有44%的受訪者並不具有任何著重在安全事務的職銜。不讓人意外的,是否出現這種主管職銜與公司規模有關,在營收收於一億美元的公司當中只有40%有高階安全主管,但營收達五十億美元以上的公司則有74%有此職銜。
還有個相關的情況,或許不讓人意外,但也相當有趣:向高管報告的安全主管更有可能為安全用途爭取到更多的IT預算。那些在安全事務上花不到5%IT預算的公司同樣可能讓它們的安全長向資訊長或執行長報告;但那些在安全事務上花費達10%以上IT預算的公司,它們的安全長向執行長報告的可能性達到兩倍。如果高階安全主管的職銜是資安長,則此效應更加顯著:花費不到5%IT預算的公司當中只有3%的資安長是向執行長報告,而花費超過10%IT預算的公司當中有26%的資安長向執行長報告。
規模較小的公司也較可能看到負責資安事務的人與高階主管之間的關聯性。就各種職銜來說,在年營收少於一億美元的公司裡,資安主管更有可能向執行長報告。舉例來說,屬於此一規模層級的受訪公司當中有61%的公司讓安全長直接向執行長報告;相對的,在年營收超過一億美元的公司裡,有60%的公司,在組織圖上顯示安全長與執行長中間還有別的主管。
職銜的內含是什麼?
既然我們已經提了許多不同的職銜,我們就多談一些。在詞彙的使用上有個廣泛的趨勢似乎將安全長與資安長分開。一般來說,根據IDG的2019資訊長當前情勢調查,安全長傾向於在組織上有更高的位置:在那些高階安全主管具有安全長職銜的受訪公司中,43%直接向執行長報告;但只有18%的資安長向高管報告。而9%的受訪者表示他們資安主管向具有安全長職銜的人報告,這顯示那個職務似乎還包括IT以外的工作,最顯著的是實體安全。
但是有許多的例外,對許多公司來說,安全長的工作範圍純粹是技術性的。與其試著劃出一清二楚的界線,我們之後大致上將使用「安全長」來稱高階的安全主管,而推定他們的工作大致上是聚焦在資訊安全,即使並非只有那樣的內容。與安全長談話的許多人混用資安長與安全長,而他們的回答也反應了這種用混合的用法。
安居在IT的巢中?
公司一般並不是一開始就是大型企業:它們是慢慢變大的,而且他們的報告架構時常是在成長的過程中形成的。在相對較新的公司裡,安全長向資訊長或其他IT主管報告是常有的情況,Chicago Metrics的創辦人Edward Marchewka這麼說。尤其就像他所說的,「有許多阻截擒抱的工作要做,基本的流程像是確保適當的防火牆規則或即時地使用安全修補程式,或甚至公司資產清冊(*譯注:原文company asserts,雖然稽核實務上有管理聲明Management Assertion,但後文提到資訊與裝置,似乎與聲明無關 )。如果你不知道資訊與裝置在哪,你就無法加以保護」。LaSalle Network的技術人才招募服務部門經理Paul Wallenberg表示這樣的安排效果頗佳,可以給資訊長IT工作全盤的職權,讓他們「能完整看到所有的資訊科技領域事項集中到一個核心人物。」
但隨著公司成長,安全事務放在資訊長的轄下可能發生磨擦。尤其,安全長可能發現他們工作與IT部門其他人員的工作未必有相同的目標與誘因。美國安永諮詢服務主管Dave Burg表示,若公司的架構要求安全長向資訊長報告,這可能導致「過度偏重成本管理,而輕忽風險管理」。曾任SecurityScorecard安全長,而現在接任執行長的 Alexander Yampolskiy更直白地說:資訊長「通常因為達成影響營收的業務專案而獲得獎勵。資安長的工作是要解決弱點,而那些安全計劃總是會與追求營收的專案爭奪資源。」
他們之間也有不同的優先順序:資訊長有很長的目標清單,而如果安全長是他的下屬,安全長會發現自己被晾到一等大案子做完才處理他的事。HigherGround Managed Services 執行長Brian Brammeier 描述某個由他提供顧問服務的公司所遇到的情況「過去有個重大的資安議題在於資料外洩。已經報告資訊長,但那並未獲得需要的優先順位,因為資訊長不把那件事當作必須放下其他事來解決的問題,但事實上那是這樣的問題。因為問題非常嚴重,所以安全主管向董事會報告,董事會因此便更了報告的結構,讓資安長直接向董事會報告。」
「如果發現了安全問題,人們可能有防衛心」Brammeier如此解釋。「一開始,到底是誰的錯並不重要;那個問題就是必須解決,」但在現實世界裡,並不是每個人的心胸都如此寬擴,而且安全長與他們的資訊長之間的衝突最後就像Brammeier描述的情節那樣。「是的,你可以向董事會報告你對資訊長的指示有多不滿,」Kudelski Security的Hicks這麼說,「但那對你的資安長職涯生命通常沒有幫助。」
著重策略
向資訊長報告可能局限安全長有策略地執行職務的能力,Zscaler的資安長Bil Harmer這麼說。在那種局面下的安全長「無論在財務還是個人都投注於他們大力推廣的安全布局」他如此解釋。「若是承認他們建構的安全架構已不再有效,可預期的反響就是造成極大的壓力,因此資安長較不可能在需要的情況拆毀原來的架構進行調整。整體來說,資安長不覺得有權力或被鼓勵轉往有利於整體事業的方向。」
能夠直接通往公司更高階層有助於讓安全長脫離那樣的困局。「一旦公司的技術端已經成熟偏向以風險為基礎的方法,並向事業更高階主管報告。」的確,我們採訪的大部分人士都覺得安全長不用向資訊長負責是前瞻型的公司好的徵兆,安全長因此可以處在另一種位置,而像公司的領導人那樣思考。
接受我們訪問的高階主管當中有幾位則鼓吹某種組織方式,讓安全長扮演偏向跨部門整合協調的角色。「『指揮大局』而控管任何安全相關事務的資安長已經不是有效的架構」,BluVector執行長Kris Lovejoy如此表示。「資安長變成委員會主席,負責組織跨面向的資訊蒐集與溝通,而後彙整並向領導階層報告。」Netskope的資安長Lamont Orange補充「在這種模式裡,安全架構安排在組織的每一個功能領域,而由資安長提供全盤治理,並使資訊透明。」
換句話說,安全長需要跳脫IT的巢穴。「資安長完全以IT為重心,因而棲身在資訊長之下的時代已經過去」Verodin 的資安長Brian Contos 這麼說。「安全效能管理與風險管理事務已經超越IT的領域,而且必須有高管層級的營運才能讓技術面與非技術面的決策者獲得有證據基礎的資料,藉由知情的地位提升事業決策的效率與效能。」
跟大頭目們一起大拜拜
安全長之所以想要脫離IT的控制,有個重要的原因在於希望決策者能聽到他們的意見,而且能接觸到愈上層愈好。「理想的情況應該讓安全長/資安長直接向董事會報告,」Kudelski Security的Hicks這麼說。「但因為大部分企業裡的政治現實情況,我認為較務實的做法是向執行長或與相當層級的人報告。資安長或安全長要真的發揮功效,他們必須能接觸核心決策過程,以及有權限可以參與這個過程並在其中獨立發聲的人。要真正提供組織有關資訊與資產安全的指導,你必須能進入高階主管層級的決策對話。而不只是當一個旁觀者:你需要有完整的表決權。」
為了取得安全長需要的資源,能讓高階領導人聽到你的意見有確實的且實際的好處。「通常,在具有強烈的安全文化的成功組織內,我們可以看到安全長向財務長或營運長這樣的領導人報告,」Chertoff Group 的資深總監Chris Duvall 這麼說。「這些領導人時常高度涉入每日營運的決策,而且能夠瞭解長期的安全需求,並將它整合到資本支出計劃中,並且在必要時提供資源並找出『緊急』需求與資金」,他這麼說。
你應獲得的尊重
向高層報告的安全長會更獲得尊重,而這只會增加他們的工作滿意度。在組織上與決策者有距離「正是資安長平均只幹十八個月的最常見原因之一」,Hicks這麼說。「這個工作不容易上手,而如果它註定無法成功,就無法長期留任。」如果一家公司打算聘任新的高階安全主管,則根據LaSalle Network的Wallenberg之說法,「如果讓安全長向執行長報告,那會較容易成功吸引頂尖的人才。」
但那不只提高安全長個人的快樂:也提高了公司的安全。在認真看待安全問題的公司裡,安全長會最為滿意,而讓安全長能直接接觸高層正是滿意的部分原因。「如果侵犯事件可能癱瘓企業,那麼資安長應該向執行長報告,」Bloomberg Beta創辦合夥人之一Karin Klein這麼說。「就是那麼簡單,該轉變執行長的心態,必須確保他們的安全計劃是由下而上的。如果資安長直接向執行長報告,則資訊流是直接而且立即的。那也發送一個訊號給全公司與其利害關係人(員工、顧客、董事會、投資人等等),表明安全是最高優先。」
法規的安全要求愈來愈多,這也是支持安全長獨立於IT的監督之外-而直接向高層報告的原因之一。「在影響今日企業的規管環境下,組織有必要給與資安長/安全長能夠具有獨立性與監管能力的組織地位,而且應該可以做為企業有關安全功能與特性的顧問,」PCM, Inc網路安全解決方案總監John Kronick這麼說。如果資安長被擺在資訊長下面,他說「資安長就沒有任何獨立性或客觀性,而任何資安長的評量結果都可能受到嚴密控制或限制而毫無價值。」
最後,法規環境與威脅的持續變化下,有個簡單的理由支持讓安全長成為資訊長與其他高階主管的同儕:公司的根本底線。「最近,有些侵犯事件影響公司的股價,」SecurityScorecard的Yampolskiy這麼說。「舉例來說,Equifax在公司遭受重大侵犯事件之後,股價尚未回復,就像索尼的股價在PlayStation資安侵犯與內部文件被竊事件之後仍未回來。由於發生愈來愈多這類受到高度囑目的事件,我們期待資安長在未來幾年將開始進入公司的高階領導團隊。」
組織圖有多種可能的面貌
我們採訪的主管中大部分都承認安全長向資訊長報告仍是最常見的情境,但是在許多狀況這樣做並不理想。如果問到他們偏好的報告架構,他們有許多的建議。
- 安全長向執行長報告:Bloomberg Beta的Klein喜歡這種安排,因為這能提供「直接且立即的」資訊流。而且有時候如果高階主管也有相似的專業背景,這種安排很有益處。「執行長如果具有技術背景會是很幸運的狀況」Relativity安全長Amanda Fennell這麼說。「那會緩和通常的溝通障礙,本來那樣的障礙可能干擾讓我們今天能夠獲益的快速進展」。
- 安全長向營運長報告:但並不是每個人都如此幸運,而Chertoff Group的Duvall則擔心「執行長隨時都要注意那麼多事,安全疑慮可能落在其他關鍵決策之後。」相反的,藉由向營運長報告,安全長可以接觸「高度涉入日常決策的」高階領導人。
- 安全長向財務長報告:在某些公司,財務長負責防止各種財務損失,這讓安全問題進入他們的職務範圍。然而,就像的Hicks所說的,「財務長通常欠缺技術背景,而無法瞭解資安長角色錯綜複雜的內容。在較好的情境下,他們尊重資安長並提供協助。在較差的情況下,他們的技術落差,加上財務長想要省錢,這可能讓資安長陷入困難的處境。」某些公司則要求安全長向更有專業分工的風控長(CRO)報告。
- 安全長向法務長報告:因為網路安全風險與侵入事件時常具有重大的法律衍生後果,特別是在受到高度管制的產業,因此要求安全長向公司的最高律師報告可能是合理的。「因為這種報告架構而圍繞著網路風險進行職責連結與觀點匯集,這可能有深遠的影響,」UnitedLex資深副總經理,並兼任網路風險解決方案隱私長的Jason Straight這麼說。
- 資訊長向安全長報告:這似乎是上下顛倒了,但根據Verodin的Contos之說法,有時候確實出現這種狀況。「這種情況有部分原因在於IT、雲端、行動app與其他提案的消費者化,這些提案是由各個事業單位推動的,而非IT決定的全公司提案」,他如此說。那種情況也可能是個別企業演進過程所造成的。「這種報告階層架構有個具體的例子就是資訊長被升任資安長,而後聘用一位資訊長擔任他的下屬。」