《華爾街日報》：企業科技領袖釐清各自在網絡安全中的職責

信息技術與網絡安全主管們在2022年關係愈發緊密，這種態勢使得威脅應對更為全面，但也引發了關於職責劃分的新問題。

許多高管表示，隨着雙方在網絡安全領域的角色趨於融合，他們正努力釐清共同承擔的安全與IT職責邊界。

數據庫服務提供商MongoDB公司首席信息安全官莉娜·斯馬特稱，幾年前若遭遇勒索軟件攻擊，首席信息官會"匆忙求助"CISO處理善後。

斯馬特女士表示，如今她的安全部門與CIO明迪·利伯曼協同預防勒索攻擊。據其透露，該公司約50%有IT部門積極參與的威脅演練都涉及勒索軟件場景。

分析師指出，全球範圍內CIO與CISO正在重構合作關係，這一轉變既源於重大網絡攻擊激增，也因IT持續現代化推動網絡安全躍居CIO優先事項首位。最常見的企業架構中，CISO向CIO彙報。

技術研究與諮詢公司Gartner首席研究員克里斯·霍華德今年早些時候向《華爾街日報》表示：“網絡安全…已成為最高優先級。”

企業技術環境中雲計算和基於雲的軟件加速採用，也使雲成為“頂級攻擊者的主要目標”，Alphabet公司旗下谷歌雲的首席信息安全官菲爾·維納布爾斯表示。

維納布爾斯稱，這也促使首席信息官與首席信息安全官之間建立更緊密的聯繫，因為他們更加重視保護跨雲環境的基礎設施。

公用事業公司杜克能源的首席信息官邦妮·蒂託內表示，在某些情況下，首席信息官與首席安全官會就IT團隊應優先處理軟件補丁和系統監控等任務進行“艱難對話”，這些任務對緩解網絡威脅至關重要。蒂託內稱，這些任務可能加重IT運維團隊的工作量。

一位商業技術領袖顧問建議首席信息官與首席安全官明確界定職責歸屬和問責機制。圖片來源：Woohae Cho/彭博新聞社這家總部位於北卡羅來納州夏洛特的電力生產商約一年前將網絡安全納入蒂託內的職責範圍，部分原因是為應對類似導致殖民管道公司2021年暫時關閉管道的勒索軟件攻擊等網絡威脅。

“作為公用事業公司，尤其是最大規模的企業之一，杜克就像800磅重的大猩猩，”蒂託內説，“我們通常會成為眾矢之的。”

儘管首席信息安全官向她彙報，蒂託內女士表示安全部門擁有"最響亮的話語權"。另一方面，“IT部門的職責是賦能公司，否則就無法構建工具、規則和組件。那會阻礙創新，“她説。

醫療保健產品公司強生的首席信息官吉姆·斯旺森指出，雖然安全屬於他的優先事項和職責範圍，但他確保首席信息安全官馬琳·艾莉森的意見能被聽到。公司表示艾莉森女士將於年底退休，由加里·哈比森接任。

“我始終確保這是一個重要職能部門，直接向我的領導團隊彙報，它沒有被埋沒在組織架構中，他們擁有獨立發言權，“斯旺森先生説。“因此當我向董事會彙報時，我談運營數據，而由我的首席信息安全官做專題彙報。”

在Adobe公司，首席信息安全官制定企業網絡安全政策，但會與IT部門協作執行，該公司首席信息官辛西婭·斯托達德表示。但雙方也存在協作關係，“安全部門可能制定政策，而我的團隊會提出’嘿，你們考慮過這個嗎？’“斯托達德女士説。

軟件製造商Freshworks公司的首席信息官兼前首席信息安全官普拉薩德·拉馬克裏希南表示，在評估企業軟件採購的網絡安全彈性方面，IT和安全部門共同發揮作用。在保障混合辦公環境安全時，他兼任網絡安全和IT的雙重角色，包括在公司筆記本電腦的雲端軟件上新增網絡安全防護層。

MongoDB的斯瑪特女士表示，她經常與利伯曼女士合作，確保公司軟件工程師開發的內部應用程序的安全性。“作為一家科技公司，我們有許多定製工具，“她説。“如果我們發現某個工具存在嚴重漏洞，他們會立即修復。這是我們的協議。”

隨着對企業安全負責人需求的增長——以及該角色的地位和可見性的提升——人們對首席信息官（CIO）和首席信息安全官（CISO）之間的動態關係重新產生了興趣，與IT領導者合作的Gartner顧問亞歷克斯·邁克爾斯表示。

邁克爾斯先生建議首席信息官和首席信息安全官"明確所有權、責任以及角色和職責的定義”，特別是針對勒索軟件和惡意軟件攻擊場景。

“無論首席信息安全官和首席信息官之間的關係如何，重要的是要記住，信息的業務所有者最終要負責保護自己的信息，“他説。

 伊莎貝爾·布斯凱特對本文亦有貢獻。

請致信貝勒·林，郵箱：[email protected]