安全风险不断上升 暴露企业CSO缺口

首席安全官(CSO)是企业中专门负责管理风险问题的最高级别职务,不仅仅是大型企业,包括各种看重安全问题的企业,CSO都是一个关键性的角色。但是,终端用户不应该只看企业是否有这个职位,而是要看企业的专业程度以及与信息安全风险斗争的进展程度。

Robert Walters咨询公司的IT商贸部门咨询顾问NarenGanjoo表示,随着企业向虚拟化和云计算迁移,信息系统的安全性成了越来越重要的问题。

Ganjoo表示:“所有的企业现在都有一个专门的安全人员,负责管理内部的安全策略,进行日常的IT安全审核,以及设置新的安全策略等工作。”

Ovum的首席分析师Graham Titterington也表示,根据调查,企业的CSO和CISO(首席信息和安全官)的数量呈现“小幅增长”趋势。他认为,大型企业,尤其是与信息技术相关的企业,如果不设置此类职务将无法正常运转。

他解释说:“在大型企业中,企业的工作任务需要安全专家主持,并且此类工作都需要足够丰富的安全经验。因此最好有人专门负责此类工作。而小型企业可以考虑将CIO或其它职位与CSO的职责合并。如果一个企业对安全性的要求很高,比如安全产品厂商或者银行等,是必须配备CSO这个职位的,但是其它企业在这个问题上,我认为可以灵活对待。”

但是Titterington也告诫人们不要过于关注于CSO这个头衔或角色,因为重点不在于此,而是在于“企业能够实现很好的信息安全”。

如果企业没有预算用来支持一个独立的CSO,他们可以考虑向服务供应商或咨询顾问寻求帮助。

Gartner调研经理Lawrence Pingree也有类似的观点。他表示:“如果企业的财力无法支持内部长期聘用的CSO或CISO,可以考虑请咨询公司帮助解决安全管理问题或雇佣一个有一定经验的安全工程师或架构师,逐步帮助企业搭建起一套成熟的安全体系”。

Gartner 有一套ITScore模型,可以帮助企业检查安全系统的成熟度和它的效率。

安全软件厂商的现状

经过亲自采访,Gartner的Pingree表示,美国市场前五大安全软件厂商都配备有专门的安全管理人员。具Gartner分析,这些管理人员的职位并不属于经理,也没有列在公司官方网站所介绍的管理团队中。

在对 Symantec, McAfee, Trend Micro, IBM 以及CA Technologies 这五家公司的Web网站进行浏览后,我们会发现所有公司的管理团队介绍中都没有CSO 或 CISO这样的职级。不过McAfee曾在10月18号登出一则位于Santa Clara的CSO职位信息。按照ZDNet Asia的理解这是一种职位更换。

而 Trend Micro和CA都表示,他们的CIO的职责中包含了保护企业信息资产安全,实施安全策略等工作。IBM则是由专门负责IT风险的副总裁Kris Lovejoy承担此类工作。

在解释公司为何缺少专门的CSO 或CISO这个问题时,Trend Micro的CIO Max Cheng解释说:“作为一个IT安全产品厂商, Trend Micro理解IT安全的重要性,而 CIO有能力承担此类职责,而且我们还有一个专门的团队[信息安全团队]来负责IT安全。我们不认为单独设置一个这样的头衔会对Trend Micro的IT安全防御水平有什么促进作用。”

Cheng每天花费三成的时间用于解决IT安全问题,他认为如果从“安抚客户”的角度看,为管理信息安全设置一个专门的职位是有一定帮助的,尤其是在目前这种安全环境下。

香港Jockey Club公司CIO Sunny Lee在接受邮件采访时表示,他并没有特别关注安全软件厂商是否有专门的CSO这个职位,他认为此类公司应该将信息安全付诸实际。他说:“此类公司应该将信息安全作为公司的首要任务。他们应该成为信息安全方面的榜样。”他认为,关键在于如何减轻安全风险,而是不是有没有某个职位。他说:“如果安全软件厂商没有管理好自己企业的信息安全,不但会给他们的公司带来风险,更会给他们的客户带来风险。”

安全攻击事件增加推动CSO需求增长

由于安全行业自身的安全现状,至少有两家技术企业表示今年将设立专门的CSO职位。

RSA就曾经表示,今年三月他们公司的SecurID技术的相关信息被盗,而在RSA收购NetWitness之后,Eddie Schwartz成为了第一位CSO。

日本消费电子行业巨头索尼公司,在今年九月份也聘用了美国前国土安全部官员担任公司的副总裁兼CSO。据Dark Reading网站披露,索尼公司由于内部不良的安全管理已经多次被舆论指责,在今年四月更是被黑客入侵。

Robert Walters的Ganjoo表示,CSO在IT安全和IR产品企业中是很平常的职位,而且此类职位的需求量巨大。但是在他所处的新加坡地区,具有丰富经验的IT安全人才仍然较少。他说:“新加坡的信息安全人才储备相对较小,想找一个拥有足够技能并且经验丰富的信息安全专家并不容易。”