启明星辰:首席信息安全官职位不应继续缺席

当今,企业业务的高速发展更多地呈现出与外部环境的更多交互。一方面,这得益于IT技术的快速发展与普及,推动了商业在更大范围快速变现的可能。同时,企业关键决策人的责任承担也从单一的“人治”走向“人与IT技术的更多绑定”。为此,我们看到近几年CIO、CMO在企业发展过程中的大量涌现,以及职能在企业决策上的比重不断增加。但是,有关企业信息安全方面,却一直未能找到有效途径。例如,谁应当成为这个关键负责人呢?

正在北京召开的2017两会期间,来自信息安全行业的资深服务商启明星辰注意到了这个急需全社会企业关注的问题,其CEO严望佳提出了《关于以首席信息安全官为关键责任人 构建关键信息基础设施保护责任体系的提案》。该提案提出以首席信息安全官(CISO)为企业信息安全关键责任人,从而有效构建关键信息基础设施保护责任体系。

与会同期,启明星辰首席战略官潘柱廷对此给外界带来更多详细解读。

20170312102538538005

首席信息安全官职位不应缺席

毕竟,一直以来IT基础设施的三大件:计算、网络、存储都会构成人们清晰的认识,而安全问题则很难与此成为同时考虑的投资决策。潘柱廷讲到,因为安全问题的反应毕竟是滞后的。从而造成,信息安全产业占有IT行业市场空间比实际需要的要小很多。

反映到企业层面,CIO地位的提升并没能带动企业安全问题解决能力的同步提升。正如,当安全问题发生后,找不到相关责任人。

“有关企业出现安全保护的责任人问题,一直有很大争议。有的说全员负责,还有说应当一把手负责。第三个说法安全应该是业务部门负责。结果是,最终安全变成没有人管的地带了。对此,安全应该由很明确的第三方,这个第三方跟业务是分开的,又是跟你密切合作的这样的人。而这正是我们需要明确为什么我们这次再提首席信息安全官需要在企业中明确的初衷。”潘柱廷表示。

启明星辰认为,《网络安全法》的颁布已经从顶层设计层面明确了运营者是关键信息基础设施保护的责任主体,但为保障关键信息基础设施的安全和便于责任认定,需要找到一些具体的措施和抓手,在微观层面建立总体国家安全战略高度顶层设计到网络安全法法律层面的落实。

为此,我们在该提案中看到:“在关键信息基础设施设立首席信息安全官职位,以明确保护责任的落实主体。充分赋予首席信息安全官相应的职权,不限于以下内容:首席信息安全官直接汇报给最高决策者;全权负责网络安全的组织配置和预算配置;咨询、审批或验证现有的IT投资计划;加强与网络空间监管部门的跨部门组织与协调,以适应网络空间的多元与跨界特点;同时负责《网络安全法》在本机构的落地和落实。”

“我们已经有了首席信息官,首席财务官,接下来就希望机构应明确这样的责任人。首席信息安全官应是重要的VP,希望配备下层组织。这是今年新的提案,继续加强组织,配备相应的或者是合规的法律依据。比如说网络安全法明确责任作为内部压力的依据,从而有利于一个完善制度的推动和建立。”潘柱廷表示。

攻击侧挑动首席信息安全官尽快上位

安全问题的应对其实要比人们认为的更加复杂化一些。通常的人们的认识里,黑客应是具备高超的技术才能实现对企业安全防御的攻破。其实,黑客产业的发展早已超出广大人群的普遍共识,他们变得更加有组织性、策划性,甚至是一系列资本运作的体现,从而达成有效攻击。

潘柱廷认为,虽说黑客不断创新攻击方式,但整个安全问题还是有章可循。“我们可以将M代表人的意识,C是系统,P则是现实,这是社会上发生侵害人们资金的三个手段。从技术和欺诈角度,安全问题是与MCP对等的。最开始时,直接偷你的钱,其次,变成通过欺骗影响你的意识和决策来侵害你的钱,这就是诈骗。有了计算机以后,手段变成利用攻击技术,比如黑掉你的银行账户和计算机、偷盗你的银行密码等。现在,网络攻击把MCP变成一个矩阵,对你进行意识、系统和现实三个层面的攻击。将来,攻击面和攻击效果可能出现在意识层、计算机层和现实层。”

“正是攻击面和攻击效果的复杂化,说让全员负责,结果没人管;还有一把手负责,他的事情太多,也管不了;甚至由业务部门负责也变成没人管。应该由很明确的内部专职负责人和部门负责人监督。全员、一把手、业务部门都有其必须承担的责任,这是这个专职存在的关键。”潘柱廷表示。