全球市值最高的 100 家公司中,只有5%的企业,高层领导团队中有首席信息安全官或首席安全官,而首席技术官的这一比例,则不到三分之一。
在纳斯达克上市的企业中,排名前五十的公司的相关数据会让你更加惊讶:只有不到一半公司将首席技术官列入了领导团队,只有三家公司设立了安全相关的高管职位,
当然我们不是说这些公司没有首席信息安全官或首席技术官等职位。上述公司的领英数据也已经表明,这些岗位并不缺人。
但值得留意的是,大多数公司认为这些岗位并没有资格进入自己的高层领导团队。市值最高的 100 家企业的领导团队中,共计有 73 位首席人力官,大约有三分之一的团队拥有首席营销官。
这些岗位并没有比首席安全官或首席信息安全官更重要,相比之下,各自的薪水也没有太大差别。一旦营销数据(公司的客户数据)和人力资源数据(公司的员工数据和财务数据)发生泄露,那么公司会受到多么巨大的影响,因此企业对这些职位的“偏心”,的确值得我们反思。
市场分析公司Aite Group的研究主管Julie Conroy表示,她原本以为那些极度依赖网络安全的企业(例如银行)的高层团队里,应该设有安全相关的职位。
“但是美国银行和摩根大通银行的数据和我预料的不一样。在这些公司里,首席信息安全官并不属于最高领导团队,他们只是向领导团队汇报。”Conroy说道。
Conroy表示,这些数据说明了企业仍然更看重人力资源和业务扩张能力等因素,因为它们会直接影响到营收,相比之下网络安全自然会被“冷落”。
“营销和数字化技术会直接增加公司的营收数额,对于日益‘网络化’的零售企业和银行而言,数字化技术的重要性不言而喻。尽管我们都知道网络安全和损失预防对于所有企业来说都很重要,但大多数公司的架构并没有体现出这一点。在我看来,这些岗位的高管难以争取到所需的预算,更别提投资技术,降低损失。
Equifax的前车之鉴
目前盛行的负责人汇报制度存在这样的风险:如果安全问题影响到了公司的生产效率,那么前者往往会被忽视,甚至安全团队里也不再会有人去争取应有的预算。
Equifax发生了大规模的个人数据和财务数据泄露,受害人数高达1. 48 亿。许多人认为Equifax是因为没有及时给漏洞打补丁才引发这次事故,但SANS Institute的主管Lance Spitzner认为,Equifax的人力及企业架构是问题的根本所在。
“每当提起Equifax数据泄露事件,大家都认为这是个补丁问题,不法分子利用了Struts漏洞,而且Equifax之前就知道这个漏洞的存在,但却没有及时修补。”Spitzner在报告中写道。
那么这个漏洞为什么没有及时修补?为什么公司花了两个月才找到这个漏洞?Spitzner在报告中指出,最根本的原因是首席安全官Susan Mauldin无法直接向首席信息官汇报,他的汇报对象是首席法律官。IT和网络安全被分割,双方无法交流和协作,因此这个漏洞一直留在公司里。
但是为什么会出现这种不合理的公司架构?Spitzner表示:“十年前,公司的首席安全官还是直接向首席信息官汇报的。后来双方无法合作,前者被转移到首席法律官之下。但是新任首席信息官David Webb和新任首席安全官Susan Mauldin入职后,这一变动并没有恢复。如今,公司的首席信息官会直接向首席执行官汇报。”
