內(nèi)部人員風(fēng)險(xiǎn)管理:歸哪個(gè)“O”管?
2020年01月02日
俗話說(shuō)�����,家和萬(wàn)事興���。與之相對(duì)的�����,家不睦則必自敗����。同理�,如果缺乏明確的領(lǐng)導(dǎo)��,內(nèi)部人員風(fēng)險(xiǎn)管理項(xiàng)目或內(nèi)部人威脅項(xiàng)目 (ITP) 也將走向失敗��。而公司企業(yè)往往未能出于 “團(tuán)隊(duì)合作” 的心態(tài)�,或遵從當(dāng)前管理領(lǐng)域來(lái)指定主管。其結(jié)果����,就是 “三個(gè)和尚沒(méi)水吃”��,每個(gè)人都管就是一個(gè)人都不管���。
這并不意味著要設(shè)立全權(quán)掌控的內(nèi)部人威脅管理 “沙皇”,不代表要專設(shè)一人對(duì)所有與內(nèi)部人風(fēng)險(xiǎn)管理相關(guān)事務(wù)行使一票否決權(quán)��。真正需要的�,是有人最終負(fù)責(zé)培育跨職能協(xié)作,推進(jìn)安全功能�,并評(píng)估進(jìn)展和向領(lǐng)導(dǎo)層報(bào)告。政府將這一角色稱為負(fù)責(zé)管理內(nèi)部人威脅的 “高級(jí)官員”��。在美國(guó)企業(yè)中�����,此類職位的頭銜可能是首席風(fēng)險(xiǎn)官 (CRO)�、首席安全官 (CSO)、首席信息安全官 (CISO) 或首席行政官 (CAO)��。
首席風(fēng)險(xiǎn)官 (CRO)
CRO 可能是領(lǐng)導(dǎo) ITP 的最佳人選�����。但這很大程度上取決于 CRO 本身的職能和職權(quán)范圍。有些 CRO 只關(guān)注公司的戰(zhàn)略性風(fēng)險(xiǎn)�����。他們?cè)O(shè)立組織性風(fēng)險(xiǎn)容忍度�,發(fā)展捕獲和衡量風(fēng)險(xiǎn)態(tài)勢(shì)的方法。這種模式下�����,運(yùn)營(yíng)性風(fēng)險(xiǎn)仍然完全落在運(yùn)營(yíng)主管的頭上(CSO����、CISO、業(yè)務(wù)部門(mén)等等)��。此類 CRO 就不太適合領(lǐng)導(dǎo) ITP 了����,因?yàn)樗麄內(nèi)狈?ITP 所需的可見(jiàn)性和運(yùn)營(yíng)粒度�����。
其他 CRO 則關(guān)注公司的戰(zhàn)略性和運(yùn)營(yíng)性兩種風(fēng)險(xiǎn)。他們不僅僅設(shè)立組織性風(fēng)險(xiǎn)容忍度�����,也參與評(píng)估�����、管理和改善公司的運(yùn)營(yíng)性風(fēng)險(xiǎn)態(tài)勢(shì)�。此類 CRO 很適合領(lǐng)導(dǎo) ITP。他們往往具備必要的高層授權(quán)(向 CEO��、審計(jì)委員會(huì)等報(bào)告)��,而且出于職權(quán)范圍考慮��,他們還具有公司其他職能部門(mén)的必要關(guān)系(業(yè)務(wù)部門(mén)�、法務(wù)、人力資源�、CSO、CISO 等)�����。盡管風(fēng)險(xiǎn)本身的 “所有權(quán)” 依然落在運(yùn)營(yíng)性主管的身上����,此類 CRO 往往也有共同責(zé)任和報(bào)告需求�����。因此��,讓他們成為既定的實(shí)權(quán)主管�����,順暢領(lǐng)導(dǎo) ITP 這樣的跨部門(mén)項(xiàng)目��。
首席安全官 (CSO)
CSO 是領(lǐng)導(dǎo) ITP 的合理選擇�。他們往往擁有現(xiàn)成的跨部門(mén)合作關(guān)系����,與法律、人力資源����、風(fēng)險(xiǎn)和網(wǎng)絡(luò)部門(mén)都保有良好關(guān)系。這些關(guān)系賦予了他們培育良好協(xié)作���,提升內(nèi)部人威脅應(yīng)對(duì)能力的必備視角和影響力����。但有些 CSO 缺乏對(duì)內(nèi)部人威脅管理技術(shù)層面上的恰當(dāng)理解�����,可能會(huì)感覺(jué)無(wú)力領(lǐng)導(dǎo) ITP�����。
舉個(gè)例子����,內(nèi)部人威脅工具往往為 CISO 所有,由他們負(fù)責(zé)測(cè)試����、實(shí)現(xiàn)和維護(hù)每個(gè)工具。這就會(huì)對(duì)人力資本和財(cái)務(wù)資源產(chǎn)生沉重負(fù)擔(dān)��。因此���,CISO 常需重度參與 ITP�����。盡管如此�����,CSO 仍可成為有效 ITP 領(lǐng)導(dǎo)者�����,可在包括 CISO 在內(nèi)的各職能部門(mén)間創(chuàng)建緊密合作關(guān)系和工作流��,充分運(yùn)用全部團(tuán)隊(duì)的專業(yè)技能�。
首席信息安全官 (CISO)
領(lǐng)導(dǎo) ITP 的傳統(tǒng)選擇就是 CISO。內(nèi)部人威脅向來(lái)被看做網(wǎng)絡(luò)安全的子集����。因此,CISO 順理成章被選為公司威脅管理工作主管�,無(wú)論是內(nèi)部威脅還是外部威脅。但這一觀點(diǎn)正在發(fā)生改變�,因?yàn)閮?nèi)部人威脅非常獨(dú)特,涉及安全�����、人力資源���、網(wǎng)絡(luò)和法律等一系列職能�。而 CISO 某種程度上也是相當(dāng)專一的一個(gè)職位,專注于 “數(shù)字” 安全或以數(shù)據(jù)為中心的安全����。內(nèi)部人威脅從根本上講是人的問(wèn)題�����,而不是數(shù)據(jù)問(wèn)題��。因此�,CISO 可能會(huì)因其職能范圍而過(guò)度限制了 ITP 的作用域。
而且�,CISO 向 CIO 報(bào)告的操作很常見(jiàn),存在天然的利益沖突�����。CIO 的任務(wù)是確保信息的機(jī)密性�、完整性和可用性,例如保障員工能執(zhí)行自身工作等����。這一職能跟內(nèi)部人威脅相關(guān)安全需求不總是完全一致�,會(huì)造成用于內(nèi)部人威脅管理的資金因 CIO 其他關(guān)注重點(diǎn)而被延遲或受限��。
首席行政官 (CAO)/法律總顧問(wèn)/人力資源
盡管不是慣有的 ITP 領(lǐng)導(dǎo)�,這一類別中的高管可能因公司組織架構(gòu)方式,而成為實(shí)際上的 ITP 領(lǐng)導(dǎo)�。有些公司里,首席行政官可能兼任法律總顧問(wèn)或人力資源主管���。這種情況下��,一些安全職能可能也向 CAO 報(bào)告���。因此,很多 ITP 職責(zé)或許會(huì)遵從 CAO 的指示��。其他高管常會(huì)聽(tīng)取 CAO 的意見(jiàn)�����,也就令 CAO 成了潛在的 ITP 驅(qū)動(dòng)力��。如果 CAO 得到多名高級(jí)安全主管的支持����,這種管理結(jié)構(gòu)很可能行之有效�����。若缺乏強(qiáng)大的高層和中層經(jīng)理支持�����,該模式就會(huì)缺乏恰當(dāng)開(kāi)發(fā)����、實(shí)現(xiàn)和維持 ITP 所需的指導(dǎo)和知識(shí)專長(zhǎng)���。
內(nèi)部威脅總監(jiān)職位的興起
為賦予履行管理內(nèi)部人威脅項(xiàng)目職責(zé)的權(quán)限,推動(dòng)該項(xiàng)目向前發(fā)展���,公司企業(yè)開(kāi)始設(shè)立新的總監(jiān)和副總裁職位�����。采用的頭銜包括內(nèi)部人信任總監(jiān)��、內(nèi)部人風(fēng)險(xiǎn)總監(jiān)����、員工信任副總裁等,但目標(biāo)一直都是為 ITP 提供指導(dǎo)��。隨著公司企業(yè)持續(xù)擴(kuò)大和深化自身內(nèi)部人風(fēng)險(xiǎn)管理能力��,此類角色職能的重要性也將逐漸增加����。
雖然該角色最終應(yīng)向 CEO 直接報(bào)告,但仍需一段時(shí)間才能發(fā)展到那一步���。內(nèi)部人威脅總監(jiān)的職位可能會(huì)遵循 CISO 的發(fā)展歷程��,在接下來(lái)的幾年里獲得自身合法地位�����。同時(shí)�����,該職位應(yīng)在上述首席級(jí)高管的領(lǐng)導(dǎo)下繼續(xù)成長(zhǎng)��,成為 ITP 的運(yùn)營(yíng)主管�����。
江蘇國(guó)駿為您提供全面可信的信息安全服務(wù)
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
長(zhǎng)按二維碼關(guān)注我們
