內(nèi)部人員風(fēng)險管理:歸哪個“O”管�����?
2020年01月02日
俗話說��,家和萬事興��。與之相對的��,家不睦則必自敗�����。同理,如果缺乏明確的領(lǐng)導(dǎo)����,內(nèi)部人員風(fēng)險管理項目或內(nèi)部人威脅項目 (ITP) 也將走向失敗。而公司企業(yè)往往未能出于 “團隊合作” 的心態(tài)����,或遵從當(dāng)前管理領(lǐng)域來指定主管。其結(jié)果����,就是 “三個和尚沒水吃”,每個人都管就是一個人都不管��。
這并不意味著要設(shè)立全權(quán)掌控的內(nèi)部人威脅管理 “沙皇”����,不代表要專設(shè)一人對所有與內(nèi)部人風(fēng)險管理相關(guān)事務(wù)行使一票否決權(quán)。真正需要的���,是有人最終負責(zé)培育跨職能協(xié)作����,推進安全功能����,并評估進展和向領(lǐng)導(dǎo)層報告�����。政府將這一角色稱為負責(zé)管理內(nèi)部人威脅的 “高級官員”�����。在美國企業(yè)中,此類職位的頭銜可能是首席風(fēng)險官 (CRO)�����、首席安全官 (CSO)��、首席信息安全官 (CISO) 或首席行政官 (CAO)�。
首席風(fēng)險官 (CRO)
CRO 可能是領(lǐng)導(dǎo) ITP 的最佳人選。但這很大程度上取決于 CRO 本身的職能和職權(quán)范圍�����。有些 CRO 只關(guān)注公司的戰(zhàn)略性風(fēng)險����。他們設(shè)立組織性風(fēng)險容忍度�����,發(fā)展捕獲和衡量風(fēng)險態(tài)勢的方法�����。這種模式下����,運營性風(fēng)險仍然完全落在運營主管的頭上(CSO���、CISO���、業(yè)務(wù)部門等等)。此類 CRO 就不太適合領(lǐng)導(dǎo) ITP 了����,因為他們?nèi)狈?ITP 所需的可見性和運營粒度。
其他 CRO 則關(guān)注公司的戰(zhàn)略性和運營性兩種風(fēng)險����。他們不僅僅設(shè)立組織性風(fēng)險容忍度,也參與評估、管理和改善公司的運營性風(fēng)險態(tài)勢����。此類 CRO 很適合領(lǐng)導(dǎo) ITP。他們往往具備必要的高層授權(quán)(向 CEO��、審計委員會等報告)����,而且出于職權(quán)范圍考慮,他們還具有公司其他職能部門的必要關(guān)系(業(yè)務(wù)部門���、法務(wù)����、人力資源����、CSO�、CISO 等)。盡管風(fēng)險本身的 “所有權(quán)” 依然落在運營性主管的身上���,此類 CRO 往往也有共同責(zé)任和報告需求����。因此,讓他們成為既定的實權(quán)主管���,順暢領(lǐng)導(dǎo) ITP 這樣的跨部門項目�����。
首席安全官 (CSO)
CSO 是領(lǐng)導(dǎo) ITP 的合理選擇�����。他們往往擁有現(xiàn)成的跨部門合作關(guān)系���,與法律、人力資源�、風(fēng)險和網(wǎng)絡(luò)部門都保有良好關(guān)系。這些關(guān)系賦予了他們培育良好協(xié)作�,提升內(nèi)部人威脅應(yīng)對能力的必備視角和影響力。但有些 CSO 缺乏對內(nèi)部人威脅管理技術(shù)層面上的恰當(dāng)理解�����,可能會感覺無力領(lǐng)導(dǎo) ITP��。
舉個例子,內(nèi)部人威脅工具往往為 CISO 所有���,由他們負責(zé)測試�����、實現(xiàn)和維護每個工具��。這就會對人力資本和財務(wù)資源產(chǎn)生沉重負擔(dān)�。因此���,CISO 常需重度參與 ITP����。盡管如此���,CSO 仍可成為有效 ITP 領(lǐng)導(dǎo)者����,可在包括 CISO 在內(nèi)的各職能部門間創(chuàng)建緊密合作關(guān)系和工作流���,充分運用全部團隊的專業(yè)技能��。
首席信息安全官 (CISO)
領(lǐng)導(dǎo) ITP 的傳統(tǒng)選擇就是 CISO���。內(nèi)部人威脅向來被看做網(wǎng)絡(luò)安全的子集。因此�,CISO 順理成章被選為公司威脅管理工作主管,無論是內(nèi)部威脅還是外部威脅���。但這一觀點正在發(fā)生改變�,因為內(nèi)部人威脅非常獨特��,涉及安全�����、人力資源�����、網(wǎng)絡(luò)和法律等一系列職能�����。而 CISO 某種程度上也是相當(dāng)專一的一個職位��,專注于 “數(shù)字” 安全或以數(shù)據(jù)為中心的安全。內(nèi)部人威脅從根本上講是人的問題�����,而不是數(shù)據(jù)問題���。因此�����,CISO 可能會因其職能范圍而過度限制了 ITP 的作用域�����。
而且�����,CISO 向 CIO 報告的操作很常見�,存在天然的利益沖突��。CIO 的任務(wù)是確保信息的機密性�����、完整性和可用性���,例如保障員工能執(zhí)行自身工作等��。這一職能跟內(nèi)部人威脅相關(guān)安全需求不總是完全一致��,會造成用于內(nèi)部人威脅管理的資金因 CIO 其他關(guān)注重點而被延遲或受限��。
首席行政官 (CAO)/法律總顧問/人力資源
盡管不是慣有的 ITP 領(lǐng)導(dǎo)�,這一類別中的高管可能因公司組織架構(gòu)方式���,而成為實際上的 ITP 領(lǐng)導(dǎo)�。有些公司里���,首席行政官可能兼任法律總顧問或人力資源主管��。這種情況下���,一些安全職能可能也向 CAO 報告。因此��,很多 ITP 職責(zé)或許會遵從 CAO 的指示��。其他高管常會聽取 CAO 的意見,也就令 CAO 成了潛在的 ITP 驅(qū)動力�。如果 CAO 得到多名高級安全主管的支持,這種管理結(jié)構(gòu)很可能行之有效��。若缺乏強大的高層和中層經(jīng)理支持�,該模式就會缺乏恰當(dāng)開發(fā)、實現(xiàn)和維持 ITP 所需的指導(dǎo)和知識專長�。
內(nèi)部威脅總監(jiān)職位的興起
為賦予履行管理內(nèi)部人威脅項目職責(zé)的權(quán)限,推動該項目向前發(fā)展�,公司企業(yè)開始設(shè)立新的總監(jiān)和副總裁職位。采用的頭銜包括內(nèi)部人信任總監(jiān)�、內(nèi)部人風(fēng)險總監(jiān)、員工信任副總裁等�����,但目標(biāo)一直都是為 ITP 提供指導(dǎo)���。隨著公司企業(yè)持續(xù)擴大和深化自身內(nèi)部人風(fēng)險管理能力���,此類角色職能的重要性也將逐漸增加。
雖然該角色最終應(yīng)向 CEO 直接報告���,但仍需一段時間才能發(fā)展到那一步��。內(nèi)部人威脅總監(jiān)的職位可能會遵循 CISO 的發(fā)展歷程����,在接下來的幾年里獲得自身合法地位���。同時�����,該職位應(yīng)在上述首席級高管的領(lǐng)導(dǎo)下繼續(xù)成長�,成為 ITP 的運營主管�����。
江蘇國駿為您提供全面可信的信息安全服務(wù)
http://borgatopiano.com.cn/
免費咨詢熱線:400-6776-989
長按二維碼關(guān)注我們
