我最近有机会思考ISACA® 代表了50多年来我们取得今天成就的历程. 起初,它是一个由我们现在称之为it审计员的人组成的协会.1 今天的ISACA仍然欢迎IT审计人员以及信息安全专业人员, 风险管理, 数据隐私, IT治理和其他专业. 这代表了我所看到的与控制相关的学科的更广泛的融合, 在过去我称之为控制澳门赌场官方下载.
一些问题出现在我的脑海里:这种融合是好事还是坏事? (剧透警告:这是件好事.)这一趋势对信息安全专业人员意味着什么? 组织如何最大化融合的价值?
控制函数收敛的优缺点
很难否认,相关利益的聚合是一种自然发展. 显然,所有的专业都需要有风险意识. 安全性——解释为将信息资源的使用限制到预定的目的——是所有IT控制的关键目标. Privacy depends on security; everything in IT depends on governance; and IT auditors provide assurance to all the others that the controls are in place and effective.
但是,这种专业的融合是增强还是削弱了它们各自的有效性呢? 答案取决于IT控制是否是一场零和游戏, 在这种情况下,将资源分配给一项职能会导致其他职能的预算减少. 我从未担任过首席财务官(CFO),也没有在预算委员会任职, 但我可以想象一场关于预算的讨论, say, 首席隐私官(CPO)和首席信息安全官(CISO)是相互平衡的.
预算决定可能取决于经济收缩. 组织是否需要构建安全性 and privacy? 它的审计 and 风险管理? 相反,这些“手”应该被“或”取代吗?? 换句话说,各种类型的控制是互补的还是累积的? 我相信我不需要说出来, 但是要明确一点, 我认为,即使对信息系统控制的一个方面加以轻视,也就等于说,只在船的一端有一个洞是可以接受的.
融合对信息安全的影响
我认为信息安全在几个方面与其他专业不同. 与其他版本相比,它更多地涉及控制的大多数技术方面. 尽管信息安全通常负责不直接嵌入技术本身的控制(想到策略和意识), 它在澳门赌场官方下载技术基础设施的许多方面都是有用的. 该功能可能在获取中起关键作用, 软件和硬件的实现和执行. 这在通常称为基于角色的访问控制(RBAC)的方法中可能是至关重要的。. 它深入到系统内部. 它在应对事件和袭击方面处于第一线.
So, 与相关职能的扩展和联盟是否会使信息安全远离其核心责任? 我必须冷静地得出结论,有时确实如此. 在我参加的一些会议上,一位风险经理主张在广泛的战线上实施控制,而首席信息安全官则试图将注意力集中在防范网络攻击上. 当然,需要一些让步,但首席信息安全官放弃了什么呢? 更重要的是,他或她带回家的是什么?
答案是,信息安全专业人员需要考虑在他们所服务的业务的更广泛的背景下他们澳门赌场官方软件. 他们可能并不总是同意风险经理的意见2 或者IT审计员,但他们的差异远远超过了他们的共同观点. 信息安全对技术的各个方面负有责任, 但是,与其他控制专业的利益融合导致从他们实现的工具中获得更大的价值. 只要在大事上齐心协力,他们不必事事意见一致.3
最大化收敛的价值
如果人们接受控制专业之间的相互利益, 包括资讯保安, 加强他们的力量, 澳门赌场官方下载应该做些什么来最大化这种融合的价值?
我建议澳门赌场官方下载停止将各种专业分割成不同的组织单位,这些组织单位的利益几乎没有这样的整合. 虽然不同公司之间存在差异, 代理对代理, 在大多数情况下,信息安全都包含在IT功能中. 当然,IT审计属于一般审计功能. 在法律总顾问的办公室里,人们常常能找到隐私. 在很多情况下,风险管理是金融机构的一部分.
虽然相关的专业可能会趋同, 他们的个别经理很可能会发现自己陷入了争论. 购买更多的技术! 花更少的! 确保安全! 保持合法! 检查每一个框! Okay, 也许有点夸张,但是, 对某些, 信息系统的安全和控制不是首要的 存在的理由 他们所负责的任何职能. 我建议现在是时候创建一个组织单元了,我暂时将其命名为it Controls. 它将使正在发生的融合制度化,即使没有一个组织的家.
信息安全对技术的各个方面负有责任, 但是,与其他控制专业的利益融合导致从他们实现的工具中获得更大的价值.
- 隐私需要由法律部门处理,因为它主要是一个法律问题.
实际上, 数据隐私是维护个人身份信息(PII)数据库的任何组织的社会责任, 不管有没有隐私法.6 - IT审计需要在内部审计部门,因为它需要独立性.
让我们区分一下组织结构和职能自治. IT审计人员不需要向具有首席审计执行官(CAE)头衔的人报告,从而为工作带来公正和专业怀疑的视角. - 风险管理需要向…报告,嗯,确实没有共识.
有人说,该职能应该向董事会报告7 或首席执行官(CEO)8 或者CFO9 或首席运营官(COO).10 So, 如果有一个整合的IT控制功能, 这可能是最合理的报告关系. - 信息安全需要向首席信息官(CIO)报告.
据我所知,有几个组织故意将信息安全置于IT之外, 特别是出于独立的原因.11 一些人主张首席信息安全官应该与首席信息官同级,而不是完全处于汇报关系.12
那么,为什么不为所有IT控制功能建立一个单独的家呢?
尾注
1 这就是EDP审计师协会(EDPAA). 我是当时第一个不是EDP审计员的协会主席. 我已经开始了我在信息安全方面的职业生涯.
2 几年前我在这个空间里写过这种分歧,并得出结论,即使在最牢固的关系中, 存在一些不同意见的余地. 我写了, “在这一点上,组织的风险和回报需要作为一个整体来考虑, 在上下文中.罗斯,S。. J.; “The Mayor and the Sherriff,” ISACA® Journal, vol. 5, 2010, http://5wb7.baileherculane.net/archives
3 我妻子支持国家冰球联盟(NHL)的蒙特利尔加拿大人队,而我是纽约游骑兵队的死忠球迷. 如果我们能活下来, 信息安全专业人员可以克服与相关学科的一些意见分歧.
4 这不是我第一次提出制度异端. In 2016, 我写了一篇文章,说组织需要一个首席网络官, 独立于首席信息官和首席信息安全官. 我受到了很多批评. 罗斯,年代. J.; “Chief Cyber Officer, ISACA杂志, vol. 4, 2016, http://5wb7.baileherculane.net/archives
5 我发现越来越多的组织, 包括我自己的美国纽约州, 走上首席网络官的道路. 纽约州, “州长Hochul任命纽约州首位首席网络官,” USA, 2022年6月27日, http://www.governor.ny.gov/news/governor-hochul-appoints-new-york-states-first-ever-chief-cyber-officer
6 罗斯,年代. J.; “Why Do We Need Privacy Laws?” ISACA杂志, vol. 5, 2019, http://5wb7.baileherculane.net/archives
7 帕特尔,.; “治理 and Organizational Positioning of Effective Risk Management Functions,“LinkedIn, 二零一七年十月一日, http://www.linkedin.com/pulse/governance-organizational-positioning-effective-risk-management/. 公平地说,帕特尔还说,风险经理向首席执行官汇报工作是可以的.
8 国际风险与合规专业人员协会(IARCP),“首席风险官”, http://www.chief-risk-officer.com/. IARCP还表示,首席风险官(CRO)应该“直接接触董事会”.”
9 Quinley K. M.; “Risk Management: Where Does It Belong?” Med Device Online, http://www.meddeviceonline.com/doc/risk-management-where-does-it-belong-0001#top. 昆利表示:“大多数风险官似乎要么向首席财务官汇报工作, 一个会计, 或者是财务副总裁,他允许他们也可以向法律或安全部门报告.
10 标志、N.; “Revitalizing Risk Management Through a Changed Reporting Structure,” CMSWIRE, 21 July 2021, http://www.cmswire.com/information-management/revitalizing-risk-management-through-a-changed-reporting-structure/
11 约翰逊,J. T.《澳门赌场官方软件》, TechTarget2021年10月19日 http://www.techtarget.com/searchcio/tip/5-ways-to-improve-the-CIO-CISO-relationship
12 员工,“为什么ciso不应该向首席信息官汇报?” 安全情报2021年12月21日; http://securityintelligence.com/posts/why-cisos-shouldnt-report-to-cio-c-suite-conflict/
STEVEN J. 罗斯:cisa, cdpse, afbci, MBCP
是国际风险大师有限责任公司的执行负责人吗. 他一直在写一篇 华尔街日报》的 自1998年以来最受欢迎的专栏. 罗斯加入了ISACA® 2022年入选名人堂. 可以联系到他 stross@riskmastersintl.com.