データ流出が起こるたびに、企業のセキュリティ慣行の問題が露呈します。ターゲットの情報漏えいの場合、最も興味深い発見は、ターゲットのセキュリティ責任はすべて***情報責任者にあり、同社には***セキュリティ責任者すらいなかったということです。
当然のことながら、先月ターゲット社のCIO兼テクノロジー・サービス担当エグゼクティブ・バイス・プレジデントであったベス・ジェイコブ氏が辞任した際、多くの人が投げかけた疑問のひとつは、CIOのジェイコップ氏が責任を負うべきかどうかというものでした。
まず第一に、どのような規模の組織であっても、セキュリティを担当する役員が必要であり、セキュリティ部門は取締役会に席を置く必要があります。セキュリティがIT部門の手に完全に委ねられている場合、不適切な判断や違反が発生する可能性があります。
今日、CSOのいないビジネスは、ラインバッカーのいないフットボールチームのようなものです。ビジネスが成功するためには、信頼できるインフラと適切な情報保護が必要です。もしビジネスにCIOだけがいてCSOがいなければ、誰もセキュリティに集中せず、悪いことが起こるでしょう。CSOの欠如はセキュリティの欠如を意味します。
平等な表現
CIOとCSOは、取締役会において対等な代表権を持つ盟友であるべきです。通常、CIO はオペレーション・オフィサーに、CSO は CFO に直属し、COO と CFO は CEO に直属します。COOとCFOはCEOに直接報告します。しかし、組織構造にかかわらず、CIOとCSAは異なる報告構造を持たなければなりません。また、CIO と CSO が効果的な協力関係を築くためには、明確な責任分担が必要です。
通常、***のアプローチは、CSOが適切なセキュリティレベルを定義し、CIOがセキュリティを導入し、監査人がこのセキュリティが達成されていることを検証するというものです。CSOが定義するセキュリティは、組織にとって許容可能なリスクレベルに基づいており、明確なガイドラインを提供し、コンプライアンスを測定する簡単な方法を提供する必要があります。
より多くのセキュリティ侵害が公表されるにつれて、経営幹部にCSOが必要であることを納得させるのは容易になるはずです。現実の問題は、多くのCIOがCSOを望んでいないことです。なぜなら、ITインフラストラクチャのあらゆる側面をコントロールしているのは自分たちであれば、仕事を簡単に終わらせることができるからです。このような内部方針が、CIOがCSOを設置するよう経営幹部に働きかけないという状況を生み出しています。したがって、組織には、****経営幹部に「組織のセキュリティ・レベルに満足していますか?組織のセキュリティ・レベルに満足していますか?
組織におけるCIOとCSOの関係は?敵か味方か?
