CISO（首席信息安全官）一般是向CIO（首席信息官）述职，但是随着安全变得越来越重要，这种情况正在悄然改变。那么，这将如何改变两者之间的关系？两者如何更好地合作？

多年以来，安全人员一直是由CIO直接管理的。而今，随着众多企业越发重视安全，CISO的地位变得更加重要。因为这种变化，两者的工作关系发生了转变。CIO负责领导、洞察及实现IT项目，以推动业务发展；而CISO则负责提供见解与指导意见，以确保策略安全。

CenturyLink副总裁兼首席安全官David Mahon表示：

“在CIO与CISO的关系当中，后者的角色变得愈发重要。现在，安全是确保公司策略成功执行的基本要求。”

为何会发生角色演变

安全的演变是造成这一现象的原因之一。企业的网络越来越复杂，尤其是随着自带设备（BYOD）计划的发展，公司网络中的设备越来越多，数量之大，前所未有。同时，黑客们正使用更加高级的攻击手段，来入侵公司系统，窃取数据。

Mahon解释到，在这种动态环境下，CISO将负责找出安全隐患，并就未来的计划向CIO提供建议。两者共同审查大方向，查看整个公司的系统与数据，并由CISO提出指导意见。比如说，CISO可能会向CIO建议，避免与某个供应商合作，因为与之合作可能带来安全风险。

Benchmark Executive Search公司总裁Jeremy King认为：“目前尚无企业架构标准，但在大多数上市公司，CISO仍然是直接向CIO汇报的。”King认为，每个公司对风险管理见仁见智。有些企业中的CISO向总顾问汇报，其他的有向合规部主管汇报，还有的向COO或者CEO汇报。另外，CISO和CIO也得到了更大的权利，可以否决关键决策。

Optiv公司的“CISO办公室”执行总监Dawn-Marie Hutchinson表示：“CISO在董事会议上有发言权，他们会提议大家探讨企业的战略方向，以及如何实现相应的功能。”Hutchinson认为，过去这是CIO的责任，但汇报结构正在改变，安全问题和相关项目逐步成为重点。企业想要了解如何维持信息系统的私密性，这样的关注给了CISO更多的机会，与董事会成员及执行层面谈。

IronNet Cybersecurity公司主管Greg Conti预测，随着越来越多的重大入侵事件持续发生，未来企业对CISO的需求量将渐渐增多。他解释说：“CISO必须了解技术、政策、法律、合规性、风险和其他许多领域。这些领域多种多样，这种复杂性需要强大的团队来应对，因为没有人会是所有这些领域的专家。”

Hutchinson表示，随着CISO在企业决策中的角色越来越重要，CIO的职责也在改变。CIO将更多地被调去处理运营技术和操作相关问题，比如外包、云使用和网络可用性问题——都是与安全不相关的问题。

CISO变得更光鲜

下一步，随着角色和关系继续演化，CIO和CISO将面临截然不同的挑战。Hutchinson认为CIO的角色不会消失，但将被重新界定。根据她的预测，CIO将在业务创新当中承担更多的责任。她认为，创新型公司都有强大的CIO领头。新技术的使用将是CIO面临的挑战。他们常常专注于维持一切正常运转，而没有时间带领IT部门更加高效地提供及支持一些工具，以应对不断改变的业务需求。

Mahon认为，随着威胁态势的演变，CIO与CISO将面临另一个问题：“如何在开发目标市场及满足消费者需求的同时，保持企业认定的风险管理态度？”

此问题要求确定风险管理态度的高层领导团队，在快速上市与安全之间取得一种平衡。他们可以选择迅速上市，但这样做可能会影响企业的长远表现。

Conti表示，CISO和CIO角色的变化可能将对公司的开支造成影响。他认为：“从某些方面来看，CIO的角色可能变得没有CISO那么光鲜亮丽了。比方说，CIO面对的典型挑战是，当一切正常运转时，没有人在乎，而当某个环节出现异常，就成了大问题。这个挑战很难克服，而刻不容缓的安全形势正推动CISO需求量的增长。”

本文转自d1net（转载）