內部人員風險管理:歸哪個“O”管?
作者:星期二, 十二月 31, 20190

俗話說,家和萬事興。與之相對的,家不睦則必自敗。同理,如果缺乏明確的領導,內部人員風險管理項目或內部人威脅項目 (ITP) 也將走向失敗。而公司企業往往未能出于 “團隊合作” 的心態,或遵從當前管理領域來指定主管。其結果,就是 “三個和尚沒水吃”,每個人都管就是一個人都不管。

這并不意味著要設立全權掌控的內部人威脅管理 “沙皇”,不代表要專設一人對所有與內部人風險管理相關事務行使一票否決權。真正需要的,是有人最終負責培育跨職能協作,推進安全功能,并評估進展和向領導層報告。政府將這一角色稱為負責管理內部人威脅的 “高級官員”。在美國企業中,此類職位的頭銜可能是首席風險官 (CRO)、首席安全官 (CSO)、首席信息安全官 (CISO) 或首席行政官 (CAO)。

首席風險官 (CRO)

CRO 可能是領導 ITP 的最佳人選。但這很大程度上取決于 CRO 本身的職能和職權范圍。有些 CRO 只關注公司的戰略性風險。他們設立組織性風險容忍度,發展捕獲和衡量風險態勢的方法。這種模式下,運營性風險仍然完全落在運營主管的頭上(CSO、CISO、業務部門等等)。此類 CRO 就不太適合領導 ITP 了,因為他們缺乏 ITP 所需的可見性和運營粒度。

其他 CRO 則關注公司的戰略性和運營性兩種風險。他們不僅僅設立組織性風險容忍度,也參與評估、管理和改善公司的運營性風險態勢。此類 CRO 很適合領導 ITP。他們往往具備必要的高層授權(向 CEO、審計委員會等報告),而且出于職權范圍考慮,他們還具有公司其他職能部門的必要關系(業務部門、法務、人力資源、CSO、CISO 等)。盡管風險本身的 “所有權” 依然落在運營性主管的身上,此類 CRO 往往也有共同責任和報告需求。因此,讓他們成為既定的實權主管,順暢領導 ITP 這樣的跨部門項目。

首席安全官 (CSO)

CSO 是領導 ITP 的合理選擇。他們往往擁有現成的跨部門合作關系,與法律、人力資源、風險和網絡部門都保有良好關系。這些關系賦予了他們培育良好協作,提升內部人威脅應對能力的必備視角和影響力。但有些 CSO 缺乏對內部人威脅管理技術層面上的恰當理解,可能會感覺無力領導 ITP。

舉個例子,內部人威脅工具往往為 CISO 所有,由他們負責測試、實現和維護每個工具。這就會對人力資本和財務資源產生沉重負擔。因此,CISO 常需重度參與 ITP。盡管如此,CSO 仍可成為有效 ITP 領導者,可在包括 CISO 在內的各職能部門間創建緊密合作關系和工作流,充分運用全部團隊的專業技能。

首席信息安全官 (CISO)

領導 ITP 的傳統選擇就是 CISO。內部人威脅向來被看做網絡安全的子集。因此,CISO 順理成章被選為公司威脅管理工作主管,無論是內部威脅還是外部威脅。但這一觀點正在發生改變,因為內部人威脅非常獨特,涉及安全、人力資源、網絡和法律等一系列職能。而 CISO 某種程度上也是相當專一的一個職位,專注于 “數字” 安全或以數據為中心的安全。內部人威脅從根本上講是人的問題,而不是數據問題。因此,CISO 可能會因其職能范圍而過度限制了 ITP 的作用域。

而且,CISO 向 CIO 報告的操作很常見,存在天然的利益沖突。CIO 的任務是確保信息的機密性、完整性和可用性,例如保障員工能執行自身工作等。這一職能跟內部人威脅相關安全需求不總是完全一致,會造成用于內部人威脅管理的資金因 CIO 其他關注重點而被延遲或受限。

首席行政官 (CAO)/法律總顧問/人力資源

盡管不是慣有的 ITP 領導,這一類別中的高管可能因公司組織架構方式,而成為實際上的 ITP 領導。有些公司里,首席行政官可能兼任法律總顧問或人力資源主管。這種情況下,一些安全職能可能也向 CAO 報告。因此,很多 ITP 職責或許會遵從 CAO 的指示。其他高管常會聽取 CAO 的意見,也就令 CAO 成了潛在的 ITP 驅動力。如果 CAO 得到多名高級安全主管的支持,這種管理結構很可能行之有效。若缺乏強大的高層和中層經理支持,該模式就會缺乏恰當開發、實現和維持 ITP 所需的指導和知識專長。

內部威脅總監職位的興起

為賦予履行管理內部人威脅項目職責的權限,推動該項目向前發展,公司企業開始設立新的總監和副總裁職位。采用的頭銜包括內部人信任總監、內部人風險總監、員工信任副總裁等,但目標一直都是為 ITP 提供指導。隨著公司企業持續擴大和深化自身內部人風險管理能力,此類角色職能的重要性也將逐漸增加。

雖然該角色最終應向 CEO 直接報告,但仍需一段時間才能發展到那一步。內部人威脅總監的職位可能會遵循 CISO 的發展歷程,在接下來的幾年里獲得自身合法地位。同時,該職位應在上述首席級高管的領導下繼續成長,成為 ITP 的運營主管。

相關閱讀

 

高管人員最不遵守安全規定?

網絡安全與7種C級高管的關系


相關文章

寫一條評論

 

 

0條評論