Equifax的前车之鉴

目前盛行的负责人汇报制度存在这样的风险：如果安全问题影响到了公司的生产效率，那么前者往往会被忽视，甚至安全团队里也不再会有人去争取应有的预算。

去年Equifax发生了大规模的个人数据和财务数据泄露，受害人数高达1. 48 亿。许多人认为Equifax是因为没有及时给漏洞打补丁才引发这次事故，但SANS Institute的主管Lance Spitzner认为，Equifax的人力及企业架构是问题的根本所在。

“每当提起Equifax数据泄露事件，大家都认为这是个补丁问题，不法分子利用了Struts漏洞，而且Equifax之前就知道这个漏洞的存在，但却没有及时修补。”Spitzner在报告中写道。

那么这个漏洞为什么没有及时修补?为什么公司花了两个月才找到这个漏洞?Spitzner在报告中指出，最根本的原因是首席安全官Susan Mauldin无法直接向首席信息官汇报，他的汇报对象是首席法律官。IT和网络安全被分割，双方无法交流和协作，因此这个漏洞一直留在公司里。

但是为什么会出现这种不合理的公司架构?Spitzner表示：“十年前，公司的首席安全官还是直接向首席信息官汇报的。后来双方无法合作，前者被转移到首席法律官之下。但是新任首席信息官David Webb和新任首席安全官Susan Mauldin入职后，这一变动并没有恢复。如今，公司的首席信息官会直接向首席执行官汇报。”

去年的信息泄露事件暴露了Equifax存在的安全问题和管理问题，这家公司也记住了这次教训。在这次事件后，首席信息安全官及首席安全官也出现在了Equifax的领导团队中，之前则没有。

领导团队的调整

许多人力资源专家认为，许多公司不会把安全相关的职位列入领导团队，主要原因是这些职位通常不会直接向公司的董事会或首席执行官汇报。一般情况下，他们的汇报对象是首席技术官或首席信息官。

“你要确保公司的技术和安全必须齐头并进，否则公司内部就会出现问题。”保险公司Aon PLC的首席安全官Anthony Belfiore说道。

Aite Group的资深分析师Alissa Valentina Knight表示，在过去，首席信息安全官更像是一种技术型岗位，但现在的它更应该引起董事会的重视，企业的汇报结构正在发生改变，而我们正处于这样的变革中。

“过去首席信息安全官大多向首席技术官汇报。尽管前者也属于‘C字辈’(CISO)，但它通常没有资格出现在公司的官网上。”Knight说道。