什么是最有说服力的CISO报告结构？

对现代CISO来说，上班报告是一种乐趣。挫败对企业的威胁是使特定主管感到高兴的一项工作。但是，由于各种原因，这些威胁呈指数级增长，涉及不断扩大的分布式公司价值链中的每个人。
因此，挫败性威胁已成为一项更大的工作，涉及管理在该分布式公司价值链中工作的每个人。仅用户意识就说明了这一责任。当您添加与高级业务负责人的协作以确保不仅知道分散的员工，而且还积极参与有效的用户级网络防御时，您会开始怀疑网络安全实际上在企业中的地位。
提出包含品牌信任感的网络安全预算业务案例，您开始怀疑CISO应该向谁报告。 潜在的利益冲突是CSHub社区不向CIO报告的主要原因。正如对话通常所说的那样，首席信息官的角色是要为组织迅速推进技术。
对话通常还继续说，CISO希望在实施新技术之前先对其进行观察并对其进行控制。如果CISO向CIO报告，则会产生利益冲突。这是传统的思维模式。
CSHub承担着这样的关系：一个好的CISO知道如何提出网络安全技术的已售业务案例，同时通过了解最新的协作工具来使业务发展。现代的CISO已经成为企业技术采购的第一线。一支优秀的现代化CISO仍然领先于分散的员工队伍，以构想企业未来的技术和信息服务的现实。 需要明确的是，我们所说的CISO都没有建议这种情况。而且，我们所知道的CISO不一定对承担这项庞然大物的任务感兴趣。 风险委员会首席运营官，首席风险官 风险可以通过首席运营官或CRO报告。 Horizo​​n Power CISO和CSHub亚太地区峰会发言人Jeff Campbell指出：“它已经超出了技术范围，我们开始看到向风险机构或公司治理机构进行报告。
”以及金融服务部门CISO和未来的CSHub Fiancial Services发言人汤姆•卡塔诺维奇（Tom Kartanowicz）表示同意，“虽然从历史的角度来看，网络CISO是一个IT问题。而且仍然有效。它仍然是网络安全的重要组成部分，但到2020年，它的意义将进一步增强。
现在存在整个风险元素。” Kayne McGladrey是IEEE公共可见性倡议的发言人。几十年来，他一直在与《财富》 500强公司和“全球1000强”公司进行高水平的合作。
他拥有明确的观点。 “最终，CSO应该向首席风险官CRO报告，因为网络安全最终将涉及在技术级别和法规级别管理风险。自然而然地存在风险。 “还与内部法律顾问保持着非常健康的关系，尤其是如果有首席法律顾问。偶尔喝杯咖啡。
与CIO建立健康的关系。” 那些已经熟练创建一个商业案例的人，如果辩护不充分，就会显示出该公司可能面临的巨大损失，因此将这个头衔放在名单上。 如果整个企业都受到CISO的影响，则有些人认为最好的报告方式是向CEO汇报。
有人认为，如果是整个企业价值链，那么唯一要报告的地方就是董事会。凯恩·麦克格莱德（Kayne McGladrey）对此表示赞同，“您无法有​​效地监管老板。如果CSO直接向董事会报告，而不是必须通过某人向董事会报告，这是一个很好的契合。
显然，这会产生一些有趣的预算结果，就像CSO和CIO（以前可能会争论）一样。预算拨款-在这些对话中享有平等的地位。 CSHub关于我们年中报告调查结果的互动讨论着重于五个主要的帐篷对话部分，即方法与策略对话，人才，预算和技术以及社区的问答环节。
方法与策略对话以有效的用户意识为主导目标，运动和策略。如上所述，重点是这样一个事实，即分布式企业中的每个人都在网络安全团队中。
CISO必须管理该团队。关于人才的讨论围绕寻找和保持优秀人才。预算讨论的重点是使业务案例获得更多预算。
这些都是商业主题。我们只有1/5的时间花在技术上。业务原则主题主导了社区提出的问题。
这种对话将继续，但是网络安全只是成为全球企业IT部门的一部分而已，情况不再如此。 经营一个有效的公司意味着在经营该组织的人员之间进行清晰，一致的沟通，以及明确，一致的责任分工。因此，CISO角色确实必须在组织结构图中找到正确的位置。
但是杰夫·坎贝尔（Jeff Campbell）可能会说得很慷慨，“只要您从高管那里买下来，并且有义务在整个组织中自动地，但以协作的方式提供必要的服务，那么这并不重要。”