雖然很多中級市場和SMB組織還沒有完全致力于信息安全的角色，但是時機可能已經(jīng)到了。IT組織如今正面臨重要的抉擇，而且隨著組織需要面對的法規(guī)要求更加繁重，這種工作的必要性正在迅速地增長。由于組織利用新趨勢和機會擴大業(yè)務(wù)范圍，比如“攜帶自己的設(shè)備”和云服務(wù)，對安全專家的需求也將非常高。

以下是首席安全官(CSO)在2020年可能的情況。

首席安全官的需求

當(dāng)今的技術(shù)環(huán)境就像野火一樣蔓延。連接到多個不同的網(wǎng)絡(luò)被視為平常事，而且組織在他們部署的工具的數(shù)量和他們支持的應(yīng)用程序的數(shù)目都在不斷增長。更重要的是智能手機真的就是電腦以至于職員走到哪里就把它們帶到哪里,不論是去開會、老板的辦公室、看電影、午餐或競爭對手的辦公室。這是可以被用于好的方面的技術(shù)——或者是用于邪惡的方面。

到2020年，組織將采用多種云服務(wù)，攜帶自己的設(shè)備(BYOD)將成為一種生活方式，首席安全官將需要準確理解如何把所有的東西都融合在一起。今天，組織已經(jīng)掙扎于BYOD及其對安全的影響；到2020年，幾乎所有的員工將擁有智能手機和平板電腦，以及具有2020年特色的移動設(shè)備。

還有更多的問題需要考慮。到2020年，云服務(wù)將無縫整合到現(xiàn)有的IT環(huán)境里。在許多情況下我看到云成為另一個服務(wù)層，但會有很多彎道進入到環(huán)境中，每一個彎道將是一個潛在的安全風(fēng)險。而且，隨著更多的云服務(wù)進入組織，CSO們必須為購買決策一部分的每一中服務(wù)審查每個供應(yīng)商的安全狀況。

簡而言之，2020年的首席安全官(CSO)將面臨大量分散的環(huán)境，需要對多個領(lǐng)域的關(guān)注。

對首席安全官職位的兩個見解

也許令安全專業(yè)人士失望的是，到2020年首席安全官仍然不會被認為是管理團隊的正式成員。雖然信息和組織的安全對一個組織非常重要，但是整個安全范式應(yīng)該屬于現(xiàn)有的風(fēng)險管理系統(tǒng)。但是CSO們將給管理團隊和董事會提供定期報告，特別是在信息安全的重要性增加的時候。

我認為今天常見的業(yè)務(wù)結(jié)構(gòu)從現(xiàn)在到2020年不會使其有太多的改變，但是隨著越來越多的組織雇傭CSO，現(xiàn)有的兩個結(jié)構(gòu)將會加強。

在一種情形下，CSO直接向CIO進行匯報，甚至可能有點脫離正式的IT組織圖的一方，便于與“正式”的IT人員保持分離。CSO定期向CIO簡要介紹潛在的安全問題并且與IT人員一起工作，確保任何確定的安全問題盡快得到解決。情況理想的話，CSO必須在可能有安全影響的項目上簽字，包括新的系統(tǒng)和應(yīng)用程序部署。CSO還負責(zé)執(zhí)行常規(guī)的滲透測試，通常還要負責(zé)驗證已經(jīng)被實施的安全系統(tǒng)工作良好。不利的一面是有些人可能把IT看作是控制安全以及控制報告的元素。

另一方面，一些組織要求CSO對組織的主要風(fēng)險管理官員有一個虛線（編者注：在外資企業(yè)的組織結(jié)構(gòu)圖中(organization chart),有時一個職位上面會出現(xiàn)兩個甚至兩個以上的manager,其中有一個是直接經(jīng)理,他和該職位之間用實線(solid line)連接,其他經(jīng)理則用虛線(dotted line)連接.和solid-line manager之間是行政關(guān)系,和dotted-line manager 之間主要是業(yè)務(wù)關(guān)系并經(jīng)常變化. 該職位必須直接報告給solid-line manager，并同時抄送dotted-line manager.）來維持有效的制衡。這個結(jié)構(gòu)直接將CSO置于首席風(fēng)險管理官的領(lǐng)域之內(nèi)。在這里，CSO對CIO來說是一個外部代理，而不是內(nèi)部資源，而且CSO對CIO可能有也可能沒有一個虛線。責(zé)任是相似的，但CSO可能在某些IT計劃和服務(wù)上有更多的否決權(quán)。

這是今天發(fā)生的一個點，但到2020年，我認為CSO的作用是幫助組織保護他們自己。在絕大多數(shù)情況下，做出的決策對組織可能有消極的安全影響。到2020年，我們將看到更多的組織充分資助CSO這個職位，當(dāng)談到服務(wù)收購的時候這些CSO們將擁有重要的權(quán)力。雖然他們將不會完全自主，但在組織可以同意新的服務(wù)合同和服務(wù)活動之前他們的簽字是必需的。

今天，盡管許多組織尚未聘傭CSO，我們看到這個職位在一些組織里已經(jīng)添加到了工資總支出當(dāng)中。到2020年，CSO將成為一個必需的職位，無論是由于復(fù)雜性還是法規(guī)。今天逐漸扎根的這些結(jié)構(gòu)和職責(zé)會隨著安全功能的光度和深度的擴大以及技術(shù)環(huán)境的擴張而迅速增長。