首席安全官别就是一只纸老虎

    按:在澳大利亚一些企业的眼里，所谓的首席安全官就是一只纸老虎，雇回他们 的目的仅仅就是为了满足监管的要求。他们的作用就是把公司以一个信患安全灾 难帘进另一个信患安全灾难。
这是为什么?首席安全宦怎样才能不再尴尬?
    很多金融机构和政府机构认为之所以 需要一个首席安全官，就是为了满足包括 PCI、萨班斯奥克斯利法案和澳大利亚 通信与电子安全指导33在内的审计法律 的要求。它们经常宣称，首席安全官存在 的唯一依据就是基于此。
    首席安全官经常由需要遵循PCI、萨 班斯法案和《澳大利亚通信与电子安全指 导》在内的审计法律的公司委任澳大 利亚法律的效力不是很强，而且倾向于只 要试图遵守就可以，而不是必须遵循。但 如果首席安全官没有实权的话，那么员工 和部门并不会将安全作为优先事项。采用 这种自欺欺人的方式的企业，将不停地从 一个信息安全灾难到另一个信息安全灾 难。首席安全官必须能够找出每个业务部 门面临的风险，并告诉他们"你们存在 这样的风险，但我会帮助你们解决它。"
    "我可以告诉你很多谈判过的企业的 名称，他们在过去的几个月中上马新的安 全基础设施，纯粹是为遵守法律的要求。" 安全管理服务供应商Earthwave的创始 人兼首席执行官卡罗?米阿森说道。"他 们耗费二十万聘请了首席安全官，以保证 符合法律的要求。但除此之外，首席安全 官由于没有预算，无法取得相应的发言 权，在董事会中也没有任何的影响力g导 致，没有人来管理入侵检测系统和防火 墙，日志也没有进行监管，软件过期三年
了也没有人通知。"
    安全厂商BlueCoat的澳大利亚区经 理韦恩?内奇认为，首席安全官基本上已 经成为"替罪羔羊"的角色"他们有自 己的责任，但并没被授予相应的权力以获 得需要的资厢，以便有效地工作。"

董事会的重视
    "首席安全官所面临的挑战是从公司的 安全政策和程序中获得承诺，以便对所有 的人进行安全保护，以及在董事会中得到 认真的对待。"米阿森认为，许多公司设置 首席安全官只是为了遵循法律的要求，而 不是为了对安全事件进行分析和处理。这 令首席安全官的工作变得只限于提供报告。 他们对业务部门的安全情况提出了意见和 建议，但业务部门自己根据情况作出了选 择。
    "首席安全官的权力很少" CheckPoint的商务拓展经理弗莱德?布 尔森说，"如果业务部门对决定了公司策 略和预算的话，他很难工作。实际上，如 果首席安全官制定了一个涉及到采购决定 的策略，他应该获得来自公司的资金支 持，以及来自业务部门的遵循。这个是不

对于高管们来说，最好的礼物是-个 经过深思熟虑的非常清晰明确的计划 书。
    IBRS安全分析师詹姆士?特纳 能打折扣的。要是首席安全官不能发挥作 用，公司将处于一种风险不可预测的状 态。业务部门领导的议程往往是有限的
有时只有和利润相关的才会被关注。"

无力的执行
    Agreon系统董事总经理布赖恩-布 朗尼格认为，对于大部分的法律，存在这 样一个问题，公司正在寻找有没有可以仅 仅在表面上遵就可以而不必实际实行的渠 道。他认为，与美国相比，澳大利亚法律 的执行力是很弱的。因为，只要试图遵循 就可以被接受，而在美国，这是不行的。 "在澳大利亚你可以失败，而不会导致实 质的后果。我自己就知道很多没有通过安 全审计的上市公司。"但布朗尼格也认为， 这样的情况将会发生改变。确保敏感数 据，特别是私人资料，将在未来的法律上 给予体现"一定会有越来越多的相关法 律出现。这是一个世界潮流。举例来说， 澳大利亚法律改革委员会，已经准备对去 年发布的澳大利亚隐私法进行修订。"

有时这意味着胡萝l、，有时这意味 着大棒。
    IBRS安全分析师房姆士?特纳
    "如果该法获得通过，将可以补上澳 大利亚在这方面的欠帐。"IBRS安全分析 师詹姆士?特纳说道。"澳大利亚公司与 相参照的国家比较，在信用卡欺诈防范 领域作得非常好，远远低于平均水平。但 在解决个人身份资料被盗的过程中，收 费仍然是太高了。对于银行来说，这可能 .