俗话说,家和万事兴。与之相对的,家不睦则必自败。同理,如果缺乏明确的领导,内部人员风险管理项目或内部人威胁项目 (ITP) 也将走向失败。而公司企业往往未能出于 “团队合作” 的心态,或遵从当前管理领域来指定主管。其结果,就是 “三个和尚没水吃”,每个人都管就是一个人都不管。
这并不意味着要设立全权掌控的内部人威胁管理 “沙皇”,不代表要专设一人对所有与内部人风险管理相关事务行使一票否决权。真正需要的,是有人最终负责培育跨职能协作,推进安全功能,并评估进展和向领导层报告。政府将这一角色称为负责管理内部人威胁的 “高级官员”。在美国企业中,此类职位的头衔可能是首席风险官 (CRO)、首席安全官 (CSO)、首席信息安全官 (CISO) 或首席行政官 (CAO)。
首席风险官 (CRO)
CRO 可能是领导 ITP 的最佳人选。但这很大程度上取决于 CRO 本身的职能和职权范围。有些 CRO 只关注公司的战略性风险。他们设立组织性风险容忍度,发展捕获和衡量风险态势的方法。这种模式下,运营性风险仍然完全落在运营主管的头上(CSO、CISO、业务部门等等)。此类 CRO 就不太适合领导 ITP 了,因为他们缺乏 ITP 所需的可见性和运营粒度。
其他 CRO 则关注公司的战略性和运营性两种风险。他们不仅仅设立组织性风险容忍度,也参与评估、管理和改善公司的运营性风险态势。此类 CRO 很适合领导 ITP。他们往往具备必要的高层授权(向 CEO、审计委员会等报告),而且出于职权范围考虑,他们还具有公司其他职能部门的必要关系(业务部门、法务、人力资源、CSO、CISO 等)。尽管风险本身的 “所有权” 依然落在运营性主管的身上,此类 CRO 往往也有共同责任和报告需求。因此,让他们成为既定的实权主管,顺畅领导 ITP 这样的跨部门项目。
首席安全官 (CSO)
CSO 是领导 ITP 的合理选择。他们往往拥有现成的跨部门合作关系,与法律、人力资源、风险和网络部门都保有良好关系。这些关系赋予了他们培育良好协作,提升内部人威胁应对能力的必备视角和影响力。但有些 CSO 缺乏对内部人威胁管理技术层面上的恰当理解,可能会感觉无力领导 ITP。
举个例子,内部人威胁工具往往为 CISO 所有,由他们负责测试、实现和维护每个工具。这就会对人力资本和财务资源产生沉重负担。因此,CISO 常需重度参与 ITP。尽管如此,CSO 仍可成为有效 ITP 领导者,可在包括 CISO 在内的各职能部门间创建紧密合作关系和工作流,充分运用全部团队的专业技能。
首席信息安全官 (CISO)
领导 ITP 的传统选择就是 CISO。内部人威胁向来被看做网络安全的子集。因此,CISO 顺理成章被选为公司威胁管理工作主管,无论是内部威胁还是外部威胁。但这一观点正在发生改变,因为内部人威胁非常独特,涉及安全、人力资源、网络和法律等一系列职能。而 CISO 某种程度上也是相当专一的一个职位,专注于 “数字” 安全或以数据为中心的安全。内部人威胁从根本上讲是人的问题,而不是数据问题。因此,CISO 可能会因其职能范围而过度限制了 ITP 的作用域。
而且,CISO 向 CIO 报告的操作很常见,存在天然的利益冲突。CIO 的任务是确保信息的机密性、完整性和可用性,例如保障员工能执行自身工作等。这一职能跟内部人威胁相关安全需求不总是完全一致,会造成用于内部人威胁管理的资金因 CIO 其他关注重点而被延迟或受限。
首席行政官 (CAO)/法律总顾问/人力资源
尽管不是惯有的 ITP 领导,这一类别中的高管可能因公司组织架构方式,而成为实际上的 ITP 领导。有些公司里,首席行政官可能兼任法律总顾问或人力资源主管。这种情况下,一些安全职能可能也向 CAO 报告。因此,很多 ITP 职责或许会遵从 CAO 的指示。其他高管常会听取 CAO 的意见,也就令 CAO 成了潜在的 ITP 驱动力。如果 CAO 得到多名高级安全主管的支持,这种管理结构很可能行之有效。若缺乏强大的高层和中层经理支持,该模式就会缺乏恰当开发、实现和维持 ITP 所需的指导和知识专长。
内部威胁总监职位的兴起
为赋予履行管理内部人威胁项目职责的权限,推动该项目向前发展,公司企业开始设立新的总监和副总裁职位。采用的头衔包括内部人信任总监、内部人风险总监、员工信任副总裁等,但目标一直都是为 ITP 提供指导。随着公司企业持续扩大和深化自身内部人风险管理能力,此类角色职能的重要性也将逐渐增加。
虽然该角色最终应向 CEO 直接报告,但仍需一段时间才能发展到那一步。内部人威胁总监的职位可能会遵循 CISO 的发展历程,在接下来的几年里获得自身合法地位。同时,该职位应在上述首席级高管的领导下继续成长,成为 ITP 的运营主管。