导读 俗话说,家和万事兴。与之相对的,家不睦则必自败。同理,如果缺乏明确的领导,内部人员风险管理项目或内部人威胁项目 (ITP) 也将走向失败。

俗话说,家和万事兴。与之相对的,家不睦则必自败。同理,如果缺乏明确的领导,内部人员风险管理项目或内部人威胁项目 (ITP) 也将走向失败。而公司企业往往未能出于 “团队合作” 的心态,或遵从当前管理领域来指定主管。其结果,就是 “三个和尚没水吃”,每个人都管就是一个人都不管。

这并不意味着要设立全权掌控的内部人威胁管理 “沙皇”,不代表要专设一人对所有与内部人风险管理相关事务行使一票否决权。真正需要的,是有人最终负责培育跨职能协作,推进安全功能,并评估进展和向领导层报告。政府将这一角色称为负责管理内部人威胁的 “高级官员”。在美国企业中,此类职位的头衔可能是首席风险官 (CRO)、首席安全官 (CSO)、首席信息安全官 (CISO) 或首席行政官 (CAO)。

首席风险官 (CRO)

CRO 可能是领导 ITP 的最佳人选。但这很大程度上取决于 CRO 本身的职能和职权范围。有些 CRO 只关注公司的战略性风险。他们设立组织性风险容忍度,发展捕获和衡量风险态势的方法。这种模式下,运营性风险仍然完全落在运营主管的头上(CSO、CISO、业务部门等等)。此类 CRO 就不太适合领导 ITP 了,因为他们缺乏 ITP 所需的可见性和运营粒度。

其他 CRO 则关注公司的战略性和运营性两种风险。他们不仅仅设立组织性风险容忍度,也参与评估、管理和改善公司的运营性风险态势。此类 CRO 很适合领导 ITP。他们往往具备必要的高层授权(向 CEO、审计委员会等报告),而且出于职权范围考虑,他们还具有公司其他职能部门的必要关系(业务部门、法务、人力资源、CSO、CISO 等)。尽管风险本身的 “所有权” 依然落在运营性主管的身上,此类 CRO 往往也有共同责任和报告需求。因此,让他们成为既定的实权主管,顺畅领导 ITP 这样的跨部门项目。

首席安全官 (CSO)

CSO 是领导 ITP 的合理选择。他们往往拥有现成的跨部门合作关系,与法律、人力资源、风险和网络部门都保有良好关系。这些关系赋予了他们培育良好协作,提升内部人威胁应对能力的必备视角和影响力。但有些 CSO 缺乏对内部人威胁管理技术层面上的恰当理解,可能会感觉无力领导 ITP。

举个例子,内部人威胁工具往往为 CISO 所有,由他们负责测试、实现和维护每个工具。这就会对人力资本和财务资源产生沉重负担。因此,CISO 常需重度参与 ITP。尽管如此,CSO 仍可成为有效 ITP 领导者,可在包括 CISO 在内的各职能部门间创建紧密合作关系和工作流,充分运用全部团队的专业技能。

首席信息安全官 (CISO)

领导 ITP 的传统选择就是 CISO。内部人威胁向来被看做网络安全的子集。因此,CISO 顺理成章被选为公司威胁管理工作主管,无论是内部威胁还是外部威胁。但这一观点正在发生改变,因为内部人威胁非常独特,涉及安全、人力资源、网络和法律等一系列职能。而 CISO 某种程度上也是相当专一的一个职位,专注于 “数字” 安全或以数据为中心的安全。内部人威胁从根本上讲是人的问题,而不是数据问题。因此,CISO 可能会因其职能范围而过度限制了 ITP 的作用域。

而且,CISO 向 CIO 报告的操作很常见,存在天然的利益冲突。CIO 的任务是确保信息的机密性、完整性和可用性,例如保障员工能执行自身工作等。这一职能跟内部人威胁相关安全需求不总是完全一致,会造成用于内部人威胁管理的资金因 CIO 其他关注重点而被延迟或受限。

首席行政官 (CAO)/法律总顾问/人力资源

尽管不是惯有的 ITP 领导,这一类别中的高管可能因公司组织架构方式,而成为实际上的 ITP 领导。有些公司里,首席行政官可能兼任法律总顾问或人力资源主管。这种情况下,一些安全职能可能也向 CAO 报告。因此,很多 ITP 职责或许会遵从 CAO 的指示。其他高管常会听取 CAO 的意见,也就令 CAO 成了潜在的 ITP 驱动力。如果 CAO 得到多名高级安全主管的支持,这种管理结构很可能行之有效。若缺乏强大的高层和中层经理支持,该模式就会缺乏恰当开发、实现和维持 ITP 所需的指导和知识专长。

内部威胁总监职位的兴起

为赋予履行管理内部人威胁项目职责的权限,推动该项目向前发展,公司企业开始设立新的总监和副总裁职位。采用的头衔包括内部人信任总监、内部人风险总监、员工信任副总裁等,但目标一直都是为 ITP 提供指导。随着公司企业持续扩大和深化自身内部人风险管理能力,此类角色职能的重要性也将逐渐增加。

虽然该角色最终应向 CEO 直接报告,但仍需一段时间才能发展到那一步。内部人威胁总监的职位可能会遵循 CISO 的发展历程,在接下来的几年里获得自身合法地位。同时,该职位应在上述首席级高管的领导下继续成长,成为 ITP 的运营主管。

本文转自:https://www.linuxprobe.com/nternal-personnel-risk.html

到底是哪个“O”管理内部人员风险?的更多相关文章

  1. MBA 工商管理课程-风险型决策方法

    (二)风险型决策方法      适用的条件                未来情况不止一种,管理者不知道到底哪种情况会发生,但知道每种情况发生的概率       常用方法:              ...

  2. sap后台作业管理/sap打印管理

    sap后台作业管理: 后台作业,主要用于运行需要处理大量数据,对交互没有要求的程序.个人认为,简单的创建,配置和监控后台作业没有什么难度.后台作业管理最为困难的解决方案的取舍,系统负载的调控.失控的后 ...

  3. 流程管理软件(BPM)功能简介

    易协流程管理系统实现将人为控制的业务活动,通过信息化手段实现系统控制,降低人为控制管理的风险以及促进企业的各项决策方针的顺利实施. 系统目标: 实现管理的规范化.制度化.程序化: 帮助企业将内控制度流 ...

  4. 基于 Lerna 管理 packages 的 Monorepo 项目最佳实践

    本文首发于 vivo互联网技术 微信公众号 https://mp.weixin.qq.com/s/NlOn7er0ixY1HO40dq5Gag作者:孔垂亮 目录 一.背景二.Monorepo vs M ...

  5. 探讨Microsoft Solution Framework(MSF)框架下管理的秘密

    hello,同学们,同胞们,同志们,同龄们,这样们,那样们,们们们,我又回来写“论文”了,半年时间没见我发布任何博文,是不是认为我被潜规则了啊,哈哈.我想死你们了.好了,废话不多说,进入今天主题:   ...

  6. 文件上传---普通文件fileupload.jar和url文件httpUrlConnection

    文件上传---普通文件和url文件 主要用来学习使用common-fileupload.jar和java.net.httpURLConnection 普通文件: //上传xls文件到临时目录 if ( ...

  7. 那些年我遇到的ERP顾问

    当我写下这篇随笔的时候,算起来在我从业9年的时间里,也差不多遇到了4-5拨的ERP咨询顾问,严格来说是4家ERP顾问公司.分别是:IBM.汉得.鼎捷以及盈通金服.从实施水准.技术力量.沟通技巧.做事态 ...

  8. Hadoop:HDFS NameNode内存全景

    原文转自:https://tech.meituan.com/namenode.html 感谢原作者 一.概述 从整个HDFS系统架构上看,NameNode是其中最重要.最复杂也是最容易出现问题的地方, ...

  9. HDFS NameNode内存全景

    一.概述 从整个HDFS系统架构上看,NameNode是其中最重要.最复杂也是最容易出现问题的地方,而且一旦NameNode出现故障,整个Hadoop集群就将处于不可服务的状态,同时随着数据规模和集群 ...

随机推荐

  1. java基础(十)之向上转型/向下转型

    向上转型:将子类的对象赋值给父类的引用. 向下转型:将父类的对象赋值给子类的引用. 向上转型 Student a = new Student(); Person zhang = a; 或者 Perso ...

  2. 利用Ajax实现数据的同步传输,从mysql中提取数据,通过echarts可视化

    如何将mysql数据库中的方式通过echarts可视化呢,以下面这个简单的例子向大家进行演示:   步骤一:mysql的创表和插入数据,当然这些数据也可以是你通过爬虫抓取的.     步骤二:   创 ...

  3. springboot08(springmvc自动配置原理)

    MVC WebMvcAutoConfiguration.java @ConditionalOnMissingBean(name = "viewResolver", value = ...

  4. 计算机网络 - TCP_NODELAY 和 TCP_CORK, TCP_NOPUSH

    参考 https://www.cnblogs.com/biyeymyhjob/p/4670502.html https://stackoverflow.com/questions/3761276/wh ...

  5. 数据库程序接口——JDBC——API解读第一篇——建立连接的核心对象

    结构图 核心对象 Driver Java通过Driver接口表示驱动,每种类型的数据库通过实现Driver接口提供自己的Driver实现类. Driver由属性,操作,事件三部分组成. 属性 公共属性 ...

  6. HashSet HashMap 源码阅读笔记

    hashcode() 与 equals() 应一起重写,在HashMap 会先调用hash(key.hashcode()) 找到对应的entry数组位置 (一般初始是16,2^x,rehash后会翻倍 ...

  7. Dart语言学习(四)Dart字符串

    一.字符串的创建 使用 单引号,双引号 创建字符串 使用 三个引号或双引号 创建多行字符串 使用 r 创建原始 raw 字符串 String str1 = 'Hello';//"" ...

  8. 1、json背景

    教程链接 链接:http://pan.baidu.com/s/1mil4M1M 密码:vwsn JSON (JavaScript对象表示法)是一种轻量级的基于文本的开放标准,被设计用于可读的数据交换, ...

  9. linux 命令——screen

    最近遇到一个东西aria2,这个玩意,这个是啥呢?Aria2是一个轻量级Linux下载软件,支持HTTP/HTTPS, FTP, SFTP, BitTorrent和磁力链接(官方版),公司系统插件配套 ...

  10. python 的集合

    set  的特点: 把不同的元素组合在一起,元素值必须是可哈希不可变的 set 的创建 s = set ('alex li') print(s) 表现形式:去重 {'e', 'i', ' ', 'l' ...