导读 俗话说,家和万事兴。与之相对的,家不睦则必自败。同理,如果缺乏明确的领导,内部人员风险管理项目或内部人威胁项目 (ITP) 也将走向失败。

俗话说,家和万事兴。与之相对的,家不睦则必自败。同理,如果缺乏明确的领导,内部人员风险管理项目或内部人威胁项目 (ITP) 也将走向失败。而公司企业往往未能出于 “团队合作” 的心态,或遵从当前管理领域来指定主管。其结果,就是 “三个和尚没水吃”,每个人都管就是一个人都不管。

这并不意味着要设立全权掌控的内部人威胁管理 “沙皇”,不代表要专设一人对所有与内部人风险管理相关事务行使一票否决权。真正需要的,是有人最终负责培育跨职能协作,推进安全功能,并评估进展和向领导层报告。政府将这一角色称为负责管理内部人威胁的 “高级官员”。在美国企业中,此类职位的头衔可能是首席风险官 (CRO)、首席安全官 (CSO)、首席信息安全官 (CISO) 或首席行政官 (CAO)。

首席风险官 (CRO)

CRO 可能是领导 ITP 的最佳人选。但这很大程度上取决于 CRO 本身的职能和职权范围。有些 CRO 只关注公司的战略性风险。他们设立组织性风险容忍度,发展捕获和衡量风险态势的方法。这种模式下,运营性风险仍然完全落在运营主管的头上(CSO、CISO、业务部门等等)。此类 CRO 就不太适合领导 ITP 了,因为他们缺乏 ITP 所需的可见性和运营粒度。

其他 CRO 则关注公司的战略性和运营性两种风险。他们不仅仅设立组织性风险容忍度,也参与评估、管理和改善公司的运营性风险态势。此类 CRO 很适合领导 ITP。他们往往具备必要的高层授权(向 CEO、审计委员会等报告),而且出于职权范围考虑,他们还具有公司其他职能部门的必要关系(业务部门、法务、人力资源、CSO、CISO 等)。尽管风险本身的 “所有权” 依然落在运营性主管的身上,此类 CRO 往往也有共同责任和报告需求。因此,让他们成为既定的实权主管,顺畅领导 ITP 这样的跨部门项目。

首席安全官 (CSO)

CSO 是领导 ITP 的合理选择。他们往往拥有现成的跨部门合作关系,与法律、人力资源、风险和网络部门都保有良好关系。这些关系赋予了他们培育良好协作,提升内部人威胁应对能力的必备视角和影响力。但有些 CSO 缺乏对内部人威胁管理技术层面上的恰当理解,可能会感觉无力领导 ITP。

举个例子,内部人威胁工具往往为 CISO 所有,由他们负责测试、实现和维护每个工具。这就会对人力资本和财务资源产生沉重负担。因此,CISO 常需重度参与 ITP。尽管如此,CSO 仍可成为有效 ITP 领导者,可在包括 CISO 在内的各职能部门间创建紧密合作关系和工作流,充分运用全部团队的专业技能。

首席信息安全官 (CISO)

领导 ITP 的传统选择就是 CISO。内部人威胁向来被看做网络安全的子集。因此,CISO 顺理成章被选为公司威胁管理工作主管,无论是内部威胁还是外部威胁。但这一观点正在发生改变,因为内部人威胁非常独特,涉及安全、人力资源、网络和法律等一系列职能。而 CISO 某种程度上也是相当专一的一个职位,专注于 “数字” 安全或以数据为中心的安全。内部人威胁从根本上讲是人的问题,而不是数据问题。因此,CISO 可能会因其职能范围而过度限制了 ITP 的作用域。

而且,CISO 向 CIO 报告的操作很常见,存在天然的利益冲突。CIO 的任务是确保信息的机密性、完整性和可用性,例如保障员工能执行自身工作等。这一职能跟内部人威胁相关安全需求不总是完全一致,会造成用于内部人威胁管理的资金因 CIO 其他关注重点而被延迟或受限。

首席行政官 (CAO)/法律总顾问/人力资源

尽管不是惯有的 ITP 领导,这一类别中的高管可能因公司组织架构方式,而成为实际上的 ITP 领导。有些公司里,首席行政官可能兼任法律总顾问或人力资源主管。这种情况下,一些安全职能可能也向 CAO 报告。因此,很多 ITP 职责或许会遵从 CAO 的指示。其他高管常会听取 CAO 的意见,也就令 CAO 成了潜在的 ITP 驱动力。如果 CAO 得到多名高级安全主管的支持,这种管理结构很可能行之有效。若缺乏强大的高层和中层经理支持,该模式就会缺乏恰当开发、实现和维持 ITP 所需的指导和知识专长。

内部威胁总监职位的兴起

为赋予履行管理内部人威胁项目职责的权限,推动该项目向前发展,公司企业开始设立新的总监和副总裁职位。采用的头衔包括内部人信任总监、内部人风险总监、员工信任副总裁等,但目标一直都是为 ITP 提供指导。随着公司企业持续扩大和深化自身内部人风险管理能力,此类角色职能的重要性也将逐渐增加。

虽然该角色最终应向 CEO 直接报告,但仍需一段时间才能发展到那一步。内部人威胁总监的职位可能会遵循 CISO 的发展历程,在接下来的几年里获得自身合法地位。同时,该职位应在上述首席级高管的领导下继续成长,成为 ITP 的运营主管。

本文转自:https://www.linuxprobe.com/nternal-personnel-risk.html

到底是哪个“O”管理内部人员风险?的更多相关文章

  1. MBA 工商管理课程-风险型决策方法

    (二)风险型决策方法      适用的条件                未来情况不止一种,管理者不知道到底哪种情况会发生,但知道每种情况发生的概率       常用方法:              ...

  2. sap后台作业管理/sap打印管理

    sap后台作业管理: 后台作业,主要用于运行需要处理大量数据,对交互没有要求的程序.个人认为,简单的创建,配置和监控后台作业没有什么难度.后台作业管理最为困难的解决方案的取舍,系统负载的调控.失控的后 ...

  3. 流程管理软件(BPM)功能简介

    易协流程管理系统实现将人为控制的业务活动,通过信息化手段实现系统控制,降低人为控制管理的风险以及促进企业的各项决策方针的顺利实施. 系统目标: 实现管理的规范化.制度化.程序化: 帮助企业将内控制度流 ...

  4. 基于 Lerna 管理 packages 的 Monorepo 项目最佳实践

    本文首发于 vivo互联网技术 微信公众号 https://mp.weixin.qq.com/s/NlOn7er0ixY1HO40dq5Gag作者:孔垂亮 目录 一.背景二.Monorepo vs M ...

  5. 探讨Microsoft Solution Framework(MSF)框架下管理的秘密

    hello,同学们,同胞们,同志们,同龄们,这样们,那样们,们们们,我又回来写“论文”了,半年时间没见我发布任何博文,是不是认为我被潜规则了啊,哈哈.我想死你们了.好了,废话不多说,进入今天主题:   ...

  6. 文件上传---普通文件fileupload.jar和url文件httpUrlConnection

    文件上传---普通文件和url文件 主要用来学习使用common-fileupload.jar和java.net.httpURLConnection 普通文件: //上传xls文件到临时目录 if ( ...

  7. 那些年我遇到的ERP顾问

    当我写下这篇随笔的时候,算起来在我从业9年的时间里,也差不多遇到了4-5拨的ERP咨询顾问,严格来说是4家ERP顾问公司.分别是:IBM.汉得.鼎捷以及盈通金服.从实施水准.技术力量.沟通技巧.做事态 ...

  8. Hadoop:HDFS NameNode内存全景

    原文转自:https://tech.meituan.com/namenode.html 感谢原作者 一.概述 从整个HDFS系统架构上看,NameNode是其中最重要.最复杂也是最容易出现问题的地方, ...

  9. HDFS NameNode内存全景

    一.概述 从整个HDFS系统架构上看,NameNode是其中最重要.最复杂也是最容易出现问题的地方,而且一旦NameNode出现故障,整个Hadoop集群就将处于不可服务的状态,同时随着数据规模和集群 ...

随机推荐

  1. 关于JavaScript中0、空字符串、'0'是true还是false的总结

    最近被问到关于js中空字符串是true还是false得问题,一时间没想起来,现在在chrome的console面板上输出代码测试一下. "" == false 结果是true    ...

  2. 浅谈对Jquery+JSON+WebService的使用小结

    https://www.jb51.net/article/36207.htm  更新时间:2013年04月28日 12:19:55   作者:    我要评论   本篇文章介绍了对Jquery+JSO ...

  3. Common Subsequence Gym - 102307C 公共序列

    2019 ICPC Universidad Nacional de Colombia Programming Contest C D J   C. Common Subsequence 题意:给出长度 ...

  4. Bugku-CTF之PHP_encrypt_1(ISCCCTF) [fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA=]

    Day34     PHP_encrypt_1(ISCCCTF) fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA=   下载下来.zip文件  

  5. 吴裕雄 python 机器学习——数据预处理标准化MinMaxScaler模型

    from sklearn.preprocessing import MinMaxScaler #数据预处理标准化MinMaxScaler模型 def test_MinMaxScaler(): X=[[ ...

  6. [lua]紫猫lua教程-命令宝典-L1-01-05. if判断结构

    L1[if]01. 简单的if判断结构 没什么说得 if得基本结构如下 xxx= ) then testlib.traceprint("1-100") ) then testlib ...

  7. 寒假安卓app开发学习记录(2)

    今天属实是头疼的一天.开始的时候是简单了解了一下安卓的系统架构,了解到大概分为四个部分. 然后看了两节创建安卓项目的课程,准备去实践一下的时候突然发现我的eclipse里竟然没有Android选项.查 ...

  8. 508,css优先级算法如何计算?

    优先级就近原则,同权情况下样式定义最近者为准 载入样式以最后载入的定位为准 优先级:!important>id > class >tag;  !important比内联优先级高 (百 ...

  9. FILES源代码

     FILESの源码 #include <bits/stdc++.h> #include <game.h> #define pause getchar(); #define c ...

  10. 蓝桥杯2016年省赛C/C++大学A组

    网友年龄 某君新认识一网友. 当问及年龄时,他的网友说: "我的年龄是个2位数,我比儿子大27岁, 如果把我的年龄的两位数字交换位置,刚好就是我儿子的年龄" 请你计算:网友的年龄一 ...