Khoảng trống đáng ngại giữa các CSO và CIO

Đó là nỗi băn khoăn của Bill Brenner, Biên tập viên kỳ cựu của CSO online, khi làm báo cáo các kết quả khảo sát năm nay (lần thứ 8) về an ninh thông tin toàn cầu - CSO tiến hành mỗi năm với sự phối hợp của Tạp chí CIO và PricewaterhouseCoopers.

Bill Brenner cho biết ông luôn nói về an ninh thông tin bằng cách nào đó để người được phỏng vấn cảm thấy thoải mái. Những người thực sự đam mê và am hiểu vấn đề sẽ trò chuyện với ông qua điện thoại hàng giờ liền và dẫn dắt đi sâu vào lĩnh vực gai góc của họ. Trong khi những người không cảm thấy thoải mái chỉ đơn giản là im thin thít.

Ở cuộc khảo sát năm nay, Bill Brenner nhận thấy: trong số 12.847 người trả lời, chỉ có 6,5% tự nhận mình như là một lãnh đạo thông tin. Trong khi đó, các lãnh đạo an ninh thông tin khi được hỏi người mà họ phải báo cáo, hầu hết nói là giám đốc điều hành công ty (CEO) hoặc hội đồng quản trị; ít hơn một phần tư số người được hỏi cho biết họ phải báo cáo CIO.

Bill Brenner đã gọi điện thoại cho một vài CSO và CIO để xác thực số liệu điều tra. Ông nhanh chóng nhận được sự hợp tác của các giám đốc an ninh thông tin. Ví dụ Ken Pfeil, CSO cho một công ty đầu tư ủy thác lớn ở Boston, đã thành thật về những vấn đề an ninh mà ông nhận thấy ở các đối tác kinh doanh và điện toán đám mây.

Tiếp theo, Bill Brenner bắt đầu tiếp cận các CIO với một danh sách dài các tên và thông tin liên lạc do các bạn bè của ông ở Tạp chí CIO gửi cho. Ông đã gửi khoảng 30 e-mail và thực hiện nhiều cuộc gọi điện thoại. Cuối cùng, 3 CIO bằng lòng tiếp chuyện. Một trong số họ, James Pu, kiêm nhiệm cả chức danh phụ trách an ninh của tổ chức của ông. Phần còn lại hoặc là không trả lời hoặc gửi những lời xin lỗi lịch sự, đơn giản chỉ bởi họ không thể thảo luận những vấn đề an ninh.

Ông Brenner đã trao đổi vấn đề rút ra được từ các CIO với một trong những cộng sự an ninh của mình và nhận được câu trả lời: "Đó là do khi nói đến an ninh bảo mật, rất nhiều CIO chẳng hiểu gì cả". Theo Brenner, đó là một đánh giá có phần khắt khe. Tuy nhiên quay lại bản kết quả điều tra, ông nhận ra rằng, không có quá nhiều CIO trong số những người trả lời cuộc khảo sát. Không có quá nhiều các lãnh đạo an ninh thông tin phải báo cáo CIO.

Ông cảm thấy lúng túng trong việc rút ra kết luận. Phải chăng các CIO không được cung cấp thông tin về những nhu cầu an ninh bảo mật của công ty? Cũng có thể là các CIO và CSO tồn tại song song, không thực sự tương tác với nhau hàng ngày? Và sự im lặng của các CIO mà ông đã tiếp cận và những con số này khiến ông băn khoăn về an ninh thông tin.

Tuy nhiên, theo ông trong chuỗi phân công trách nhiệm tại mỗi tổ chức, doanh nghiệp, CIO phải là một vị trí ở đâu đó ở trên những nhân viên an ninh và rằng tất cả mọi thứ mà nhân viên an ninh biết, các CIO có nghĩa vụ phải biết.