Security Staff as Ultimate Insurance

I'm continuing to cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fifth Annual Global State of Information Security:

Speaking of striking back, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2007 security survey shows a remarkable (some might say troubling) trend.

The IT department wants to control security again.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first year of collaboration on this survey, CIO, CSO and PWC noted that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more confident a company was in its security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less likely that company's security group reported to IT. Those companies also spent more on security.

The reason CIO and CSO have always advocated for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 separation of IT and security is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classic fox-in-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-henhouse problem. To wit, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO controls both a major project dedicated to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 innovative use of IT and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of that project — which might slow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project and add to its cost — he's got a serious conflict of interest. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2003 survey, one CISO said that conflict "is just too much to overcome. Having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO report to IT, it's a death blow."

Ouch. CIO continues:

What's going on here? Johnson has one cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory: "Security seems to be following a trajectory similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality movement 20 or 30 years ago, only with security it's happening much faster. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality movement, everyone created VPs of quality. They got CEO reporting status. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n in 10 years cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position was gone or it was buried."

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality movement, Johnson says, that may have been partly because quality became ingrained, a corporate value, and it didn't need a separate executive. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survey suggests that security is neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ingrained nor valued. It's not even clear companies know where to put security, which would explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "gobs of dotted line" reporting structures.

That brings us to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory: organizational politics. What if separating security from IT were creating checks on software development (not a bad thing, from a security standpoint)? What if all this security awareness cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survey has indicated actually exposed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical IT department's insecure practices?

One way for IT to respond would be to attempt to defang security. Keep its enemy close. Pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function back to where it can be better controlled.

Interesting. The article finishes with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se thoughts:

[M]aybe security was never as separate as it seemed. Companies created CISO-type positions but never gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m authority. "I continually see security people put in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position of fall guy," says Woerner of TD Ameritrade. "Maybe some of that separation was, subconsciously, creating a group to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hit."

This leads me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of my post. What if security staff is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate insurance -- for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO? In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, what if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO performs "security cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ater," creating a CISO position and staff, but doesn't give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority or resources to properly defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise? If no breaches (seem) to occur, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO looks like a hero for keeping security spending low. If a breach does occur (and is discovered), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO blames cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO. The CISO is fired and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO keeps his/her job -- at least for now. I don't see a CIO executing this strategy more than once successfully.

What do you think?