在我的大多数安全评估项目中，我与CIO有不同的职能分工。这些CIO往往是项目的发起人，但他们也是执行管理的联系人。

有趣的是，我看到大多数CIO几乎不参与企业IT安全评估过程。我甚至可以这样说，目前有一些CIO将安全视为自身事业的一种威胁。

但根据最近的研究，安全越来越受到CIO关注。根据TechTarget的2013年IT Priorities调查，56%的受访者表示保护数据是他们的首要任务。2013年CIO杂志CIO Survey也有类似的结果。它发现70%的高管认为增长的企业安全威胁对他们的组织产生不利影响。今年，CIO Priorities 2014调查的受访者全美不动产协会的首席信息官表示安全是他们最关心的问题。

从这些调查结果表明，我看到和听到的是两种不同的东西。一方面，CIO和安全之间的关系似乎很正常。但与此同时，研究表明，安全是多数CIO最看重的事。

根据我的观察，企业IT安全和业务或行业运作的规模没有什么关联。但有一件事是肯定的：不管你是不是CIO，你都有责任或部分责任将信息违约风险最小化。如果企业IT安全长期有效，CIO的职责是确保“现在”的安全。

套用篮球教练的话：不要在你摇摆不定时做出承诺，因为生活没有中间状态。这对安全评估来说也是一样。这些安全评估的衡量标准——真正的指标——事实上是信息违约风险的对立面。

虽然有人说CIO的生活是美好的，但我还是不羡慕他们。CIO的角色涉及政治、数字，保持管理和员工之间平衡，让尽可能多的人开心。也是相关团结并保持头脑冷静，也是像我这样的IT专业人员关注的问题。IT之外的其他人可能不明显，但有一件事是肯定的：CIO的职责和成功的企业IT安全是创建或毁掉任何一个组织的核心元素。

安全显然是一个商业问题，需要在最高水平解决。不管你站在哪一方。尽一切可能确保CIO和他们的团队成员具有他们所需的资源，从而减少信息泄露的风险。