而且,這并非新上任的CISO在摸索定位時才會出現(xiàn)的問題。據(jù)Gartner的研究,盡管約有三分之一、擁有不到兩年經(jīng)驗的CISO報告稱,他們在關鍵安全領域與CIO存在沖突,但擁有五年或以上經(jīng)驗的CISO中,有一半報告稱在大部分相同領域(包括提升組織的網(wǎng)絡韌性、協(xié)商企業(yè)網(wǎng)絡風險承受能力等)存在沖突。
Gartner網(wǎng)絡安全研究團隊的研究副總裁兼內(nèi)容負責人Christine Lee表示,沖突可能是CIO與CISO關系破裂的信號,但并非總是如此。
事實上,據(jù)研究人員、經(jīng)驗豐富的高管以及高管顧問稱,其他跡象可能更能表明CIO與CISO未能協(xié)同工作。
關系出現(xiàn)問題的跡象
安全領域領導者和顧問向CISO提供了以下跡象,表明他們與CIO同事的關系可能存在問題,值得關注:
1. CIO常常忽視或推翻CISO的建議和決策。科技公司Transcend的駐場CISO、聯(lián)合健康集團前CISO Aimee Cardwell表示,這種情況常常表現(xiàn)為CIO會說:“謝謝你的意見,但我們還是要按我們的想法來做。”
2. CIO與CISO無法解決沖突。沖突對于推動組織發(fā)展可能是有益的,觀點和意見的多樣性可以為高層管理者提供新的可能性和妥協(xié)的機會,從而整體上使組織受益。
但如果CIO與CISO無法解決分歧,而不得不將分歧升級至更高級別的管理者,那么可能就出現(xiàn)了根本性的問題。Cardwell表示:“你們是并肩作戰(zhàn)還是針鋒相對?因為如果你們針鋒相對,那就說明存在不一致。”
Gartner的研究指出,在解決沖突方面,87%經(jīng)驗豐富的CISO將他們與CIO的關系描述為“良好”或“優(yōu)秀”。Gartner的Lee表示,這一數(shù)字表明,沖突本身并不意味著關系存在問題。相反,“無法取得進展或達成一致才是CIO與CISO關系破裂的信號”,她說道。
3. CIO不分享信息。Transcend公司的Cardwell表示:“這是一個巨大的危險信號。”
4. CIO更改或阻止CISO向董事會傳達的信息。當CISO不能定期直接向董事會匯報時,情況就已經(jīng)夠糟糕了,但Cardwell表示,當CIO更改CISO認為董事會需要了解的信息時,情況就更加棘手了。
她解釋道:“這不僅僅是像‘你可以用更好的方式表達’或‘你可以用更好的方式講述這個故事’這樣的建議。這不僅僅是CIO的指導。這是刪除需要上報的事實,或是做出可能給你作為CISO帶來真正道德問題的更改。”
5. CIO在其他方面破壞CISO向董事會和其他高管提出的議程。Lee表示:“如果CIO積極破壞CISO的信譽和意見,如果CIO在CISO與董事會和執(zhí)行團隊之間的每一次對話中都充當調(diào)解人,那這不是一個好跡象。”
這里的問題還包括CIO未能在重要會議中為CISO的優(yōu)先事項發(fā)聲,以及在組織的整體IT戰(zhàn)略中未給予支持。
6. 在涉及IT的業(yè)務計劃中未咨詢CISO的意見。對于任何IT計劃而言,真正的合作意味著CIO和CISO從第一步開始就攜手合作,但如果CISO在流程后期才了解到重要的技術計劃,或者只能通過提出深入的問題才能得知,那么是時候重新調(diào)整這種關系了。
軟件公司RegScale的CISO Dale Hoak表示:“如果有人說起一個新項目、新供應商或遷移計劃,而CISO卻對此一無所知,那就有問題了,因為那樣的話,你就是在事后才加上安全措施。在良好的關系中,不會有意外發(fā)生,因為你們會持續(xù)交流,并共享儀表板。”
7. 沒有一對一的交流。LevelBlue公司的CIO Maria Cardow表示,僅通過電子郵件、團隊會議或在CIO與CISO的下屬之間(假設信息會向上傳達)分享信息的CIO和CISO,并沒有建立起健康的默契。
她表示:“我們面前有太多信息,不能不直接與對方交談;定期和即興的對話是無可替代的。”
8. CIO與CISO不了解彼此的優(yōu)先事項、挑戰(zhàn)、戰(zhàn)略等。Cardow表示:“作為CIO,我應該清楚我的CISO關心什么,而CISO也應該了解我的世界正在發(fā)生什么。”
9. CISO與CIO在誰應該做什么工作上存在沖突。類似的麻煩跡象是,一方指責另一方在共同負責的領域存在不足。
10. 一方購買的技術能力與另一方已具備的能力重復。這種關系出現(xiàn)問題的跡象是雙向的,但一個相關的問題涉及CIO指定CISO必須購買的產(chǎn)品,或必須使用的供應商或服務提供商。
安永會計師事務所美洲網(wǎng)絡安全能力負責人Ayan Roy表示:“在某些情況下,這些可能是保障安全的正確選擇,但在某些情況下,它們可能不是。但僅僅被告知就意味著沒有進行正確的分析。CIO應該給予CISO選擇正確解決方案的自由;CISO需要能夠進行評估并做出正確的選擇。”
11. CIO未將網(wǎng)絡安全衛(wèi)生放在首位。這里最常見的跡象之一是未能或拒絕修補安全團隊已識別并優(yōu)先修復的漏洞。
12. 技術產(chǎn)品通常在發(fā)布時存在安全漏洞或控制缺陷。全球支付和外匯公司Convera的CISO Sara Madden表示:“那么問題就是,‘為什么我們在產(chǎn)品設計生命周期中沒有發(fā)現(xiàn)這個問題’,而答案通常是IT與安全部門之間的協(xié)作不佳。”
CIO與CISO關系的重要性
咨詢公司Apogee Global RMS的創(chuàng)始人兼首席顧問、谷歌云CISO辦公室前主任MK Palmore表示,CIO和CISO需要建立牢固的關系,以便他們中的任何一方都能取得成功。
他表示:“這兩個職位上的人必須彼此和睦相處,他們不僅要友好,還要協(xié)作。是的,他們各自有自己的領域、自己的任務和目標,但現(xiàn)實是,沒有對方,任何一方都無法完成工作。‘所以他們必須相互依賴,而且他們都必須認識到這一點。’”
此外,當CIO和CISO之間不友好且不協(xié)作時,受苦的不僅僅是他們自己。Palmore和其他專家表示,糟糕的CIO與CISO關系也會對他們的部門和整個組織產(chǎn)生負面影響。
Booking.com的首席安全官Marnie Wilking表示:“緊張的CIO與CISO關系常常表現(xiàn)為目標、優(yōu)先級甚至溝通上的不一致。‘當技術和安全領導者意見不一致時,無論是從運營還是結果上都能看出來,從項目錯過截止日期到漏洞增加。’”
多種因素可能導致關系緊張。
首先,Cardwell表示,安全部門有時仍被視為——而且表現(xiàn)得像——“拒絕部門”。她解釋道:“CIO從來沒有‘拒絕’的奢侈。CIO的工作是推動業(yè)務發(fā)展。所以CISO也需要有這種心態(tài):‘業(yè)務想要做這件事,而我的工作是找出如何實現(xiàn)這一點。’”
Cardwell表示,即使安全部門沒有表現(xiàn)得像“拒絕部門”,CISO也可能需要太長時間才能給出肯定的答復。
她表示:“根據(jù)問題的不同,有一百種方法可以快速解決問題。‘作為CISO,我喜歡提供幾種不同價格、不同時間線的解決方案,并列出優(yōu)缺點和安全評分,從最快但安全性較低,到最安全但在這個時間線內(nèi),為CIO和業(yè)務提供選擇。’”
關系不佳的另一個原因:有時CIO沒有將安全放在足夠重要的位置。Palmore表示:“也許CISO只關注安全,而沒有考慮如何推動業(yè)務發(fā)展;或者也許CIO完全不關注安全,只專注于業(yè)務推動。”
在其他情況下,CIO想要嚴格控制所有IT事務,并排除安全部門——或者反之。托管安全服務提供商LevelBlue的首席安全與信任官Kory Daniels表示:“一些安全領導者認為,只有他們才擁有安全大權,結果發(fā)現(xiàn)自己孤立無援,沒有船帶他們回家。”
專家表示,其他導致CIO與CISO關系不佳的因素更多是結構性的。
這可能是因為組織沒有明確界定每個職位的職責。Wilking表示:“當角色和責任沒有明確界定時,責任的重疊或空白可能會造成不必要的風險。”
或者,組織的資金籌措過程可能使他們成為“爭奪同一資金的對手”,Cardow表示。
Wilking表示,這些問題大多源于“圍繞企業(yè)風險缺乏共同的背景和一致性”。
她解釋道:“CIO通常根據(jù)正常運行時間、可擴展性和敏捷性來衡量,而CISO則專注于保護數(shù)據(jù)、確保合規(guī)性和減輕威脅。如果沒有對這些優(yōu)先級如何交叉的統(tǒng)一看法,兩者可能會顯得格格不入。‘很多時候,網(wǎng)絡安全被視為守門人,而不是真正的合作伙伴。團隊合作最終變得像是交易,而不是協(xié)作。在Booking.com,我們強調(diào)從一開始就將網(wǎng)絡安全嵌入業(yè)務戰(zhàn)略中,確保它是關于產(chǎn)品設計、數(shù)據(jù)和客戶信任的每一次對話的一部分。’”
如何改善不佳的關系
CIO和CISO都有動力去改善有問題關系。
正如Lee所解釋的:“CIO與CISO的關系至關重要。他們必須有效合作,以實現(xiàn)組織的技術和網(wǎng)絡安全目標。所有技術都伴隨著網(wǎng)絡安全風險,這可能影響技術的成功實施和業(yè)務成果;這就是為什么CIO必須關注網(wǎng)絡安全。CISO必須知道,網(wǎng)絡安全的存在是為了實現(xiàn)業(yè)務成果。所以他們必須共同努力,以實現(xiàn)彼此的優(yōu)先事項。”
CISO可以采取措施,與CIO建立更好的默契,利用當前發(fā)生的變革——無論是AI帶來的變革還是經(jīng)濟不確定性帶來的變革——作為契機,進行檢查,重新調(diào)整關系,并解決任何阻礙協(xié)作的問題。
CISO可以采取的步驟包括:
• 與CIO以及C級高管和董事會就組織的風險立場達成一致。
• 確保安全與組織的戰(zhàn)略及其IT路線圖保持一致。Transcend公司的Cardwell表示,對于CISO來說,思考“CIO在這里有個很棒的想法。我想找出如何使其安全”是很重要的。
• 明確CIO和CISO的職責。LevelBlue公司的Daniels表示:“你需要明確界限在哪里。”
• 將與CIO進行定期和即興的直接溝通作為優(yōu)先事項。
• 專注于關系管理。Daniels表示:“溝通,愿意會面,讓團隊會面,建立信任。”
• 努力了解CIO的優(yōu)先事項、激勵因素和挑戰(zhàn),并分享你自己的這些情況。Daniels補充道:“設身處地地為對方著想。”
• 轉向推動業(yè)務發(fā)展的思維模式。RegScale公司的CISO Hoak表示:“不要以‘不’開頭,而是以‘我們?nèi)绾伟踩貙崿F(xiàn)這一點’開頭。”
