安全這項越來越重要的戰略要務已改變了IT負責人與資訊保安負責人之間的關係。本文介紹了資訊長（CIO）和首席資訊保安官（CISO）怎麼做才能成為一對更理想的合作伙伴。

一場疫情使CIO和CISO成為了同床異夢的盟友，而去年面對前所未有的嚴峻形勢，他們不得不比以往更加緊密地通力合作。結果如何？兩者的關係總體上已有所改進。

在過去這幾個月，眾多組織已加快了數字化專案和向雲端遷移的步伐，以支援遠端員工和客戶。Gartner研究公司的副總裁Jeffrey Wheatman表示，這已“導致人們的風險偏好發生了非常顯著的變化，並促使CIO和CISO更緊密地聯絡在一起。”

Wheatman表示，現在還需要一種共生的關係，因為“如今董事會在網路安全方面提出了更多的問題，有時提出了更到位的問題，而這促使CIO和CISO所講的故事或表述至少得相互一致。”

CIO和CISO一致認為，竭力實現人工流程和功能自動化以提高效率，勢必需要更緊密的合作。保險公司Markel的首席隱私和資訊保安官Patricia Titus說：“無論彙報架構如何，CIO和CISO在路線圖和戰略方面都必須步調高度一致。

安全現在具有戰略意義

CISO向CIO彙報工作時，情況並非總是如此。Wheatman說：“遺憾的是，一些CISO在CIO的領導下步履維艱，因為他們發現和需要解決的一些問題最終會使CIO更難完成工作。我認為，CISO希望確保傳輸中的資料不應該被那些不應看到資料的人所看到，同時確保系統完整性以及安全和合規，因此這兩個職位在具體目標上會存在一點分歧。”

他表示，好訊息是，由於企業高管和利益相關者認識到他們日益依賴技術，這兩個職位之間的衝突比過去要少，會有更顯著的協同效應。

安全這門學科也在日趨成熟。Wheatman說：“現在，安全已被更多視為一項戰略性工作，不像以前人們常說的：‘不，停下來，別做了。’我們過去常將這種型別的CISO戲稱為‘否定博士’（Dr. No）。現在這種情況比較少見了。”

Wheatman補充道，當CIO和CISO將彼此更多地視為夥伴和拍檔時，這就帶來了協同效應。“如果我們看看物聯網和雲計算之類的運營技術相互融合，就認識到這兩個角色要更加步調一致，而不是CIO把系統直接扔給對方，說：‘你要為我們已部署的這個系統確保安全。’”

CIO與CISO關係的演變

Markel公司的首席隱私和資訊保安官PatriciaTitus和該公司的CIO Mike Scyphers已經合作了近5個年頭，堪稱職場上的黃金搭檔。他們相互尊重，相互欣賞，談及對方則不吝溢美之辭。

Scyphers表示，由於消費者技術數量激增，加上業務部門能夠自行啟用雲服務，大家很容易專注於創新，“但卻未將安全考慮在內”。他說自己與Titus的關係“很重要”，並說“如果沒有這種合作關係，部署技術我想都不敢想。”

Titus最初效力於IT部門，Scyphers表示自己“全力支援”她從IT部門跳出來。

Scyphers表示，他不喜歡扮演“好警察或壞警察”的角色，因此出現安全問題時，IT部門向安全團隊求助，“以瞭解情況。如果他們有了解決辦法，我們就不用把時間浪費在這上面了。”

軟銀投資顧問公司的CISO Gary Hayslip表示，人們長期以來一直認為，CIO與CISO是對立的關係，一方向另一方彙報工作，抱著“你得照我說的做”這種態度。

Hayslip在職業生涯的早期擔任過CIO，後來轉任CISO崗位。他表示，他過去認為CISO不應該向CIO彙報工作。他解釋道：“CISO的工作是利用人員、流程和技術來管理風險，而CIO的工作是提供服務。兩者的視角全然不同。我們使用相同的資源，但處理問題的方式卻大相徑庭。”

Hayslip補充道，話雖如此，技術的IT堆疊和安全堆疊交織在一起，這就意味著兩個團隊必須相互支援。

Hayslip向軟銀公司的技術和資訊保安主管Wil Bolivar彙報工作，他表示，他們是“真正的好友”。他還向軟銀的首席財務官彙報工作。Hayslip表示，在之前的工作崗位上，他向一些“很優秀的CIO”和CISO以及與他關係對立的其他人彙報工作。

Hayslip說：“有時候你會遇到這種CISO，他一味關注安全和風險，在安全和風險方面幾乎事事與你對立。這些CISO戰術性很強，但不善於與他人合作，他們認為所有風險問題都必須立馬處理。”

Hayslip自詡是既有戰術性又有戰略性的CISO。“我將自己視為恰好負責網路安全的業務高管，我必須與其他業務部門的同仁合作”，並向他們解釋安全的重要性。

Hayslip說：“要做到這一點，唯一的方法是，我不能站在他們的對立面，我得了解他們的工作方式、他們的需求、他們的主要客戶以及如何能為他們提供支援。我以這種方式來對待，結果頗受認同。”

他補充道，如果CISO一味注重戰術性，業務部門“對你的廢話很快就會不耐煩，隨後把你踢到一邊。”

Hayslip認為，如果在小公司裡，CISO只習慣於扮演救火隊長的角色，則沒有機會在職業生涯上獲得發展，一味注重戰術性是“不成熟的表現”。

彙報架構

彙報架構因企業而異，還可能因行業而異。Gartner的Wheatman表示，比如說，如果你從事金融服務行業，向首席財務官彙報工作往往更合理。而從事於運輸、物流或零售行業的CISO極有可能向營運長彙報工作。

他說：“我每年接到600通電話，可能其中80到100通電話是關於組織架構的。一個根本問題是，CISO應不應該向CIO彙報工作?”Wheatman表示，他過去開展的研究發現，約1/3的受訪CISO表示，他們不屬於IT部門。

他表示，當企業組織認識到安全是業務問題而不是技術問題時，網路安全常常被移到IT部門之外。“網路安全是CIO的工作範疇時，每個人都認為安全是個技術問題。這涉及到一些工具和技術，但網路安全是運營技術。”Wheatman表示，網路安全的重心是支援業務流程以及法律和監管要求。“而這些都不是CIO或技術部門的問題。”

Wheatman表示，在他效力Gartner的14年期間，來自該公司安全會議的資料顯示，自稱是公司安全負責人的人當中約35%並不向IT部門彙報工作。“但現在不是這種情況了。”

甲骨文的客戶服務副總裁兼CISO Brennan Baybeck向業務部門負責人彙報工作，但他表示自己向CIO彙報工作已有7年了，整個過程很愉快。

Baybeck還是IT治理組織國際資訊系統審計協會（ISACA）的董事會成員，他說：“我有幸與一位優秀的CIO共事，他積極進取，明白安全的重要性，並大力支援安全。”Baybeck表示，他能夠從業務和IT的角度向這位CIO闡述和表明安全對公司戰略而言的重要性。為此，他“頻繁地向CIO彙報工作，通報情況，使他認識到安全在如何助力我們的業務，並讓他了解安全態勢、風險和漏洞。”

Baybeck表示，他主動定期與CIO碰面，不僅僅談論安全，還交流想法，共同探討如何透過安全服務使IT更卓有成效。

他說：“他後來提拔我進入到其領導團隊，這意味著我不僅可以在安全方面向高管們獻計獻策，還可以確保安全已融入業務和IT戰略中，並與它們密切相關。此外，我還可以為IT團隊帶來價值。”

推動安全工作佔去了Baybeck大約75%的工作時間，他利用另外25%的時間來竭力獲取更多資源。“對於我的許多同行而言，這個比例正好倒了過來，他們將大部分時間花在了爭取資源和解釋原由上。”

Hayslip認為，CISO向CIO彙報工作是一件好事。這樣一來，“風險就更清晰可見，企業組織也能夠從戰略角度瞭解哪些環節的風險將得到管理，”他說。

他認為，CIO和CISO應並肩合作，應該每週碰面，相互溝通。

新冠疫情影響

由於IT部門竭力支援遠端辦公，而安全團隊努力確保員工在遠端接入網路時身份得到了驗證，並確保資料安全可靠，新冠疫情無疑促進了彼此的支援。Hayslip說：“如果在目前我們所處的新冠疫情環境下，您的安全團隊在沒有IT部門的支援下開展這項工作，你準會抓狂。”

Hayslip特別指出，網路邊緣已延伸到家庭。他說：“我有680名員工，因而我有680個網路要操心，而不是隻有一個網路要操心。”

雖然克萊姆森大學的副校長兼CIO Russell Kaurloto與CISO Hal Stone 在新冠疫情之前就有著良好的工作關係，但他同樣認為，疫情“鞏固了這層關係，並使我們更加緊密地分享資訊、更加有效地進行溝通。”

克萊姆森大學之前有約1800名學生在網上遠端學習，而去年3月，這個數字猛增至約26000名學生，外加4000名教職員工。Kaurloto說：“我每週都與CISO進行面對面交流，不過他還參與每天的新冠病毒電話溝通，我們全面系統地介紹發生的情況。”

CIO與CISO的和諧相處之道

Wheatman贊同Hayslip的觀點，他表示，鑑於數字化業務蔚然成風，如果CISO向CIO說“你需要按我說的做，否則結果會怎樣”的話，只會適得其反。更應該說“我們需要齊心協力，解決董事會、營運長、執行長或首席財務官認為很重要的問題。這一幕會越來越常見。”

比如說，Wheatman曾與一家中型金融信用合作社的CISO合作，為其審計委員會製作一份簡報。他們草擬了該CISO的文稿，開頭列出了業務目標，隨後列出了CISO為制訂網路安全計劃所要採取的幾個步驟。Wheatman回憶道：“CIO拿過文稿說：‘我們必須要跟董事會談論安全威脅和相關技術，但我已跟董事會談過了，他們對此根本不感興趣，也不明白其中的要點是什麼。’”

他們最後只好與CIO進行三方通話，後者說：“瞧，這就是為什麼這個想法不具有建設性。”雖然Wheatman不知道後來的結果如何，“但類似的場景仍然很常見。按理說，這些問題出現的機率應該不到5%才對，但實際上可能是20~25%。”

Wheatman告訴安全負責人，他們要弄清楚如何講故事——不僅僅向自己的上司講故事，還要透過上司向他們的上司講故事。

他說：“我們常常沉迷於技術方面，最終純粹為了技術而談論技術，對業務價值、經營收入、企業文化和風險管理的談論卻不夠深入。”

他表示，CISO們需要列出一套常見的參考術語。“我們使用諸如‘網路安全’、‘威脅’、‘漏洞’和‘風險’之類的詞語。而我們使用這些術語缺乏一致性，因此需要以一致的方式向大家傳達參考框架。”

他們還要確保與業務目標保持一致。Wheatman說：“這聽起來顯而易見，但在很多情況下並非如此。CIO們往往考慮較成熟，他們需要幫助CISO將傳達的資訊提升到更高的層面。”他強調說，即使他們並非在所有事情上意見一致，但也需要步調合拍。“他們需要有同樣的長期願景，但情況並非總是如此。”

Hayslip特別指出，造成摩擦的最大原因是預算問題。他表示，CIO將被告知需要削減預算，而CISO致力於設法加強網路安全計劃，並管理風險。

“十有八九這歸結為他們的優先事項不一樣。”Hayslip表示，他發現，如果溝通渠道保持暢通，CIO與CISO每週碰面，即使僅僅交談半小時，向對方提供最新資訊，雙方也會了解很多情況。

他說：“CIO將讓您得以深入瞭解公司的人事紛爭，從而使你對公司的問題或業務在發生怎樣的轉變有一番清晰的認識。”這樣一來，他們可以一起商量，搞清楚可以從哪些方面節約成本。

他表示，如果CIO和CISO相互交談，就不會發生令人吃驚的事。“我發現，如果我們這麼做，雙方可以極好地通力合作。”

Baybeck同樣認為，促進關係和建立合作是關鍵所在。“CISO應努力成為CIO眼裡值得信賴的顧問，甚至可以預料CIO的需求，並告知對方在安全風險方面可能想都不會想到的問題或機會。”

所有CIO和CISO都一致認為，相互尊重可能是確保良好關係的最重要因素。

克萊姆森大學的Kaurloto說：“從一開始，就要相互瞭解……我們每天要實現和保持的目標是什麼。這是關鍵。第二個方面就是建立一種相互尊重的密切關係。你們不會總是得到同樣的結果，也不會始終保持一致。但如果相互尊重，你們會找到那個共同點。”

他補充道，還需要全面的透明度。“如果出現你言行不一致的情況，就無法獲得CISO的尊重和理解。你總體上能否取得成功，和你的CISO有很大關係。如果你們沒有良好的關係和真正的透明度，就會摩擦不斷。”

Markel的Scyphers表示，他和Titus專注於業務成果，而不是安全或IT問題。“我們倆都利用自己的專長來支援這一點。Patti是出類拔萃的專業人士……我鼓勵建立這種信任。這至關重要。”

至於Titus，她表示互相激勵很重要，“那樣的話，最終你們會有一致的立場。你們能關起門來解決問題。”

她表示：“致力於這種合作關係很重要，雙方可能都需要做出讓步，以實現這一共同目標。我們在如何實現目標上可能存在一點分歧，但到頭來，我們會攜手跨過終點線。”

就像任何美滿的婚姻一樣。