首頁>職場>

安全這項越來越重要的戰略要務已改變了IT負責人與資訊保安負責人之間的關係。本文介紹了資訊長(CIO)和首席資訊保安官(CISO)怎麼做才能成為一對更理想的合作伙伴。

一場疫情使CIO和CISO成為了同床異夢的盟友,而去年面對前所未有的嚴峻形勢,他們不得不比以往更加緊密地通力合作。結果如何?兩者的關係總體上已有所改進。

在過去這幾個月,眾多組織已加快了數字化專案和向雲端遷移的步伐,以支援遠端員工和客戶。Gartner研究公司的副總裁Jeffrey Wheatman表示,這已“導致人們的風險偏好發生了非常顯著的變化,並促使CIO和CISO更緊密地聯絡在一起。”

Wheatman表示,現在還需要一種共生的關係,因為“如今董事會在網路安全方面提出了更多的問題,有時提出了更到位的問題,而這促使CIO和CISO所講的故事或表述至少得相互一致。”

CIO和CISO一致認為,竭力實現人工流程和功能自動化以提高效率,勢必需要更緊密的合作。保險公司Markel的首席隱私和資訊保安官Patricia Titus說:“無論彙報架構如何,CIO和CISO在路線圖和戰略方面都必須步調高度一致。

安全現在具有戰略意義

CISO向CIO彙報工作時,情況並非總是如此。Wheatman說:“遺憾的是,一些CISO在CIO的領導下步履維艱,因為他們發現和需要解決的一些問題最終會使CIO更難完成工作。我認為,CISO希望確保傳輸中的資料不應該被那些不應看到資料的人所看到,同時確保系統完整性以及安全和合規,因此這兩個職位在具體目標上會存在一點分歧。”

他表示,好訊息是,由於企業高管和利益相關者認識到他們日益依賴技術,這兩個職位之間的衝突比過去要少,會有更顯著的協同效應。

安全這門學科也在日趨成熟。Wheatman說:“現在,安全已被更多視為一項戰略性工作,不像以前人們常說的:‘不,停下來,別做了。’我們過去常將這種型別的CISO戲稱為‘否定博士’(Dr. No)。現在這種情況比較少見了。”

Wheatman補充道,當CIO和CISO將彼此更多地視為夥伴和拍檔時,這就帶來了協同效應。“如果我們看看物聯網和雲計算之類的運營技術相互融合,就認識到這兩個角色要更加步調一致,而不是CIO把系統直接扔給對方,說:‘你要為我們已部署的這個系統確保安全。’”

CIO與CISO關係的演變

Markel公司的首席隱私和資訊保安官PatriciaTitus和該公司的CIO Mike Scyphers已經合作了近5個年頭,堪稱職場上的黃金搭檔。他們相互尊重,相互欣賞,談及對方則不吝溢美之辭。

Scyphers表示,由於消費者技術數量激增,加上業務部門能夠自行啟用雲服務,大家很容易專注於創新,“但卻未將安全考慮在內”。他說自己與Titus的關係“很重要”,並說“如果沒有這種合作關係,部署技術我想都不敢想。”

Titus最初效力於IT部門,Scyphers表示自己“全力支援”她從IT部門跳出來。

Scyphers表示,他不喜歡扮演“好警察或壞警察”的角色,因此出現安全問題時,IT部門向安全團隊求助,“以瞭解情況。如果他們有了解決辦法,我們就不用把時間浪費在這上面了。”

軟銀投資顧問公司的CISO Gary Hayslip表示,人們長期以來一直認為,CIO與CISO是對立的關係,一方向另一方彙報工作,抱著“你得照我說的做”這種態度。

Hayslip在職業生涯的早期擔任過CIO,後來轉任CISO崗位。他表示,他過去認為CISO不應該向CIO彙報工作。他解釋道:“CISO的工作是利用人員、流程和技術來管理風險,而CIO的工作是提供服務。兩者的視角全然不同。我們使用相同的資源,但處理問題的方式卻大相徑庭。”

Hayslip補充道,話雖如此,技術的IT堆疊和安全堆疊交織在一起,這就意味著兩個團隊必須相互支援。

Hayslip向軟銀公司的技術和資訊保安主管Wil Bolivar彙報工作,他表示,他們是“真正的好友”。他還向軟銀的首席財務官彙報工作。Hayslip表示,在之前的工作崗位上,他向一些“很優秀的CIO”和CISO以及與他關係對立的其他人彙報工作。

Hayslip說:“有時候你會遇到這種CISO,他一味關注安全和風險,在安全和風險方面幾乎事事與你對立。這些CISO戰術性很強,但不善於與他人合作,他們認為所有風險問題都必須立馬處理。”

Hayslip自詡是既有戰術性又有戰略性的CISO。“我將自己視為恰好負責網路安全的業務高管,我必須與其他業務部門的同仁合作”,並向他們解釋安全的重要性。

Hayslip說:“要做到這一點,唯一的方法是,我不能站在他們的對立面,我得了解他們的工作方式、他們的需求、他們的主要客戶以及如何能為他們提供支援。我以這種方式來對待,結果頗受認同。”

他補充道,如果CISO一味注重戰術性,業務部門“對你的廢話很快就會不耐煩,隨後把你踢到一邊。”

Hayslip認為,如果在小公司裡,CISO只習慣於扮演救火隊長的角色,則沒有機會在職業生涯上獲得發展,一味注重戰術性是“不成熟的表現”。

彙報架構

彙報架構因企業而異,還可能因行業而異。Gartner的Wheatman表示,比如說,如果你從事金融服務行業,向首席財務官彙報工作往往更合理。而從事於運輸、物流或零售行業的CISO極有可能向營運長彙報工作。

他說:“我每年接到600通電話,可能其中80到100通電話是關於組織架構的。一個根本問題是,CISO應不應該向CIO彙報工作?”Wheatman表示,他過去開展的研究發現,約1/3的受訪CISO表示,他們不屬於IT部門。

他表示,當企業組織認識到安全是業務問題而不是技術問題時,網路安全常常被移到IT部門之外。“網路安全是CIO的工作範疇時,每個人都認為安全是個技術問題。這涉及到一些工具和技術,但網路安全是運營技術。”Wheatman表示,網路安全的重心是支援業務流程以及法律和監管要求。“而這些都不是CIO或技術部門的問題。”

Wheatman表示,在他效力Gartner的14年期間,來自該公司安全會議的資料顯示,自稱是公司安全負責人的人當中約35%並不向IT部門彙報工作。“但現在不是這種情況了。”

甲骨文的客戶服務副總裁兼CISO Brennan Baybeck向業務部門負責人彙報工作,但他表示自己向CIO彙報工作已有7年了,整個過程很愉快。

Baybeck還是IT治理組織國際資訊系統審計協會(ISACA)的董事會成員,他說:“我有幸與一位優秀的CIO共事,他積極進取,明白安全的重要性,並大力支援安全。”Baybeck表示,他能夠從業務和IT的角度向這位CIO闡述和表明安全對公司戰略而言的重要性。為此,他“頻繁地向CIO彙報工作,通報情況,使他認識到安全在如何助力我們的業務,並讓他了解安全態勢、風險和漏洞。”

Baybeck表示,他主動定期與CIO碰面,不僅僅談論安全,還交流想法,共同探討如何透過安全服務使IT更卓有成效。

他說:“他後來提拔我進入到其領導團隊,這意味著我不僅可以在安全方面向高管們獻計獻策,還可以確保安全已融入業務和IT戰略中,並與它們密切相關。此外,我還可以為IT團隊帶來價值。”

推動安全工作佔去了Baybeck大約75%的工作時間,他利用另外25%的時間來竭力獲取更多資源。“對於我的許多同行而言,這個比例正好倒了過來,他們將大部分時間花在了爭取資源和解釋原由上。”

Hayslip認為,CISO向CIO彙報工作是一件好事。這樣一來,“風險就更清晰可見,企業組織也能夠從戰略角度瞭解哪些環節的風險將得到管理,”他說。

他認為,CIO和CISO應並肩合作,應該每週碰面,相互溝通。

新冠疫情影響

由於IT部門竭力支援遠端辦公,而安全團隊努力確保員工在遠端接入網路時身份得到了驗證,並確保資料安全可靠,新冠疫情無疑促進了彼此的支援。Hayslip說:“如果在目前我們所處的新冠疫情環境下,您的安全團隊在沒有IT部門的支援下開展這項工作,你準會抓狂。”

Hayslip特別指出,網路邊緣已延伸到家庭。他說:“我有680名員工,因而我有680個網路要操心,而不是隻有一個網路要操心。”

雖然克萊姆森大學的副校長兼CIO Russell Kaurloto與CISO Hal Stone 在新冠疫情之前就有著良好的工作關係,但他同樣認為,疫情“鞏固了這層關係,並使我們更加緊密地分享資訊、更加有效地進行溝通。”

克萊姆森大學之前有約1800名學生在網上遠端學習,而去年3月,這個數字猛增至約26000名學生,外加4000名教職員工。Kaurloto說:“我每週都與CISO進行面對面交流,不過他還參與每天的新冠病毒電話溝通,我們全面系統地介紹發生的情況。”

CIO與CISO的和諧相處之道

Wheatman贊同Hayslip的觀點,他表示,鑑於數字化業務蔚然成風,如果CISO向CIO說“你需要按我說的做,否則結果會怎樣”的話,只會適得其反。更應該說“我們需要齊心協力,解決董事會、營運長、執行長或首席財務官認為很重要的問題。這一幕會越來越常見。”

比如說,Wheatman曾與一家中型金融信用合作社的CISO合作,為其審計委員會製作一份簡報。他們草擬了該CISO的文稿,開頭列出了業務目標,隨後列出了CISO為制訂網路安全計劃所要採取的幾個步驟。Wheatman回憶道:“CIO拿過文稿說:‘我們必須要跟董事會談論安全威脅和相關技術,但我已跟董事會談過了,他們對此根本不感興趣,也不明白其中的要點是什麼。’”

他們最後只好與CIO進行三方通話,後者說:“瞧,這就是為什麼這個想法不具有建設性。”雖然Wheatman不知道後來的結果如何,“但類似的場景仍然很常見。按理說,這些問題出現的機率應該不到5%才對,但實際上可能是20~25%。”

Wheatman告訴安全負責人,他們要弄清楚如何講故事——不僅僅向自己的上司講故事,還要透過上司向他們的上司講故事。

他說:“我們常常沉迷於技術方面,最終純粹為了技術而談論技術,對業務價值、經營收入、企業文化和風險管理的談論卻不夠深入。”

他表示,CISO們需要列出一套常見的參考術語。“我們使用諸如‘網路安全’、‘威脅’、‘漏洞’和‘風險’之類的詞語。而我們使用這些術語缺乏一致性,因此需要以一致的方式向大家傳達參考框架。”

他們還要確保與業務目標保持一致。Wheatman說:“這聽起來顯而易見,但在很多情況下並非如此。CIO們往往考慮較成熟,他們需要幫助CISO將傳達的資訊提升到更高的層面。”他強調說,即使他們並非在所有事情上意見一致,但也需要步調合拍。“他們需要有同樣的長期願景,但情況並非總是如此。”

Hayslip特別指出,造成摩擦的最大原因是預算問題。他表示,CIO將被告知需要削減預算,而CISO致力於設法加強網路安全計劃,並管理風險。

“十有八九這歸結為他們的優先事項不一樣。”Hayslip表示,他發現,如果溝通渠道保持暢通,CIO與CISO每週碰面,即使僅僅交談半小時,向對方提供最新資訊,雙方也會了解很多情況。

他說:“CIO將讓您得以深入瞭解公司的人事紛爭,從而使你對公司的問題或業務在發生怎樣的轉變有一番清晰的認識。”這樣一來,他們可以一起商量,搞清楚可以從哪些方面節約成本。

他表示,如果CIO和CISO相互交談,就不會發生令人吃驚的事。“我發現,如果我們這麼做,雙方可以極好地通力合作。”

Baybeck同樣認為,促進關係和建立合作是關鍵所在。“CISO應努力成為CIO眼裡值得信賴的顧問,甚至可以預料CIO的需求,並告知對方在安全風險方面可能想都不會想到的問題或機會。”

所有CIO和CISO都一致認為,相互尊重可能是確保良好關係的最重要因素。

克萊姆森大學的Kaurloto說:“從一開始,就要相互瞭解……我們每天要實現和保持的目標是什麼。這是關鍵。第二個方面就是建立一種相互尊重的密切關係。你們不會總是得到同樣的結果,也不會始終保持一致。但如果相互尊重,你們會找到那個共同點。”

他補充道,還需要全面的透明度。“如果出現你言行不一致的情況,就無法獲得CISO的尊重和理解。你總體上能否取得成功,和你的CISO有很大關係。如果你們沒有良好的關係和真正的透明度,就會摩擦不斷。”

Markel的Scyphers表示,他和Titus專注於業務成果,而不是安全或IT問題。“我們倆都利用自己的專長來支援這一點。Patti是出類拔萃的專業人士……我鼓勵建立這種信任。這至關重要。”

至於Titus,她表示互相激勵很重要,“那樣的話,最終你們會有一致的立場。你們能關起門來解決問題。”

她表示:“致力於這種合作關係很重要,雙方可能都需要做出讓步,以實現這一共同目標。我們在如何實現目標上可能存在一點分歧,但到頭來,我們會攜手跨過終點線。”

就像任何美滿的婚姻一樣。

19
  • 工作沒回報,還要繼續嗎?
  • 情商低、人緣差、幹活吃力不討好?聰明人:協調處理這4大關係