而且,这并非新上任的CISO在摸索定位时才会出现的问题。据Gartner的研究,尽管约有三分之一、拥有不到两年经验的CISO报告称,他们在关键安全领域与CIO存在冲突,但拥有五年或以上经验的CISO中,有一半报告称在大部分相同领域(包括提升组织的网络韧性、协商企业网络风险承受能力等)存在冲突。
Gartner网络安全研究团队的研究副总裁兼内容负责人Christine Lee表示,冲突可能是CIO与CISO关系破裂的信号,但并非总是如此。
事实上,据研究人员、经验丰富的高管以及高管顾问称,其他迹象可能更能表明CIO与CISO未能协同工作。
关系出现问题的迹象
安全领域领导者和顾问向CISO提供了以下迹象,表明他们与CIO同事的关系可能存在问题,值得关注:
1. CIO常常忽视或推翻CISO的建议和决策。科技公司Transcend的驻场CISO、联合健康集团前CISO Aimee Cardwell表示,这种情况常常表现为CIO会说:“谢谢你的意见,但我们还是要按我们的想法来做。”
2. CIO与CISO无法解决冲突。冲突对于推动组织发展可能是有益的,观点和意见的多样性可以为高层管理者提供新的可能性和妥协的机会,从而整体上使组织受益。
但如果CIO与CISO无法解决分歧,而不得不将分歧升级至更高级别的管理者,那么可能就出现了根本性的问题。Cardwell表示:“你们是并肩作战还是针锋相对?因为如果你们针锋相对,那就说明存在不一致。”
Gartner的研究指出,在解决冲突方面,87%经验丰富的CISO将他们与CIO的关系描述为“良好”或“优秀”。Gartner的Lee表示,这一数字表明,冲突本身并不意味着关系存在问题。相反,“无法取得进展或达成一致才是CIO与CISO关系破裂的信号”,她说道。
3. CIO不分享信息。Transcend公司的Cardwell表示:“这是一个巨大的危险信号。”
4. CIO更改或阻止CISO向董事会传达的信息。当CISO不能定期直接向董事会汇报时,情况就已经够糟糕了,但Cardwell表示,当CIO更改CISO认为董事会需要了解的信息时,情况就更加棘手了。
她解释道:“这不仅仅是像‘你可以用更好的方式表达’或‘你可以用更好的方式讲述这个故事’这样的建议。这不仅仅是CIO的指导。这是删除需要上报的事实,或是做出可能给你作为CISO带来真正道德问题的更改。”
5. CIO在其他方面破坏CISO向董事会和其他高管提出的议程。Lee表示:“如果CIO积极破坏CISO的信誉和意见,如果CIO在CISO与董事会和执行团队之间的每一次对话中都充当调解人,那这不是一个好迹象。”
这里的问题还包括CIO未能在重要会议中为CISO的优先事项发声,以及在组织的整体IT战略中未给予支持。
6. 在涉及IT的业务计划中未咨询CISO的意见。对于任何IT计划而言,真正的合作意味着CIO和CISO从第一步开始就携手合作,但如果CISO在流程后期才了解到重要的技术计划,或者只能通过提出深入的问题才能得知,那么是时候重新调整这种关系了。
软件公司RegScale的CISO Dale Hoak表示:“如果有人说起一个新项目、新供应商或迁移计划,而CISO却对此一无所知,那就有问题了,因为那样的话,你就是在事后才加上安全措施。在良好的关系中,不会有意外发生,因为你们会持续交流,并共享仪表板。”
7. 没有一对一的交流。LevelBlue公司的CIO Maria Cardow表示,仅通过电子邮件、团队会议或在CIO与CISO的下属之间(假设信息会向上传达)分享信息的CIO和CISO,并没有建立起健康的默契。
她表示:“我们面前有太多信息,不能不直接与对方交谈;定期和即兴的对话是无可替代的。”
8. CIO与CISO不了解彼此的优先事项、挑战、战略等。Cardow表示:“作为CIO,我应该清楚我的CISO关心什么,而CISO也应该了解我的世界正在发生什么。”
9. CISO与CIO在谁应该做什么工作上存在冲突。类似的麻烦迹象是,一方指责另一方在共同负责的领域存在不足。
10. 一方购买的技术能力与另一方已具备的能力重复。这种关系出现问题的迹象是双向的,但一个相关的问题涉及CIO指定CISO必须购买的产品,或必须使用的供应商或服务提供商。
安永会计师事务所美洲网络安全能力负责人Ayan Roy表示:“在某些情况下,这些可能是保障安全的正确选择,但在某些情况下,它们可能不是。但仅仅被告知就意味着没有进行正确的分析。CIO应该给予CISO选择正确解决方案的自由;CISO需要能够进行评估并做出正确的选择。”
11. CIO未将网络安全卫生放在首位。这里最常见的迹象之一是未能或拒绝修补安全团队已识别并优先修复的漏洞。
12. 技术产品通常在发布时存在安全漏洞或控制缺陷。全球支付和外汇公司Convera的CISO Sara Madden表示:“那么问题就是,‘为什么我们在产品设计生命周期中没有发现这个问题’,而答案通常是IT与安全部门之间的协作不佳。”
CIO与CISO关系的重要性
咨询公司Apogee Global RMS的创始人兼首席顾问、谷歌云CISO办公室前主任MK Palmore表示,CIO和CISO需要建立牢固的关系,以便他们中的任何一方都能取得成功。
他表示:“这两个职位上的人必须彼此和睦相处,他们不仅要友好,还要协作。是的,他们各自有自己的领域、自己的任务和目标,但现实是,没有对方,任何一方都无法完成工作。‘所以他们必须相互依赖,而且他们都必须认识到这一点。’”
此外,当CIO和CISO之间不友好且不协作时,受苦的不仅仅是他们自己。Palmore和其他专家表示,糟糕的CIO与CISO关系也会对他们的部门和整个组织产生负面影响。
Booking.com的首席安全官Marnie Wilking表示:“紧张的CIO与CISO关系常常表现为目标、优先级甚至沟通上的不一致。‘当技术和安全领导者意见不一致时,无论是从运营还是结果上都能看出来,从项目错过截止日期到漏洞增加。’”
多种因素可能导致关系紧张。
首先,Cardwell表示,安全部门有时仍被视为——而且表现得像——“拒绝部门”。她解释道:“CIO从来没有‘拒绝’的奢侈。CIO的工作是推动业务发展。所以CISO也需要有这种心态:‘业务想要做这件事,而我的工作是找出如何实现这一点。’”
Cardwell表示,即使安全部门没有表现得像“拒绝部门”,CISO也可能需要太长时间才能给出肯定的答复。
她表示:“根据问题的不同,有一百种方法可以快速解决问题。‘作为CISO,我喜欢提供几种不同价格、不同时间线的解决方案,并列出优缺点和安全评分,从最快但安全性较低,到最安全但在这个时间线内,为CIO和业务提供选择。’”
关系不佳的另一个原因:有时CIO没有将安全放在足够重要的位置。Palmore表示:“也许CISO只关注安全,而没有考虑如何推动业务发展;或者也许CIO完全不关注安全,只专注于业务推动。”
在其他情况下,CIO想要严格控制所有IT事务,并排除安全部门——或者反之。托管安全服务提供商LevelBlue的首席安全与信任官Kory Daniels表示:“一些安全领导者认为,只有他们才拥有安全大权,结果发现自己孤立无援,没有船带他们回家。”
专家表示,其他导致CIO与CISO关系不佳的因素更多是结构性的。
这可能是因为组织没有明确界定每个职位的职责。Wilking表示:“当角色和责任没有明确界定时,责任的重叠或空白可能会造成不必要的风险。”
或者,组织的资金筹措过程可能使他们成为“争夺同一资金的对手”,Cardow表示。
Wilking表示,这些问题大多源于“围绕企业风险缺乏共同的背景和一致性”。
她解释道:“CIO通常根据正常运行时间、可扩展性和敏捷性来衡量,而CISO则专注于保护数据、确保合规性和减轻威胁。如果没有对这些优先级如何交叉的统一看法,两者可能会显得格格不入。‘很多时候,网络安全被视为守门人,而不是真正的合作伙伴。团队合作最终变得像是交易,而不是协作。在Booking.com,我们强调从一开始就将网络安全嵌入业务战略中,确保它是关于产品设计、数据和客户信任的每一次对话的一部分。’”
如何改善不佳的关系
CIO和CISO都有动力去改善有问题关系。
正如Lee所解释的:“CIO与CISO的关系至关重要。他们必须有效合作,以实现组织的技术和网络安全目标。所有技术都伴随着网络安全风险,这可能影响技术的成功实施和业务成果;这就是为什么CIO必须关注网络安全。CISO必须知道,网络安全的存在是为了实现业务成果。所以他们必须共同努力,以实现彼此的优先事项。”
CISO可以采取措施,与CIO建立更好的默契,利用当前发生的变革——无论是AI带来的变革还是经济不确定性带来的变革——作为契机,进行检查,重新调整关系,并解决任何阻碍协作的问题。
CISO可以采取的步骤包括:
• 与CIO以及C级高管和董事会就组织的风险立场达成一致。
• 确保安全与组织的战略及其IT路线图保持一致。Transcend公司的Cardwell表示,对于CISO来说,思考“CIO在这里有个很棒的想法。我想找出如何使其安全”是很重要的。
• 明确CIO和CISO的职责。LevelBlue公司的Daniels表示:“你需要明确界限在哪里。”
• 将与CIO进行定期和即兴的直接沟通作为优先事项。
• 专注于关系管理。Daniels表示:“沟通,愿意会面,让团队会面,建立信任。”
• 努力了解CIO的优先事项、激励因素和挑战,并分享你自己的这些情况。Daniels补充道:“设身处地地为对方着想。”
• 转向推动业务发展的思维模式。RegScale公司的CISO Hoak表示:“不要以‘不’开头,而是以‘我们如何安全地实现这一点’开头。”
