导语
安全这项越来越重要的战略要务已改变了IT负责人与信息安全负责人之间的关系。本文介绍了首席信息官(CIO)和首席信息安全官(CISO)怎么做才能成为一对更理想的合作伙伴。
一场疫情使CIO和CISO成为了同床异梦的盟友,而去年面对前所未有的严峻形势,他们不得不比以往更加紧密地通力合作。结果如何?两者的关系总体上已有所改进。
在过去这几个月,众多组织已加快了数字化项目和向云端迁移的步伐,以支持远程员工和客户。Gartner研究公司的副总裁Jeffrey Wheatman表示,这已“导致人们的风险偏好发生了非常显著的变化,并促使CIO和CISO更紧密地联系在一起。”
Wheatman表示,现在还需要一种共生的关系,因为“如今董事会在网络安全方面提出了更多的问题,有时提出了更到位的问题,而这促使CIO和CISO所讲的故事或表述至少得相互一致。”
CIO和CISO一致认为,竭力实现人工流程和功能自动化以提高效率,势必需要更紧密的合作。保险公司Markel的首席隐私和信息安全官Patricia Titus说:“无论汇报架构如何,CIO和CISO在路线图和战略方面都必须步调高度一致。
安全现在具有战略意义
CISO向CIO汇报工作时,情况并非总是如此。Wheatman说:“遗憾的是,一些CISO在CIO的领导下步履维艰,因为他们发现和需要解决的一些问题最终会使CIO更难完成工作。我认为,CISO希望确保传输中的数据不应该被那些不应看到数据的人所看到,同时确保系统完整性以及安全和合规,因此这两个职位在具体目标上会存在一点分歧。”
他表示,好消息是,由于企业高管和利益相关者认识到他们日益依赖技术,这两个职位之间的冲突比过去要少,会有更显著的协同效应。
安全这门学科也在日趋成熟。Wheatman说:“现在,安全已被更多视为一项战略性工作,不像以前人们常说的:‘不,停下来,别做了。’我们过去常将这种类型的CISO戏称为‘否定博士’(Dr. No)。现在这种情况比较少见了。”
Wheatman补充道,当CIO和CISO将彼此更多地视为伙伴和拍档时,这就带来了协同效应。“如果我们看看物联网和云计算之类的运营技术相互融合,就认识到这两个角色要更加步调一致,而不是CIO把系统直接扔给对方,说:‘你要为我们已部署的这个系统确保安全。’”
CIO与CISO关系的演变
Markel公司的首席隐私和信息安全官PatriciaTitus和该公司的CIO Mike Scyphers已经合作了近5个年头,堪称职场上的黄金搭档。他们相互尊重,相互欣赏,谈及对方则不吝溢美之辞。
Scyphers表示,由于消费者技术数量激增,加上业务部门能够自行启用云服务,大家很容易专注于创新,“但却未将安全考虑在内”。他说自己与Titus的关系“很重要”,并说“如果没有这种合作关系,部署技术我想都不敢想。”
Titus最初效力于IT部门,Scyphers表示自己“全力支持”她从IT部门跳出来。
Scyphers表示,他不喜欢扮演“好警察或坏警察”的角色,因此出现安全问题时,IT部门向安全团队求助,“以了解情况。如果他们有了解决办法,我们就不用把时间浪费在这上面了。”
软银投资顾问公司的CISO Gary Hayslip表示,人们长期以来一直认为,CIO与CISO是对立的关系,一方向另一方汇报工作,抱着“你得照我说的做”这种态度。
Hayslip在职业生涯的早期担任过CIO,后来转任CISO岗位。他表示,他过去认为CISO不应该向CIO汇报工作。他解释道:“CISO的工作是利用人员、流程和技术来管理风险,而CIO的工作是提供服务。两者的视角全然不同。我们使用相同的资源,但处理问题的方式却大相径庭。”
Hayslip补充道,话虽如此,技术的IT堆栈和安全堆栈交织在一起,这就意味着两个团队必须相互支持。
Hayslip向软银公司的技术和信息安全主管Wil Bolivar汇报工作,他表示,他们是“真正的好友”。他还向软银的首席财务官汇报工作。Hayslip表示,在之前的工作岗位上,他向一些“很优秀的CIO”和CISO以及与他关系对立的其他人汇报工作。
Hayslip说:“有时候你会遇到这种CISO,他一味关注安全和风险,在安全和风险方面几乎事事与你对立。这些CISO战术性很强,但不善于与他人合作,他们认为所有风险问题都必须立马处理。”
Hayslip自诩是既有战术性又有战略性的CISO。“我将自己视为恰好负责网络安全的业务高管,我必须与其他业务部门的同仁合作”,并向他们解释安全的重要性。
Hayslip说:“要做到这一点,唯一的方法是,我不能站在他们的对立面,我得了解他们的工作方式、他们的需求、他们的主要客户以及如何能为他们提供支持。我以这种方式来对待,结果颇受认同。”
他补充道,如果CISO一味注重战术性,业务部门“对你的废话很快就会不耐烦,随后把你踢到一边。”
Hayslip认为,如果在小公司里,CISO只习惯于扮演救火队长的角色,则没有机会在职业生涯上获得发展,一味注重战术性是“不成熟的表现”。
汇报架构
汇报架构因企业而异,还可能因行业而异。Gartner的Wheatman表示,比如说,如果你从事金融服务行业,向首席财务官汇报工作往往更合理。而从事于运输、物流或零售行业的CISO极有可能向首席运营官汇报工作。
他说:“我每年接到600通电话,可能其中80到100通电话是关于组织架构的。一个根本问题是,CISO应不应该向CIO汇报工作?”Wheatman表示,他过去开展的研究发现,约1/3的受访CISO表示,他们不属于IT部门。
他表示,当企业组织认识到安全是业务问题而不是技术问题时,网络安全常常被移到IT部门之外。“网络安全是CIO的工作范畴时,每个人都认为安全是个技术问题。这涉及到一些工具和技术,但网络安全是运营技术。”Wheatman表示,网络安全的重心是支持业务流程以及法律和监管要求。“而这些都不是CIO或技术部门的问题。”
Wheatman表示,在他效力Gartner的14年期间,来自该公司安全会议的数据显示,自称是公司安全负责人的人当中约35%并不向IT部门汇报工作。“但现在不是这种情况了。”
甲骨文的客户服务副总裁兼CISO Brennan Baybeck向业务部门负责人汇报工作,但他表示自己向CIO汇报工作已有7年了,整个过程很愉快。
Baybeck还是IT治理组织国际信息系统审计协会(ISACA)的董事会成员,他说:“我有幸与一位优秀的CIO共事,他积极进取,明白安全的重要性,并大力支持安全。”Baybeck表示,他能够从业务和IT的角度向这位CIO阐述和表明安全对公司战略而言的重要性。为此,他“频繁地向CIO汇报工作,通报情况,TokenPocket官网使他认识到安全在如何助力我们的业务,并让他了解安全态势、风险和漏洞。”
Baybeck表示,他主动定期与CIO碰面,不仅仅谈论安全,还交流想法,共同探讨如何通过安全服务使IT更卓有成效。
他说:“他后来提拔我进入到其领导团队,这意味着我不仅可以在安全方面向高管们献计献策,还可以确保安全已融入业务和IT战略中,并与它们密切相关。此外,我还可以为IT团队带来价值。”
推动安全工作占去了Baybeck大约75%的工作时间,他利用另外25%的时间来竭力获取更多资源。“对于我的许多同行而言,这个比例正好倒了过来,他们将大部分时间花在了争取资源和解释原由上。”
Hayslip认为,CISO向CIO汇报工作是一件好事。这样一来,“风险就更清晰可见,企业组织也能够从战略角度了解哪些环节的风险将得到管理,”他说。
他认为,CIO和CISO应并肩合作,应该每周碰面,相互沟通。
新冠疫情影响
由于IT部门竭力支持远程办公,而安全团队努力确保员工在远程接入网络时身份得到了验证,并确保数据安全可靠,新冠疫情无疑促进了彼此的支持。Hayslip说:“如果在目前我们所处的新冠疫情环境下,您的安全团队在没有IT部门的支持下开展这项工作,你准会抓狂。”
Hayslip特别指出,网络边缘已延伸到家庭。他说:“我有680名员工,因而我有680个网络要操心,而不是只有一个网络要操心。”
虽然克莱姆森大学的副校长兼CIO Russell Kaurloto与CISO Hal Stone 在新冠疫情之前就有着良好的工作关系,但他同样认为,疫情“巩固了这层关系,并使我们更加紧密地分享信息、更加有效地进行沟通。”
克莱姆森大学之前有约1800名学生在网上远程学习,而去年3月,这个数字猛增至约26000名学生,外加4000名教职员工。Kaurloto说:“我每周都与CISO进行面对面交流,不过他还参与每天的新冠病毒电话沟通,我们全面系统地介绍发生的情况。”
CIO与CISO的和谐相处之道
Wheatman赞同Hayslip的观点,他表示,鉴于数字化业务蔚然成风,如果CISO向CIO说“你需要按我说的做,否则结果会怎样”的话,只会适得其反。更应该说“我们需要齐心协力,解决董事会、首席运营官、首席执行官或首席财务官认为很重要的问题。这一幕会越来越常见。”
比如说,Wheatman曾与一家中型金融信用合作社的CISO合作,为其审计委员会制作一份演示文稿。他们草拟了该CISO的文稿,开头列出了业务目标,随后列出了CISO为制订网络安全计划所要采取的几个步骤。Wheatman回忆道:“CIO拿过文稿说:‘我们必须要跟董事会谈论安全威胁和相关技术,但我已跟董事会谈过了,他们对此根本不感兴趣,也不明白其中的要点是什么。’”
他们最后只好与CIO进行三方通话,后者说:“瞧,这就是为什么这个想法不具有建设性。”虽然Wheatman不知道后来的结果如何,“但类似的场景仍然很常见。按理说,这些问题出现的概率应该不到5%才对,但实际上可能是20~25%。”
Wheatman告诉安全负责人,他们要弄清楚如何讲故事——不仅仅向自己的上司讲故事,还要通过上司向他们的上司讲故事。
他说:“我们常常沉迷于技术方面,最终纯粹为了技术而谈论技术,对业务价值、经营收入、企业文化和风险管理的谈论却不够深入。”
他表示,CISO们需要列出一套常见的参考术语。“我们使用诸如‘网络安全’、‘威胁’、‘漏洞’和‘风险’之类的词语。而我们使用这些术语缺乏一致性,因此需要以一致的方式向大家传达参考框架。”
他们还要确保与业务目标保持一致。Wheatman说:“这听起来显而易见,但在很多情况下并非如此。CIO们往往考虑较成熟,他们需要帮助CISO将传达的信息提升到更高的层面。”他强调说,即使他们并非在所有事情上意见一致,但也需要步调合拍。“他们需要有同样的长期愿景,但情况并非总是如此。”
Hayslip特别指出,造成摩擦的最大原因是预算问题。他表示,CIO将被告知需要削减预算,而CISO致力于设法加强网络安全计划,并管理风险。
“十有八九这归结为他们的优先事项不一样。”Hayslip表示,他发现,如果沟通渠道保持畅通,CIO与CISO每周碰面,即使仅仅交谈半小时,向对方提供最新信息,双方也会了解很多情况。
他说:“CIO将让您得以深入了解公司的人事纷争,从而使你对公司的问题或业务在发生怎样的转变有一番清晰的认识。”这样一来,他们可以一起商量,搞清楚可以从哪些方面节约成本。
他表示,如果CIO和CISO相互交谈,就不会发生令人吃惊的事。“我发现,如果我们这么做,双方可以极好地通力合作。”
Baybeck同样认为,促进关系和建立合作是关键所在。“CISO应努力成为CIO眼里值得信赖的顾问,甚至可以预料CIO的需求,并告知对方在安全风险方面可能想都不会想到的问题或机会。”
所有CIO和CISO都一致认为,相互尊重可能是确保良好关系的最重要因素。
克莱姆森大学的Kaurloto说:“从一开始,就要相互了解……我们每天要实现和保持的目标是什么。这是关键。第二个方面就是建立一种相互尊重的密切关系。你们不会总是得到同样的结果,也不会始终保持一致。但如果相互尊重,你们会找到那个共同点。”
他补充道,还需要全面的透明度。“如果出现你言行不一致的情况,就无法获得CISO的尊重和理解。你总体上能否取得成功,和你的CISO有很大关系。如果你们没有良好的关系和真正的透明度,就会摩擦不断。”
Markel的Scyphers表示,他和Titus专注于业务成果,而不是安全或IT问题。“我们俩都利用自己的专长来支持这一点。Patti是出类拔萃的专业人士……我鼓励建立这种信任。这至关重要。”
至于Titus,她表示互相激励很重要,“那样的话,最终你们会有一致的立场。你们能关起门来解决问题。”
她表示:“致力于这种合作关系很重要,双方可能都需要做出让步,以实现这一共同目标。我们在如何实现目标上可能存在一点分歧,但到头来,我们会携手跨过终点线。”
就像任何美满的婚姻一样。
作者:本文作者Esther Shein是IDG的特约撰稿人,这位新闻记者在为传统媒体和互联网撰稿和编辑方面有着丰富的经验,侧重于商业和技术以及教育和一般内容的专栏文章。
编译:沈建苗
微信排版:牛可歆
排版审核:刘 沙
本文首发于微信公众号:计算机世界。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。