CIO與CISO的相處之道

Esther Shein 沈建苗

一場疫情使CIO和CISO成為了同床異夢的盟友，而去年面對前所未有的嚴峻形勢，他們不得不比以往更加緊密地通力合作。結果如何？兩者的關系總體上已有所改進。

在過去這幾個月，眾多組織已加快了數字化項目和向云端遷移的步伐，以支持遠程員工和客戶。Gartner研究公司的副總裁Jeffrey Wheatman表示，這已“導致人們的風險偏好發生了非常顯著的變化，并促使CIO和CISO更緊密地聯系在一起。”

Wheatman表示，現在還需要一種共生的關系，因為“如今董事會在網絡安全方面提出了更多的問題，有時提出了更到位的問題，而這促使CIO和CISO所講的故事或表述至少得相互一致。”

CIO和CISO一致認為，竭力實現人工流程和功能自動化以提高效率，勢必需要更緊密的合作。保險公司Markel的首席隱私和信息安全官Patricia Titus說：“無論匯報架構如何，CIO和CISO在路線圖和戰略方面都必須步調高度一致。

安全現在具有戰略意義

CISO向CIO匯報工作時，情況并非總是如此。Wheatman說：“遺憾的是，一些CISO在CIO的領導下步履維艱，因為他們發現和需要解決的一些問題最終會使CIO更難完成工作。我認為，CISO希望確保傳輸中的數據不應該被那些不應看到數據的人所看到，同時確保系統完整性以及安全和合規，因此這兩個職位在具體目標上會存在一點分歧。”

他表示，好消息是，由于企業高管和利益相關者認識到他們日益依賴技術，這兩個職位之間的沖突比過去要少，會有更顯著的協同效應。

安全這門學科也在日趨成熟。Wheatman說：“現在，安全已被更多視為一項戰略性工作，不像以前人們常說的：‘不，停下來，別做了。我們過去常將這種類型的CISO戲稱為‘否定博士（Dr. No）。現在這種情況比較少見了。”

Wheatman補充道，當CIO和CISO將彼此更多地視為伙伴和拍檔時，這就帶來了協同效應。“如果我們看看物聯網和云計算之類的運營技術相互融合，就認識到這兩個角色要更加步調一致，而不是CIO把系統直接扔給對方，說：‘你要為我們已部署的這個系統確保安全。”

CIO與CISO關系的演變

Markel公司的首席隱私和信息安全官PatriciaTitus和該公司的CIO Mike Scyphers已經合作了近5個年頭，堪稱職場上的黃金搭檔。他們相互尊重，相互欣賞，談及對方則不吝溢美之辭。

Scyphers表示，由于消費者技術數量激增，加上業務部門能夠自行啟用云服務，大家很容易專注于創新，“但卻未將安全考慮在內”。他說自己與Titus的關系“很重要”，并說“如果沒有這種合作關系，部署技術我想都不敢想。”

Titus最初效力于IT部門，Scyphers表示自己“全力支持”她從IT部門跳出來。

Scyphers表示，他不喜歡扮演“好警察或壞警察”的角色，因此出現安全問題時，IT部門向安全團隊求助，“以了解情況。如果他們有了解決辦法，我們就不用把時間浪費在這上面了。”

軟銀投資顧問公司的CISO Gary Hayslip表示，人們長期以來一直認為，CIO與CISO是對立的關系，一方向另一方匯報工作，抱著“你得照我說的做”這種態度。

Hayslip在職業生涯的早期擔任過CIO，后來轉任CISO崗位。他表示，他過去認為CISO不應該向CIO匯報工作。他解釋道：“CISO的工作是利用人員、流程和技術來管理風險，而CIO的工作是提供服務。兩者的視角全然不同。我們使用相同的資源，但處理問題的方式卻大相徑庭。”

Hayslip補充道，話雖如此，技術的IT堆棧和安全堆棧交織在一起，這就意味著兩個團隊必須相互支持。

Hayslip向軟銀公司的技術和信息安全主管Wil Bolivar匯報工作，他表示，他們是“真正的好友”。他還向軟銀的首席財務官匯報工作。Hayslip表示，在之前的工作崗位上，他向一些“很優秀的CIO”和CISO以及與他關系對立的其他人匯報工作。

Hayslip說：“有時候你會遇到這種CISO，他一味關注安全和風險，在安全和風險方面幾乎事事與你對立。這些CISO戰術性很強，但不善于與他人合作，他們認為所有風險問題都必須立馬處理。”

Hayslip自詡是既有戰術性又有戰略性的CISO。“我將自己視為恰好負責網絡安全的業務高管，我必須與其他業務部門的同仁合作”，并向他們解釋安全的重要性。

Hayslip說：“要做到這一點，唯一的方法是，我不能站在他們的對立面，我得了解他們的工作方式、他們的需求、他們的主要客戶以及如何能為他們提供支持。我以這種方式來對待，結果頗受認同。”

他補充道，如果CISO一味注重戰術性，業務部門“對你的廢話很快就會不耐煩，隨后把你踢到一邊。”

Hayslip認為，如果在小公司里，CISO只習慣于扮演救火隊長的角色，則沒有機會在職業生涯上獲得發展，一味注重戰術性是“不成熟的表現”。

匯報架構

匯報架構因企業而異，還可能因行業而異。Gartner的Wheatman表示，比如說，如果你從事金融服務行業，向首席財務官匯報工作往往更合理。而從事于運輸、物流或零售行業的CISO極有可能向首席運營官匯報工作。

他說：“我每年接到600通電話，可能其中80到100通電話是關于組織架構的。一個根本問題是，CISO應不應該向CIO匯報工作？”Wheatman表示，他過去開展的研究發現，約1/3的受訪CISO表示，他們不屬于IT部門。

他表示，當企業組織認識到安全是業務問題而不是技術問題時，網絡安全常常被移到IT部門之外。“網絡安全是CIO的工作范疇時，每個人都認為安全是個技術問題。這涉及到一些工具和技術，但網絡安全是運營技術。”Wheatman表示，網絡安全的重心是支持業務流程以及法律和監管要求。“而這些都不是CIO或技術部門的問題。”

Wheatman表示，在他效力Gartner的14年期間，來自該公司安全會議的數據顯示，自稱是公司安全負責人的人當中約35%并不向IT部門匯報工作。“但現在不是這種情況了。”

甲骨文的客戶服務副總裁兼CISO Brennan Baybeck向業務部門負責人匯報工作，但他表示自己向CIO匯報工作已有7年了，整個過程很愉快。

Baybeck還是IT治理組織國際信息系統審計協會（ISACA）的董事會成員，他說：“我有幸與一位優秀的CIO共事，他積極進取，明白安全的重要性，并大力支持安全。”Baybeck表示，他能夠從業務和IT的角度向這位CIO闡述和表明安全對公司戰略而言的重要性。為此，他“頻繁地向CIO匯報工作，通報情況，使他認識到安全在如何助力我們的業務，并讓他了解安全態勢、風險和漏洞。”

Baybeck表示，他主動定期與CIO碰面，不僅僅談論安全，還交流想法，共同探討如何通過安全服務使IT更卓有成效。

他說：“他后來提拔我進入到其領導團隊，這意味著我不僅可以在安全方面向高管們獻計獻策，還可以確保安全已融入業務和IT戰略中，并與它們密切相關。此外，我還可以為IT團隊帶來價值。”

推動安全工作占去了Baybeck大約75%的工作時間，他利用另外25%的時間來竭力獲取更多資源。“對于我的許多同行而言，這個比例正好倒了過來，他們將大部分時間花在了爭取資源和解釋原由上。”

Hayslip認為，CISO向CIO匯報工作是一件好事。這樣一來，“風險就更清晰可見，企業組織也能夠從戰略角度了解哪些環節的風險將得到管理，”他說。

他認為，CIO和CISO應并肩合作，應該每周碰面，相互溝通。

新冠疫情影響

由于IT部門竭力支持遠程辦公，而安全團隊努力確保員工在遠程接入網絡時身份得到了驗證，并確保數據安全可靠，新冠疫情無疑促進了彼此的支持。Hayslip說：“如果在目前我們所處的新冠疫情環境下，您的安全團隊在沒有IT部門的支持下開展這項工作，你準會抓狂。”

Hayslip特別指出，網絡邊緣已延伸到家庭。他說：“我有680名員工，因而我有680個網絡要操心，而不是只有一個網絡要操心。”

雖然克萊姆森大學的副校長兼CIO Russell Kaurloto與CISO Hal Stone 在新冠疫情之前就有著良好的工作關系，但他同樣認為，疫情“鞏固了這層關系，并使我們更加緊密地分享信息、更加有效地進行溝通。”

克萊姆森大學之前有約1800名學生在網上遠程學習，而去年3月，這個數字猛增至約26000名學生，外加4000名教職員工。Kaurloto說：“我每周都與CISO進行面對面交流，不過他還參與每天的新冠病毒電話溝通，我們全面系統地介紹發生的情況。”

CIO與CISO的和諧相處之道

Wheatman贊同Hayslip的觀點，他表示，鑒于數字化業務蔚然成風，如果CISO向CIO說“你需要按我說的做，否則結果會怎樣”的話，只會適得其反。更應該說“我們需要齊心協力，解決董事會、首席運營官、首席執行官或首席財務官認為很重要的問題。這一幕會越來越常見。”

比如說，Wheatman曾與一家中型金融信用合作社的CISO合作，為其審計委員會制作一份演示文稿。他們草擬了該CISO的文稿，開頭列出了業務目標，隨后列出了CISO為制訂網絡安全計劃所要采取的幾個步驟。Wheatman回憶道：“CIO拿過文稿說：‘我們必須要跟董事會談論安全威脅和相關技術，但我已跟董事會談過了，他們對此根本不感興趣，也不明白其中的要點是什么。”

他們最后只好與CIO進行三方通話，后者說：“瞧，這就是為什么這個想法不具有建設性。”雖然Wheatman不知道后來的結果如何，“但類似的場景仍然很常見。按理說，這些問題出現的概率應該不到5%才對，但實際上可能是20～25%。”

Wheatman告訴安全負責人，他們要弄清楚如何講故事——不僅僅向自己的上司講故事，還要通過上司向他們的上司講故事。

他說：“我們常常沉迷于技術方面，最終純粹為了技術而談論技術，對業務價值、經營收入、企業文化和風險管理的談論卻不夠深入。”

他表示，CISO們需要列出一套常見的參考術語。“我們使用諸如‘網絡安全、‘威脅、‘漏洞和‘風險之類的詞語。而我們使用這些術語缺乏一致性，因此需要以一致的方式向大家傳達參考框架。”

他們還要確保與業務目標保持一致。Wheatman說：“這聽起來顯而易見，但在很多情況下并非如此。CIO們往往考慮較成熟，他們需要幫助CISO將傳達的信息提升到更高的層面。”他強調說，即使他們并非在所有事情上意見一致，但也需要步調合拍。“他們需要有同樣的長期愿景，但情況并非總是如此。”

Hayslip特別指出，造成摩擦的最大原因是預算問題。他表示，CIO將被告知需要削減預算，而CISO致力于設法加強網絡安全計劃，并管理風險。

“十有八九這歸結為他們的優先事項不一樣。”Hayslip表示，他發現，如果溝通渠道保持暢通，CIO與CISO每周碰面，即使僅僅交談半小時，向對方提供最新信息，雙方也會了解很多情況。

他說：“CIO將讓您得以深入了解公司的人事紛爭，從而使你對公司的問題或業務在發生怎樣的轉變有一番清晰的認識。”這樣一來，他們可以一起商量，搞清楚可以從哪些方面節約成本。

他表示，如果CIO和CISO相互交談，就不會發生令人吃驚的事。“我發現，如果我們這么做，雙方可以極好地通力合作。”

Baybeck同樣認為，促進關系和建立合作是關鍵所在。“CISO應努力成為CIO眼里值得信賴的顧問，甚至可以預料CIO的需求，并告知對方在安全風險方面可能想都不會想到的問題或機會。”

所有CIO和CISO都一致認為，相互尊重可能是確保良好關系的最重要因素。

克萊姆森大學的Kaurloto說：“從一開始，就要相互了解……我們每天要實現和保持的目標是什么。這是關鍵。第二個方面就是建立一種相互尊重的密切關系。你們不會總是得到同樣的結果，也不會始終保持一致。但如果相互尊重，你們會找到那個共同點。”

他補充道，還需要全面的透明度。“如果出現你言行不一致的情況，就無法獲得CISO的尊重和理解。你總體上能否取得成功，和你的CISO有很大關系。如果你們沒有良好的關系和真正的透明度，就會摩擦不斷。”

Markel的Scyphers表示，他和Titus專注于業務成果，而不是安全或IT問題。“我們倆都利用自己的專長來支持這一點。Patti是出類拔萃的專業人士……我鼓勵建立這種信任。這至關重要。”

至于Titus，她表示互相激勵很重要，“那樣的話，最終你們會有一致的立場。你們能關起門來解決問題。”

她表示：“致力于這種合作關系很重要，雙方可能都需要做出讓步，以實現這一共同目標。我們在如何實現目標上可能存在一點分歧，但到頭來，我們會攜手跨過終點線。”

就像任何美滿的婚姻一樣。

本文作者Esther Shein是IDG的特約撰稿人，這位新聞記者在為傳統媒體和互聯網撰稿和編輯方面有著豐富的經驗，側重于商業和技術以及教育和一般內容的專欄文章。

原文網址

https：//www.cio.com/article/3601471/perfect-strangers-how-cios-and-cisos-can-get-along.html？nsdr=true