Box公司的首席信息官对如何将传统上首席信息官(CIO)和首席安全信息官(CISO)具有争议的关系转变为更具协作性和有效性关系的技巧进行了分享。
首席信息官(CIO)的角色与首席信息安全官(CISO)的角色之间存在着天然的竞争关系。尽管首席信息官(CIO)希望更好地利用和实施新服务,但首席信息安全官(CISO)的目标是找出为什么不使用某些服务的安全风险。
这实际上是一种补充性的竞争关系,应该导致健康的决策过程,在需求与风险之间取得平衡。但实际上,他们之间的摩擦通常是不可避免的。安全计划和解决方案增加了一些人认为已经太复杂的体系结构的复杂性、开销和摩擦。由于安全措施而导致访问过程和性能降低,这通常使员工以及希望为其员工提供无缝功能的IT组织感到沮丧。
如何建立有效的首席信息官(CIO)/首席安全信息官(CISO)关系
如今,从企业员工到董事会成员,风险管理和安全已成为企业各个层面的头等大事。众所周知,安全漏洞可能对企业及其声誉造成灾难性影响,在美国,每次事件的平均成本估计超过800万美元。在这种情况下,使用IT服务的员工以及负责这些服务的首席信息官(CIO)必须支持安全措施。
以下是有关如何将传统上具有争议的首席信息官(CIO)/首席安全信息官(CISO)关系转变为更具协作性和有效性的5条规则。
1.确定共同目标
这超出了合规性和数据安全性的一般性。首席信息官(CIO)/首席安全信息官(CISO)应根据具体举措确定共同的目标。例如:大多数首席信息官(CIO)和首席安全信息官(CISO)都认为降低复杂性是一个值得追求的目标。解决这个问题的一种方法是在开发过程中从头开始为应用程序构建安全性,而不是尝试在以后添加或购买第三方解决方案来保护它们。这种方法可以通过更少的安全产品和更少的复杂性来提高安全性。通过合作实施内置/不固定的策略,首席信息官(CIO)和首席安全信息官(CISO)都可以实现其目标。
2.参与风险承担
首席信息官(CIO)和首席安全信息官(CISO)需要平等合作,并且都需要与首席执行官(CEO)和企业董事会接触。当需要潜在高风险的批准时尤其如此,因为这两个角色的优先级相互冲突,因此该决策可能需要更高的权限。在向首席执行官或董事会提出要求之前,首席信息官(CIO)和首席安全信息官(CISO)应该调整并清楚阐明所有数据,以基于风险的决策。最终,首席安全信息官(CISO)的工作是确定批准者(企业所有者、首席执行官或董事会)需要接受或拒绝的风险级别。
3.建立明确的责任范围
确切地约定由谁负责是避免业务各个领域出现摩擦的最可靠方法之一,并且在IT和安全团队之间定义清晰的决策框架(如DACI)也不例外。例如,大多数网络安全决策将带来超出安全性的影响,例如访问步骤和用户响应时间。根据高管的专业知识范围做出决策可能很有意义,但是对谁拥有最终决定权或前进的决定有一个清晰的了解是非常重要的。
4.采取定量方法进行风险管理
企业面临的风险并不相同。当服务和应用程序争夺安全资源时,量化尽可能多的潜在风险和发生概率是有意义的。例如,如果工程组由于勒索软件攻击而无法工作一段时间,则这些损失的小时数可以计算为比减少事故风险的投资更高的成本。这种基于数据的方法可以使有关安全资源的辩论更具合理性。
5.处理人际关系
许多首席信息官(CIO)和首席安全信息官(CISO)都具有丰富的技术和领导经验,通常可以从他们的角度来看待他们的角色。但是,他们做出的决策类型超出了技术上的考虑范围,工作关系也是如此。首席信息官(CIO)和首席安全信息官(CISO)应在各自的章程中达成一致,并努力开展其专业工作。
相互矛盾的观点和角色之间的紧张关系是企业开展业务的重要组成部分,因此不应阻止首席信息官(CIO)和首席安全信息官(CISO)解决问题和实现业务目标的协同工作。
