一场疫情使CIO和CISO成为了同床异梦的盟友,而去年面对前所未有的严峻形势,他们不得不比以往更加紧密地通力合作。结果如何?两者的关系总体上已有所改进。
在过去这几个月,众多组织已加快了数字化项目和向云端迁移的步伐,以支持远程员工和客户。Gartner研究公司的副总裁Jeffrey Wheatman表示,这已“导致人们的风险偏好发生了非常显著的变化,并促使CIO和CISO更紧密地联系在一起。”
Wheatman表示,现在还需要一种共生的关系,因为“如今董事会在网络安全方面提出了更多的问题,有时提出了更到位的问题,而这促使CIO和CISO所讲的故事或表述至少得相互一致。”
CIO和CISO一致认为,竭力实现人工流程和功能自动化以提高效率,势必需要更紧密的合作。保险公司Markel的首席隐私和信息安全官Patricia Titus说:“无论汇报架构如何,CIO和CISO在路线图和战略方面都必须步调高度一致。
安全现在具有战略意义
CISO向CIO汇报工作时,情况并非总是如此。Wheatman说:“遗憾的是,一些CISO在CIO的领导下步履维艰,因为他们发现和需要解决的一些问题最终会使CIO更难完成工作。我认为,CISO希望确保传输中的数据不应该被那些不应看到数据的人所看到,同时确保系统完整性以及安全和合规,因此这两个职位在具体目标上会存在一点分歧。”
他表示,好消息是,由于企业高管和利益相关者认识到他们日益依赖技术,这两个职位之间的冲突比过去要少,会有更显著的协同效应。
安全这门学科也在日趋成熟。Wheatman说:“现在,安全已被更多视为一项战略性工作,不像以前人们常说的:‘不,停下来,别做了。’我们过去常将这种类型的CISO戏称为‘否定博士’(Dr. No)。现在这种情况比较少见了。”
Wheatman补充道,当CIO和CISO将彼此更多地视为伙伴和拍档时,这就带来了协同效应。“如果我们看看物联网和云计算之类的运营技术相互融合,就认识到这两个角色要更加步调一致,而不是CIO把系统直接扔给对方,说:‘你要为我们已部署的这个系统确保安全。’”
CIO与CISO关系的演变
Markel公司的首席隐私和信息安全官PatriciaTitus和该公司的CIO Mike Scyphers已经合作了近5个年头,堪称职场上的黄金搭档。他们相互尊重,相互欣赏,谈及对方则不吝溢美之辞。
Scyphers表示,由于消费者技术数量激增,加上业务部门能够自行启用云服务,大家很容易专注于创新,“但却未将安全考虑在内”。他说自己与Titus的关系“很重要”,并说“如果没有这种合作关系,部署技术我想都不敢想。”
Titus最初效力于IT部门,Scyphers表示自己“全力支持”她从IT部门跳出来。
Scyphers表示,他不喜欢扮演“好警察或坏警察”的角色,因此出现安全问题时,IT部门向安全团队求助,“以了解情况。如果他们有了解决办法,我们就不用把时间浪费在这上面了。”
软银投资顾问公司的CISO Gary Hayslip表示,人们长期以来一直认为,CIO与CISO是对立的关系,一方向另一方汇报工作,抱着“你得照我说的做”这种态度。
Hayslip在职业生涯的早期担任过CIO,后来转任CISO岗位。他表示,他过去认为CISO不应该向CIO汇报工作。他解释道:“CISO的工作是利用人员、流程和技术来管理风险,而CIO的工作是提供服务。两者的视角全然不同。我们使用相同的资源,但处理问题的方式却大相径庭。”
Hayslip补充道,话虽如此,技术的IT堆栈和安全堆栈交织在一起,这就意味着两个团队必须相互支持。
Hayslip向软银公司的技术和信息安全主管Wil Bolivar汇报工作,他表示,他们是“真正的好友”。他还向软银的首席财务官汇报工作。Hayslip表示,在之前的工作岗位上,他向一些“很优秀的CIO”和CISO以及与他关系对立的其他人汇报工作。
Hayslip说:“有时候你会遇到这种CISO,他一味关注安全和风险,在安全和风险方面几乎事事与你对立。这些CISO战术性很强,但不善于与他人合作,他们认为所有风险问题都必须立马处理。”
Hayslip自诩是既有战术性又有战略性的CISO。“我将自己视为恰好负责网络安全的业务高管,我必须与其他业务部门的同仁合作”,并向他们解释安全的重要性。
Hayslip说:“要做到这一点,唯一的方法是,我不能站在他们的对立面,我得了解他们的工作方式、他们的需求、他们的主要客户以及如何能为他们提供支持。我以这种方式来对待,结果颇受认同。”
他补充道,如果CISO一味注重战术性,业务部门“对你的废话很快就会不耐烦,随后把你踢到一边。”
Hayslip认为,如果在小公司里,CISO只习惯于扮演救火队长的角色,则没有机会在职业生涯上获得发展,一味注重战术性是“不成熟的表现”。
汇报架构
汇报架构因企业而异,还可能因行业而异。Gartner的Wheatman表示,比如说,如果你从事金融服务行业,向首席财务官汇报工作往往更合理。而从事于运输、物流或零售行业的CISO极有可能向首席运营官汇报工作。
他说:“我每年接到600通电话,可能其中80到100通电话是关于组织架构的。一个根本问题是,CISO应不应该向CIO汇报工作?”Wheatman表示,他过去开展的研究发现,约1/3的受访CISO表示,他们不属于IT部门。
他表示,当企业组织认识到安全是业务问题而不是技术问题时,网络安全常常被移到IT部门之外。“网络安全是CIO的工作范畴时,每个人都认为安全是个技术问题。这涉及到一些工具和技术,但网络安全是运营技术。”Wheatman表示,网络安全的重心是支持业务流程以及法律和监管要求。“而这些都不是CIO或技术部门的问题。”
Wheatman表示,在他效力Gartner的14年期间,来自该公司安全会议的数据显示,自称是公司安全负责人的人当中约35%并不向IT部门汇报工作。“但现在不是这种情况了。”
甲骨文的客户服务副总裁兼CISO Brennan Baybeck向业务部门负责人汇报工作,但他表示自己向CIO汇报工作已有7年了,整个过程很愉快。
Baybeck还是IT治理组织国际信息系统审计协会(ISACA)的董事会成员,他说:“我有幸与一位优秀的CIO共事,他积极进取,明白安全的重要性,并大力支持安全。”Baybeck表示,他能够从业务和IT的角度向这位CIO阐述和表明安全对公司战略而言的重要性。为此,他“频繁地向CIO汇报工作,通报情况,使他认识到安全在如何助力我们的业务,并让他了解安全态势、风险和漏洞。”
Baybeck表示,他主动定期与CIO碰面,不仅仅谈论安全,还交流想法,共同探讨如何通过安全服务使IT更卓有成效。
他说:“他后来提拔我进入到其领导团队,这意味着我不仅可以在安全方面向高管们献计献策,还可以确保安全已融入业务和IT战略中,并与它们密切相关。此外,我还可以为IT团队带来价值。”
推动安全工作占去了Baybeck大约75%的工作时间,他利用另外25%的时间来竭力获取更多资源。“对于我的许多同行而言,这个比例正好倒了过来,他们将大部分时间花在了争取资源和解释原由上。”
Hayslip认为,CISO向CIO汇报工作是一件好事。这样一来,“风险就更清晰可见,企业组织也能够从战略角度了解哪些环节的风险将得到管理,”他说。
他认为,CIO和CISO应并肩合作,应该每周碰面,相互沟通。
新冠疫情影响
由于IT部门竭力支持远程办公,而安全团队努力确保员工在远程接入网络时身份得到了验证,并确保数据安全可靠,新冠疫情无疑促进了彼此的支持。Hayslip说:“如果在目前我们所处的新冠疫情环境下,您的安全团队在没有IT部门的支持下开展这项工作,你准会抓狂。”
Hayslip特别指出,网络边缘已延伸到家庭。他说:“我有680名员工,因而我有680个网络要操心,而不是只有一个网络要操心。”
虽然克莱姆森大学的副校长兼CIO Russell Kaurloto与CISO Hal Stone 在新冠疫情之前就有着良好的工作关系,但他同样认为,疫情“巩固了这层关系,并使我们更加紧密地分享信息、更加有效地进行沟通。”
克莱姆森大学之前有约1800名学生在网上远程学习,而去年3月,这个数字猛增至约26000名学生,外加4000名教职员工。Kaurloto说:“我每周都与CISO进行面对面交流,不过他还参与每天的新冠病毒电话沟通,我们全面系统地介绍发生的情况。”
CIO与CISO的和谐相处之道
Wheatman赞同Hayslip的观点,他表示,鉴于数字化业务蔚然成风,如果CISO向CIO说“你需要按我说的做,否则结果会怎样”的话,只会适得其反。更应该说“我们需要齐心协力,解决董事会、首席运营官、首席执行官或首席财务官认为很重要的问题。这一幕会越来越常见。”
比如说,Wheatman曾与一家中型金融信用合作社的CISO合作,为其审计委员会制作一份演示文稿。他们草拟了该CISO的文稿,开头列出了业务目标,随后列出了CISO为制订网络安全计划所要采取的几个步骤。Wheatman回忆道:“CIO拿过文稿说:‘我们必须要跟董事会谈论安全威胁和相关技术,但我已跟董事会谈过了,他们对此根本不感兴趣,也不明白其中的要点是什么。’”
他们最后只好与CIO进行三方通话,后者说:“瞧,这就是为什么这个想法不具有建设性。”虽然Wheatman不知道后来的结果如何,“但类似的场景仍然很常见。按理说,这些问题出现的概率应该不到5%才对,但实际上可能是20~25%。”
Wheatman告诉安全负责人,他们要弄清楚如何讲故事——不仅仅向自己的上司讲故事,还要通过上司向他们的上司讲故事。
他说:“我们常常沉迷于技术方面,最终纯粹为了技术而谈论技术,对业务价值、经营收入、企业文化和风险管理的谈论却不够深入。”
他表示,CISO们需要列出一套常见的参考术语。“我们使用诸如‘网络安全’、‘威胁’、‘漏洞’和‘风险’之类的词语。而我们使用这些术语缺乏一致性,因此需要以一致的方式向大家传达参考框架。”
他们还要确保与业务目标保持一致。Wheatman说:“这听起来显而易见,但在很多情况下并非如此。CIO们往往考虑较成熟,他们需要帮助CISO将传达的信息提升到更高的层面。”他强调说,即使他们并非在所有事情上意见一致,但也需要步调合拍。“他们需要有同样的长期愿景,但情况并非总是如此。”
Hayslip特别指出,造成摩擦的最大原因是预算问题。他表示,CIO将被告知需要削减预算,而CISO致力于设法加强网络安全计划,并管理风险。
“十有八九这归结为他们的优先事项不一样。”Hayslip表示,他发现,如果沟通渠道保持畅通,CIO与CISO每周碰面,即使仅仅交谈半小时,向对方提供最新信息,双方也会了解很多情况。
他说:“CIO将让您得以深入了解公司的人事纷争,从而使你对公司的问题或业务在发生怎样的转变有一番清晰的认识。”这样一来,他们可以一起商量,搞清楚可以从哪些方面节约成本。
他表示,如果CIO和CISO相互交谈,就不会发生令人吃惊的事。“我发现,如果我们这么做,双方可以极好地通力合作。”
Baybeck同样认为,促进关系和建立合作是关键所在。“CISO应努力成为CIO眼里值得信赖的顾问,甚至可以预料CIO的需求,并告知对方在安全风险方面可能想都不会想到的问题或机会。”
所有CIO和CISO都一致认为,相互尊重可能是确保良好关系的最重要因素。
克莱姆森大学的Kaurloto说:“从一开始,就要相互了解……我们每天要实现和保持的目标是什么。这是关键。第二个方面就是建立一种相互尊重的密切关系。你们不会总是得到同样的结果,也不会始终保持一致。但如果相互尊重,你们会找到那个共同点。”
他补充道,还需要全面的透明度。“如果出现你言行不一致的情况,就无法获得CISO的尊重和理解。你总体上能否取得成功,和你的CISO有很大关系。如果你们没有良好的关系和真正的透明度,就会摩擦不断。”
Markel的Scyphers表示,他和Titus专注于业务成果,而不是安全或IT问题。“我们俩都利用自己的专长来支持这一点。Patti是出类拔萃的专业人士……我鼓励建立这种信任。这至关重要。”
至于Titus,她表示互相激励很重要,“那样的话,最终你们会有一致的立场。你们能关起门来解决问题。”
她表示:“致力于这种合作关系很重要,双方可能都需要做出让步,以实现这一共同目标。我们在如何实现目标上可能存在一点分歧,但到头来,我们会携手跨过终点线。”
就像任何美满的婚姻一样。
