信息化觀察網(wǎng)

IT 和安全領(lǐng)導(dǎo)者之間的成功合作至關(guān)重要，但是想要實現(xiàn)這一點卻并非易事。下文詳細(xì)介紹了 CIO-CISO 關(guān)系破裂的 6 大跡象——以及用于修復(fù)這種破裂關(guān)系的 8 點建議。

多年以來，安全人員一直是由 CIO 直接管理的。而今，隨著眾多企業(yè)越來越重視安全，CISO 的地位也變得更加重要。因為這種變化，兩者的工作關(guān)系發(fā)生了轉(zhuǎn)變——CIO 負(fù)責(zé)領(lǐng)導(dǎo)、洞察及實現(xiàn)IT項目，以推動業(yè)務(wù)發(fā)展；而 CISO 則負(fù)責(zé)提供見解與指導(dǎo)意見，以確保策略安全。

但是，在大多數(shù)上市公司，CISO 仍然是需要直接向 CIO 匯報的。但很多 CIO 在接受匯報的過程中慢慢發(fā)覺，由于各自的工作職責(zé)有所不同，他們彼此之間對于優(yōu)先事項的考慮可能存在沖突——CIO 致力于盡可能快地提供一致的可靠服務(wù)；而 CISO 則尋求安全地提供這些服務(wù)。

為了打破這種 “孤島” 現(xiàn)象，有些 CIO 和 CISO 之間達(dá)成了一些通用標(biāo)準(zhǔn)，這套標(biāo)準(zhǔn)可以賦予他們共同的術(shù)語和目標(biāo)，來幫助他們進(jìn)行良性溝通并最終實現(xiàn)共同的目標(biāo)。

安全專家認(rèn)為，CIO 和 CISO 之間的協(xié)作關(guān)系是推動企業(yè)成功的關(guān)鍵因素。雖然兩者間的工作職能和目標(biāo)不盡相同，但是他們必須和諧地工作，建立正確的團(tuán)隊結(jié)構(gòu)，并促進(jìn)正確的文化，為了組織的共同利益而攜手并進(jìn)。如果他們不這樣做，組織就會面臨發(fā)展速度放緩，安全技術(shù)服務(wù)水平低下以及整體數(shù)字化轉(zhuǎn)型受限的風(fēng)險。

根據(jù)一些經(jīng)驗豐富的高管、研究人員和管理顧問的說法，CIO-CISO 關(guān)系中存在很多不和諧的跡象，它們主要包括：

1. 缺乏尊重。高管（以及他們的經(jīng)理和員工）通常會忽略彼此的建議和合作請求，駁回對方的意見，習(xí)慣發(fā)布強(qiáng)制性命令而不是彼此間有效地商議和合作，甚至拒絕共享相關(guān)信息。

2. 沒有明確的責(zé)任劃分。特別是在技術(shù)和安全重疊的領(lǐng)域，角色和責(zé)任缺乏明確性可能會導(dǎo)致雙方對“領(lǐng)土”的爭奪，或是雙方都不愿承擔(dān)項目所有權(quán)的現(xiàn)象。

3. 員工高流失率。任何一個行政職位以及兩個部門中的員工職位的高流動率，都可能表明這種 “有毒” 的工作環(huán)境可能（但不是唯一原因）源自最高層的問題。

4. 非此即彼的對立心態(tài)。這種明確區(qū)分 “我們 ”和 “他們” 的對抗性心態(tài)會阻礙工作關(guān)系的順利發(fā)展，不利于實現(xiàn)相互協(xié)作、親密無間的合作關(guān)系。

5. 工作并未順利完成。錯過最后期限，項目沒有順利完成，忽略輸入請求……所有這些都需要 IT 和安全團(tuán)隊進(jìn)行協(xié)調(diào)，工作沒有順利完成說明雙方的協(xié)作出現(xiàn)了問題。

6. 經(jīng)?；虿粩嘣黾拥耐C(jī)時間。特別是，由于安全需求所導(dǎo)致的意外停機(jī)可能說明兩個團(tuán)隊之間的溝通和協(xié)調(diào)不一致甚至根本不存在。

導(dǎo)致 CIO-CISO 關(guān)系陷入困境，出現(xiàn)上述的不良行為可能是因為如下幾個因素：這些角色中的人可能特別以自我為中心；他們可能不喜歡彼此，也無法帶著這種不良情緒工作；或者他們根本不清楚并且不關(guān)心另一方所面臨的壓力。

但是根據(jù)多位專家的說法，致使 CIO-CISO 關(guān)系陷入僵局的原因其實是職位的不平衡。他們認(rèn)為，CIO 和 CISO 應(yīng)該在一個組織內(nèi)處于平等地位，每個人都能參與戰(zhàn)略規(guī)劃。

這種情況存在于許多組織之中，但并非全部。根據(jù)普華永道進(jìn)行的《2018年全球信息安全狀況調(diào)查報告》顯示，40% 的頂級信息安全高管向首席執(zhí)行官 (CEO) 報告，27% 的直接向董事會報告，24% 的向 CIO 報告。

同樣地，安永《2018-2019年全球信息安全調(diào)查》也發(fā)現(xiàn)，40% 的受訪組織讓其 CIO（而非CISO）承擔(dān)最終的信息安全責(zé)任。

如果您愿意投入精力努力修復(fù) CIO-CISO 之間的關(guān)系，我們也通過采訪多位專家總結(jié)了下述幾點建議，管理人員可以采取這些步驟來幫助克服雙方之間存在的錯位、職業(yè)沖突甚至仇恨：

1. 平衡 CISO 和 CIO 的職位。讓 CISO 像 CIO 一樣與首席執(zhí)行官和/或董事會接觸，以便明確理解安全要求，并在戰(zhàn)略規(guī)劃中獲取同等的發(fā)言權(quán)。如果您認(rèn)為安全確實對您的組織十分重要，那么您必須賦予 CISO 發(fā)言權(quán)，給與他們向首席執(zhí)行官、首席財務(wù)官或法律顧問報告的機(jī)會。他們必須與 CIO 平起平坐，擁有同等發(fā)言權(quán)，而不是屈居其后。

2. 設(shè)置獨立于 CIO 預(yù)算和IT計劃的安全預(yù)算和人員配置水平。這可以進(jìn)一步推動實現(xiàn)IT和安全部門之間建立平等關(guān)系，而且意義重大。最好的組織會采取 “基于風(fēng)險” 的方法來處理網(wǎng)絡(luò)安全問題，并積極地決定他們會面臨哪些風(fēng)險，以及哪些風(fēng)險會使其資源受到損害。對于這些問題的考量會影響最終的安全預(yù)算和人員配置水平，而且在大多數(shù)組織中，這些預(yù)算與IT支出幾乎沒有關(guān)系，所以我更喜歡獨立地看待這兩個項目。

3. 建立清晰明確的責(zé)任制。特別是在 IT 和安全重疊以及其他需要協(xié)作的領(lǐng)域，CIO 和 CISO 的角色和責(zé)任明確可謂意義重大。所有組織的目標(biāo)都是希望建立一種無縫的工作關(guān)系，而要實現(xiàn)這種關(guān)系就必須對其中的角色和相關(guān)流程進(jìn)行明確的定義和理解。

4. 讓 CIO 和 CISO 參與組織的戰(zhàn)略規(guī)劃過程。這為兩個團(tuán)隊提供了一個共同的目標(biāo)，讓他們可以努力確保一致性。IT 和安全應(yīng)該有一個共享的技術(shù)愿景，映射到不同的業(yè)務(wù)驅(qū)動因素，而這種方法有助于確保最大程度協(xié)調(diào)雙方的共同目標(biāo)。

5. 要求 CISO 和 CIO 掌握行政管理技能。這些領(lǐng)導(dǎo)者只是擁有專業(yè)領(lǐng)域的知識儲備還遠(yuǎn)遠(yuǎn)不夠，他們還必須熟練地掌握戰(zhàn)略思想、談判、溝通以及建立人際關(guān)系等方面的高級管理技能。因為未來你可能需要經(jīng)常與首席執(zhí)行官等 C 級領(lǐng)導(dǎo)接觸，所以有必要在個人層面上了解對方，這樣你才能更有效地傳遞自己的想法，同時明確地了解對方的需求。

6. 了解對方的工作及其目標(biāo)。CIO 和 CISO 都必須了解彼此的世界，否則就會出現(xiàn)意見相左甚至敵意。他們必須成為彼此的老師和導(dǎo)師。當(dāng)一個人對另一個人的職責(zé)和任務(wù)有了更明確的認(rèn)識時，他們才能夠更好地確定共同的優(yōu)先事項并同意妥協(xié)。例如，一個組織的 CIO 利用安全架構(gòu)師來處理身份和訪問管理計劃，結(jié)果致使 IT 過載，如果 CIO 和 CISO 達(dá)成良好的伙伴關(guān)系就能夠幫助該項目順利實施，實現(xiàn)兩個部門甚至整個企業(yè)的大勝利。

7. 采用行政培訓(xùn)。輔導(dǎo)服務(wù)和 360° 評估在建立牢固的關(guān)系方面特別有效。有時候需要外部輔導(dǎo)員的加入來幫助促進(jìn)雙方成為更好的合作者。在大多數(shù)情況下，他們會幫助指出存在問題的地方，但他們也會從一開始就鼓勵創(chuàng)建一個更加協(xié)作的工作環(huán)境。

8. 退一步。專家表示，當(dāng) CIO-CISO 的關(guān)系看起來無法修補(bǔ)的時候，冷靜下來退后一步會比讓情況繼續(xù)惡化危及組織發(fā)展更好。在事情走向極端的情況下，必須有一方撤離 “戰(zhàn)場”。