信息化觀察網(wǎng)

作為戰(zhàn)略要?jiǎng)?wù)，安全工作的不斷攀升已改變了IT與信息安全主管之間的關(guān)系。本文將介紹首席信息官和首席信息安全官如何成為推動(dòng)形成協(xié)同效應(yīng)的合作伙伴。

新冠疫情使首席信息官和首席信息安全官成為一對(duì)奇怪的合作伙伴，而今年在遭遇前所未有的疫情局面下，他們不得不比以往更加緊密地合作。而結(jié)果如何呢？他們之間的關(guān)系狀態(tài)總體上有所改善。

在過(guò)去的幾個(gè)月中，各個(gè)組織機(jī)構(gòu)都加快推進(jìn)了其數(shù)字計(jì)劃和向云端遷移的工作，以支持遠(yuǎn)程辦公的員工和客戶(hù)。Gartner研究部副總裁杰弗里•惠特曼(Jeffrey Wheatman)表示，這“導(dǎo)致人們的風(fēng)險(xiǎn)偏好發(fā)生了非常顯著的變化，同時(shí)使首席信息官和首席信息安全官更加緊密地被聯(lián)系在一起。”

惠特曼表示，現(xiàn)在還需要一種共生的關(guān)系，因?yàn)?ldquo;董事會(huì)現(xiàn)在對(duì)網(wǎng)絡(luò)安全工作會(huì)提出更多的問(wèn)題，有時(shí)甚至是更全面的問(wèn)題，”“這導(dǎo)致首席信息官和首席信息安全官至少要有一個(gè)一致性的故事或敘述。”

首席信息官和首席信息安全官一致認(rèn)為，推動(dòng)人工流程和一些功能的自動(dòng)化以提高工作效率，這就必須要更緊密地合作。保險(xiǎn)公司Markel的首席隱私和信息安全官帕特麗夏·提圖斯(Patricia Titus)說(shuō)：“無(wú)論匯報(bào)架構(gòu)如何，首席信息官和首席信息安全官都必須在發(fā)展路線(xiàn)圖和戰(zhàn)略上緊密合作。”

安全性現(xiàn)已成為戰(zhàn)略性工作

當(dāng)首席信息安全官向首席信息官匯報(bào)工作時(shí)，情況卻并非總是如此。“不幸的是，一些首席信息安全官在首席信息官的領(lǐng)導(dǎo)下工作很艱難，因?yàn)樽罱K，他們發(fā)現(xiàn)和需要解決的某些問(wèn)題使首席信息官更加難以處理，”惠特曼說(shuō)。“我認(rèn)為，首席信息安全官希望確保傳輸中的數(shù)據(jù)不應(yīng)該被那些不應(yīng)看到這些數(shù)據(jù)的人所看到，同時(shí)應(yīng)(保持)系統(tǒng)的完整性，以及數(shù)據(jù)的安全性和合規(guī)性，因此這兩個(gè)職位之間的目標(biāo)就存在一些分歧。

他表示，好消息是，由于企業(yè)高管和利益相關(guān)者越來(lái)越依賴(lài)于技術(shù)，而形成一種意識(shí)，這使得這兩個(gè)角色之間的矛盾比以往更少，并且有更大的協(xié)同效應(yīng)。

安全性作為一門(mén)學(xué)科其成熟度也在增加?；萏芈f(shuō)：“現(xiàn)在，安全性已被更多地視為一種戰(zhàn)略舉措，而不是人們所說(shuō)‘不，停下來(lái)，不要做，’”。“我們以前將這種類(lèi)型的首席信息安全官稱(chēng)為‘不博士’。這種首席信息安全官現(xiàn)在很少了。”

當(dāng)首席信息官和首席信息安全官更多地將自己視為合作伙伴和同伴時(shí)，這就會(huì)產(chǎn)生協(xié)同效應(yīng)，惠特曼補(bǔ)充道。“當(dāng)我們看到諸如物聯(lián)網(wǎng)和云計(jì)算等運(yùn)營(yíng)技術(shù)開(kāi)始融合時(shí)，人們已認(rèn)識(shí)到這兩個(gè)角色必須更加步調(diào)一致，而不是首席信息官把某些工作推出去，然后說(shuō)：‘你必須保證我們已經(jīng)部署的東西安全。’”

首席信息官和首席信息安全官之間關(guān)系的演變

Markel公司的首席信息官提圖斯和邁克·賽弗斯(Mike Scyphers)已經(jīng)一起工作將近五年，擁有可謂是理想的工作伙伴關(guān)系，彼此相互尊重和欣賞。雙方都會(huì)很敬佩地評(píng)價(jià)對(duì)方。

賽弗斯表示，隨著消費(fèi)者技術(shù)的發(fā)展以及業(yè)務(wù)部門(mén)能夠提升自己的云服務(wù)，這就很容易使人們專(zhuān)注于創(chuàng)新，而無(wú)需“考慮安全性”。他稱(chēng)自己與提圖斯的關(guān)系“很有價(jià)值”，并說(shuō)：“如果沒(méi)有這種合作關(guān)系，我無(wú)法想象如何來(lái)(部署某一技術(shù))。”

提圖斯最初在IT部門(mén)工作，賽弗斯說(shuō)他“完全支持”她開(kāi)始行動(dòng)。

“每當(dāng)我們進(jìn)行對(duì)話(huà)且出現(xiàn)一種不周全的制衡(討論)時(shí)，我都會(huì)感到緊張。按提圖斯的說(shuō)法就是，有些事情不對(duì)勁，但開(kāi)始時(shí)是正確的，”他說(shuō)。“我會(huì)討論我們之間的不同觀點(diǎn)，但是……當(dāng)一切都在IT部門(mén)內(nèi)時(shí)，最終，我發(fā)現(xiàn)自己會(huì)贊同兩種不同的觀點(diǎn)，而當(dāng)您總想把所有事情都做對(duì)時(shí)，您就會(huì)有盲點(diǎn)，因而不同的觀點(diǎn)有助于對(duì)您進(jìn)行彌補(bǔ)。”

賽弗斯表示，他不喜歡扮演“好人，壞人”的角色，因此當(dāng)安全問(wèn)題出現(xiàn)時(shí)，IT部門(mén)會(huì)向安全團(tuán)隊(duì)求助，以了解情況。如果他們有解決辦法了，我們就不會(huì)在這一問(wèn)題上浪費(fèi)時(shí)間了。”

人們長(zhǎng)期以來(lái)一直認(rèn)為，首席信息官與首席信息安全官是一種對(duì)抗關(guān)系，即一方要向另一方匯報(bào)工作，并且要有一種“你必須照我說(shuō)的做”的態(tài)度，軟銀投資顧問(wèn)公司(SoftBank Investment Advisers)的首席信息安全官蓋里•海斯利普(Gary Hayslip)說(shuō)。

海斯利普在職業(yè)生涯的早期，曾擔(dān)任首席信息官，后來(lái)轉(zhuǎn)任首席信息安全官一職。他表示，他過(guò)去認(rèn)為首席信息安全官不應(yīng)該向首席信息官匯報(bào)工作。“首席信息安全官的工作是利用人員、流程和技術(shù)來(lái)管理風(fēng)險(xiǎn)，而首席信息官的工作是提供服務(wù)。這些是完全不同的工作領(lǐng)域，”他解釋道。“我們使用相同的資源，但是我們處理問(wèn)題的方式極為不同。”

也就是說(shuō)，IT堆棧和技術(shù)安全堆棧是相互交織的，這意味著兩個(gè)團(tuán)隊(duì)必須相互支持，海斯利普補(bǔ)充道。

海斯利普向軟銀公司的技術(shù)和信息安全主管維爾·波利瓦爾(Wil Bolivar)匯報(bào)工作，他表示，我們是“真正的好朋友”。他還向軟銀公司的首席財(cái)務(wù)官匯報(bào)工作。海斯利普表示，在之前的一些工作崗位上，他還曾向一些“非常優(yōu)秀的首席信息官”和首席信息安全官，以及一些與他有爭(zhēng)執(zhí)關(guān)系的人匯報(bào)工作。

“有時(shí)候，您會(huì)遇到一些首席信息安全官，他們非常專(zhuān)注，甚至過(guò)度關(guān)注于安全和風(fēng)險(xiǎn)工作，但這并非總有意義，’海斯利普說(shuō)。“他們是戰(zhàn)術(shù)性很強(qiáng)的首席信息安全官，但不善于與他人合作，他們認(rèn)為所有風(fēng)險(xiǎn)問(wèn)題必須立刻、馬上、現(xiàn)在處理。”

海斯利普稱(chēng)自己是既有戰(zhàn)術(shù)又有戰(zhàn)略的首席信息安全官。“我將自己視為一個(gè)碰巧負(fù)責(zé)網(wǎng)絡(luò)安全工作的業(yè)務(wù)主管，我必須與其他業(yè)務(wù)部門(mén)的同事一起工作”，并要向他們解釋安全的價(jià)值。

“做到這一點(diǎn)的唯一方法是，我不能直接與他們進(jìn)行接觸;但我必須了解他們的工作方式，他們的需求，他們的主要客戶(hù)以及我該如何為他們提供支持，”海斯利普說(shuō)。“我采用了這種方式，而且獲得了更多的支持。”

他補(bǔ)充說(shuō)，如果首席信息安全官只是嚴(yán)格意義上的戰(zhàn)術(shù)角色，那么業(yè)務(wù)人員就“只會(huì)忍受一段時(shí)間您的廢話(huà)，然后就把您踢到一邊。”

海斯利普認(rèn)為，當(dāng)首席信息安全官僅與小公司合作，習(xí)慣于解決緊急問(wèn)題，而且沒(méi)有機(jī)會(huì)獲得職業(yè)發(fā)展時(shí)，具備戰(zhàn)術(shù)性就是一個(gè)“成熟度問(wèn)題”。

匯報(bào)架構(gòu)

匯報(bào)工作的架構(gòu)因公司而異，還可能因行業(yè)而異。Gartner的惠特曼表示，例如，如果您在金融服務(wù)行業(yè)，則向首席財(cái)務(wù)官匯報(bào)工作往往更合理。在運(yùn)輸、物流或零售領(lǐng)域工作的首席信息安全官，則最有可能向首席運(yùn)營(yíng)官匯報(bào)工作。

“我每年要接600個(gè)電話(huà)，大概有80到100個(gè)電話(huà)是與組織結(jié)構(gòu)有關(guān)，其根本問(wèn)題是，首席信息安全官是否應(yīng)該向首席信息官匯報(bào)工作?”他說(shuō)道。在惠特曼過(guò)去所做的研究中，約有三分之一的受訪(fǎng)首席信息安全官表示，他們不屬于IT部門(mén)，他說(shuō)道。

他表示，當(dāng)某一組織機(jī)構(gòu)認(rèn)識(shí)到安全性是一個(gè)業(yè)務(wù)問(wèn)題而不是一個(gè)技術(shù)問(wèn)題時(shí)，網(wǎng)絡(luò)安全工作通常就會(huì)被排除在IT部門(mén)外。“當(dāng)網(wǎng)絡(luò)安全屬于首席信息官的(工作范疇)時(shí)……則每個(gè)人都認(rèn)為(安全性是)一個(gè)技術(shù)問(wèn)題。這涉及到一些工具和技術(shù)，但網(wǎng)絡(luò)安全是運(yùn)營(yíng)技術(shù)。”惠特曼表示，其重點(diǎn)是為業(yè)務(wù)流程以及法律和監(jiān)管要求提供支持。“這些工作都不是首席信息官的工作或技術(shù)問(wèn)題。”

惠特曼表示，他在Gartner工作的14年中，來(lái)自公司安全會(huì)議的數(shù)據(jù)顯示，約有35%的人自稱(chēng)是公司的安全主管，而且他們并不向IT部門(mén)匯報(bào)工作。“但現(xiàn)在不是這種情況了。”

甲骨文公司客戶(hù)服務(wù)副總裁兼首席信息安全官布倫南·拜貝克(Brennan Baybeck)會(huì)向業(yè)務(wù)部門(mén)主管匯報(bào)工作，但他表示自己向首席信息官匯報(bào)工作已有七年了，并擁有一些有益的經(jīng)驗(yàn)。

“我很幸運(yùn)能與一位優(yōu)秀的首席信息官共事，他理解安全的重要性，并且大力支持這一工作，”拜貝克說(shuō)道。同時(shí)，他還是IT治理組織——國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)董事會(huì)成員。拜貝克表示，自己能夠從業(yè)務(wù)和IT角度向首席信息官闡明和表達(dá)安全性對(duì)公司戰(zhàn)略的重要性。“自己通過(guò)不斷向首席信息官匯報(bào)工作，進(jìn)行講解，使首席信息官認(rèn)識(shí)到安全性如何可以推動(dòng)我們的業(yè)務(wù)工作，以及讓他了解安全態(tài)勢(shì)、風(fēng)險(xiǎn)和漏洞，從而形成良好的合作關(guān)系。”

拜貝克表示，他會(huì)主動(dòng)定期與首席信息官會(huì)面，不僅會(huì)談及安全工作，還會(huì)分享一些如何通過(guò)安全性服務(wù)使IT部門(mén)更高效工作的想法。

他說(shuō)：“他提拔我進(jìn)入到他的領(lǐng)導(dǎo)團(tuán)隊(duì)，這意味著我不僅可以向高管們提供一些安全性建議，還可以確保安全性已融入且與業(yè)務(wù)和IT戰(zhàn)略相關(guān)。”“此外，我還能夠?yàn)镮T團(tuán)隊(duì)帶來(lái)價(jià)值。”

提升安全性占用了拜貝克大約75%的工作時(shí)間，而他會(huì)利用剩下25%的時(shí)間來(lái)獲取更多資源。“對(duì)于我的許多同事而言，這個(gè)時(shí)間比例是顛倒的，他們將大部分時(shí)間都花在爭(zhēng)取和維護(hù)資源上。”

海斯利普認(rèn)為，首席信息安全官不向首席信息官匯報(bào)工作，這是一件好事。這樣，“風(fēng)險(xiǎn)更加可見(jiàn)，而且組織機(jī)構(gòu)能夠從戰(zhàn)略角度來(lái)了解將在哪里進(jìn)行管理，”他說(shuō)。

他表示，在這種環(huán)境中，首席信息官和首席信息安全官應(yīng)該是對(duì)等關(guān)系，仍然要每周開(kāi)會(huì)。

新冠疫情的影響

由于IT部門(mén)努力推進(jìn)遠(yuǎn)程辦公，同時(shí)安全團(tuán)隊(duì)則努力確保員工在遠(yuǎn)程接入網(wǎng)絡(luò)時(shí)其身份得到驗(yàn)證，并且確保數(shù)據(jù)安全，因此新冠疫情當(dāng)然促進(jìn)了彼此的支持。“如果在目前的新冠疫情環(huán)境下，您的(安全團(tuán)隊(duì))在沒(méi)有IT部門(mén)的支持下開(kāi)展工作，那么您會(huì)瘋掉的，”海斯利普說(shuō)。

他指出，網(wǎng)絡(luò)邊緣已經(jīng)進(jìn)入家庭。海斯利普說(shuō)：“因?yàn)槲矣?80名員工，因而我有680個(gè)網(wǎng)絡(luò)需要關(guān)注，而不是一個(gè)網(wǎng)絡(luò)。”

盡管在新冠疫情之前，克萊姆森大學(xué)(Clemson University)副校長(zhǎng)兼首席信息官Russell Kaurloto與首席信息安全官哈爾·斯通(Hal Stone)有著良好的工作關(guān)系，但他承認(rèn)，新冠病毒“鞏固了這一關(guān)系，并使我們更緊密地分享信息和更有效地溝通”。

克萊姆森大學(xué)之前約有1800名學(xué)生在網(wǎng)上遠(yuǎn)程學(xué)習(xí)，而在今年3月，這一數(shù)字躍升至約26,000人，同時(shí)包括4,000名教職員工。“我每周都與首席信息安全官一對(duì)一交流，但他也參與每天的新冠病毒電話(huà)溝通，我們會(huì)系統(tǒng)地了解目前發(fā)生的情況，”Kaurloto說(shuō)。

首席信息官和首席信息安全官之間關(guān)系和諧的建議

惠特曼贊同海斯利普的觀點(diǎn)，他表示，隨著數(shù)字業(yè)務(wù)的增長(zhǎng)，不利于高效工作的方式是，首席信息安全官向首席信息官搖著手指說(shuō)：“您需要按我說(shuō)的做，否則就如何如何。而更應(yīng)該說(shuō)的是，“我們需要共同努力，以解決董事會(huì)或首席運(yùn)營(yíng)官、首席執(zhí)行官或首席財(cái)務(wù)官提出的重要問(wèn)題。”這一問(wèn)題隨著時(shí)間的推移在不斷增加。”

例如，惠特曼與一家中型金融信用合作社的首席信息安全官合作，為其審計(jì)委員會(huì)搭建平臺(tái)。他們起草了一份講述文稿，其內(nèi)容首先是業(yè)務(wù)目標(biāo)，然后是首席信息安全官為打造其網(wǎng)絡(luò)安全計(jì)劃而采取的步驟。“首席信息官拿著文稿說(shuō)：‘我們必須要與董事會(huì)談?wù)勍{和技術(shù)方面的內(nèi)容，并且我已經(jīng)與董事會(huì)交談過(guò)，但他們對(duì)威脅和技術(shù)方面的內(nèi)容不感興趣，他們也不了解工作要點(diǎn)是什么，’”惠特曼回憶道。

最后，他們不得不共同與首席信息官電話(huà)溝通，說(shuō)：“看，這就是為什么這個(gè)信息不具有建設(shè)性，”他說(shuō)。雖然惠特曼不知道結(jié)果如何，但“那些(場(chǎng)景)仍然很常見(jiàn)。這種場(chǎng)景應(yīng)該少于5%，但當(dāng)這些問(wèn)題出現(xiàn)時(shí)，這種場(chǎng)景發(fā)生的概率可能是20%到25%。”

惠特曼告訴安全主管，他們需要清楚要如何進(jìn)行講述，不僅是向自己的領(lǐng)導(dǎo)講述，還需要通過(guò)他們向領(lǐng)導(dǎo)的領(lǐng)導(dǎo)講述。

他說(shuō)：“通常，我們會(huì)沉迷于技術(shù)方面，最終是為了技術(shù)而談?wù)摷夹g(shù)，而對(duì)業(yè)務(wù)價(jià)值、營(yíng)收、文化和風(fēng)險(xiǎn)管理卻不夠關(guān)注。”

他表示，首席信息安全官需要提出一套通用的術(shù)語(yǔ)使用范圍。“我們會(huì)使用諸如‘網(wǎng)絡(luò)安全’、‘威脅’、‘漏洞’和‘風(fēng)險(xiǎn)’之類(lèi)的詞。但我們使用這些術(shù)語(yǔ)卻不統(tǒng)一，因此我們需要以統(tǒng)一的術(shù)語(yǔ)框架來(lái)進(jìn)行溝通。”

他們還需要確保與業(yè)務(wù)目標(biāo)保持一致?；萏芈f(shuō)：“這聽(tīng)起來(lái)顯而易見(jiàn)，但在很多情況下，卻并非如此。”“首席信息官往往會(huì)更成熟，因而他需要幫助首席信息安全官來(lái)提升其信息溝通的能力，以達(dá)到更高的成熟度。”他強(qiáng)調(diào)說(shuō)，即使他們并非在所有事情上都意見(jiàn)一致，但他們也需要協(xié)調(diào)一致。“他們需要有共同的長(zhǎng)期愿景，但情況并非總是如此。”

海斯利普指出，造成摩擦的最大原因是預(yù)算問(wèn)題。他表示，首席信息官將被告知需要削減預(yù)算，而首席信息安全官則專(zhuān)注于要制定一個(gè)網(wǎng)絡(luò)安全計(jì)劃，以及管理風(fēng)險(xiǎn)。

“十有八九這是他們工作重點(diǎn)的不同。”海斯利普表示，他發(fā)現(xiàn)，如果首席信息官和首席信息安全官之間的溝通渠道保持暢通，而且每周會(huì)面，即使僅僅交談半小時(shí)，雙方也會(huì)了解很多東西。

他說(shuō)：“首席信息官將讓您了解公司內(nèi)的政治環(huán)境，從而使您對(duì)公司的問(wèn)題或業(yè)務(wù)發(fā)展有很好的認(rèn)識(shí)。”這樣，他們可以一起想辦法，找出可以節(jié)約成本的地方。

他表示，如果首席信息官和首席信息安全官可以互相交談，那么就不會(huì)發(fā)生令人吃驚的事。“我發(fā)現(xiàn)，當(dāng)我們這樣做時(shí)，我們會(huì)合作得非常好。”

拜貝克也認(rèn)為，培養(yǎng)人際關(guān)系和建立伙伴關(guān)系是關(guān)鍵。“首席信息安全官應(yīng)努力變?yōu)槭紫畔⒐俚囊幻尚刨?lài)的顧問(wèn)，這樣他們就可以預(yù)測(cè)自己的需求，并掌握他們甚至可能沒(méi)有考慮到的有關(guān)安全風(fēng)險(xiǎn)的問(wèn)題或機(jī)會(huì)。”

所有首席信息官和首席信息安全官都認(rèn)為，相互尊重可能是雙方關(guān)系中最重要的因素。

克萊姆森大學(xué)的Kaurloto說(shuō)：“從一開(kāi)始，就必須相互了解……我們每天要實(shí)現(xiàn)和努力的目標(biāo)是什么。”“這是關(guān)鍵。第二件事是建立一種相互尊重的密切關(guān)系。你們不會(huì)總能達(dá)成相同的結(jié)果，也不會(huì)一直保持一致。但由于彼此相互尊重，你們會(huì)找到共同點(diǎn)。”

他補(bǔ)充說(shuō)，還需要具有充分的透明度。“如果碰到您有言行不一致的情況，您將無(wú)法獲得首席信息安全官的尊重和理解。您的首席信息安全官是您工作總體成功的一部分。如果你們沒(méi)有良好的人際關(guān)系和真正的透明度，那么你們將不斷產(chǎn)生摩擦。”

Markel公司的賽弗斯表示，他和提圖斯都更專(zhuān)注于業(yè)務(wù)成果，而非安全或IT問(wèn)題。“我們倆都利用自己的學(xué)科知識(shí)來(lái)支持我們的側(cè)重點(diǎn)。提圖斯是一個(gè)完美的專(zhuān)業(yè)人士……我鼓勵(lì)建立這種信任。這至關(guān)重要。”

提圖斯表示，對(duì)她來(lái)說(shuō)，互相挑戰(zhàn)很重要，“當(dāng)你們結(jié)束爭(zhēng)論時(shí)，你們就會(huì)有一個(gè)一致的立場(chǎng)。你們會(huì)關(guān)起門(mén)解決問(wèn)題。”

她表示，“重視這一合作伙伴關(guān)系很重要”，雙方可能都需要做出讓步，以實(shí)現(xiàn)這一共同目標(biāo)。

提圖斯說(shuō)：“在如何實(shí)現(xiàn)目標(biāo)的方式上，我們可能會(huì)有一些分歧，但最終，我們會(huì)一起實(shí)現(xiàn)目標(biāo)。”

就像任何一樁美滿(mǎn)的婚姻一樣。