信息化觀察網(wǎng)

導(dǎo)語(yǔ)

安全這項(xiàng)越來(lái)越重要的戰(zhàn)略要?jiǎng)?wù)已改變了IT負(fù)責(zé)人與信息安全負(fù)責(zé)人之間的關(guān)系。本文介紹了首席信息官（CIO）和首席信息安全官（CISO）怎么做才能成為一對(duì)更理想的合作伙伴。

一場(chǎng)疫情使CIO和CISO成為了同床異夢(mèng)的盟友，而去年面對(duì)前所未有的嚴(yán)峻形勢(shì)，他們不得不比以往更加緊密地通力合作。結(jié)果如何？?jī)烧叩年P(guān)系總體上已有所改進(jìn)。

在過(guò)去這幾個(gè)月，眾多組織已加快了數(shù)字化項(xiàng)目和向云端遷移的步伐，以支持遠(yuǎn)程員工和客戶。Gartner研究公司的副總裁Jeffrey Wheatman表示，這已“導(dǎo)致人們的風(fēng)險(xiǎn)偏好發(fā)生了非常顯著的變化，并促使CIO和CISO更緊密地聯(lián)系在一起。”

Wheatman表示，現(xiàn)在還需要一種共生的關(guān)系，因?yàn)?ldquo;如今董事會(huì)在網(wǎng)絡(luò)安全方面提出了更多的問(wèn)題，有時(shí)提出了更到位的問(wèn)題，而這促使CIO和CISO所講的故事或表述至少得相互一致。”

CIO和CISO一致認(rèn)為，竭力實(shí)現(xiàn)人工流程和功能自動(dòng)化以提高效率，勢(shì)必需要更緊密的合作。保險(xiǎn)公司Markel的首席隱私和信息安全官Patricia Titus說(shuō)：“無(wú)論匯報(bào)架構(gòu)如何，CIO和CISO在路線圖和戰(zhàn)略方面都必須步調(diào)高度一致。

安全現(xiàn)在具有戰(zhàn)略意義

CISO向CIO匯報(bào)工作時(shí)，情況并非總是如此。Wheatman說(shuō)：“遺憾的是，一些CISO在CIO的領(lǐng)導(dǎo)下步履維艱，因?yàn)樗麄儼l(fā)現(xiàn)和需要解決的一些問(wèn)題最終會(huì)使CIO更難完成工作。我認(rèn)為，CISO希望確保傳輸中的數(shù)據(jù)不應(yīng)該被那些不應(yīng)看到數(shù)據(jù)的人所看到，同時(shí)確保系統(tǒng)完整性以及安全和合規(guī)，因此這兩個(gè)職位在具體目標(biāo)上會(huì)存在一點(diǎn)分歧。”

他表示，好消息是，由于企業(yè)高管和利益相關(guān)者認(rèn)識(shí)到他們?nèi)找嬉蕾嚰夹g(shù)，這兩個(gè)職位之間的沖突比過(guò)去要少，會(huì)有更顯著的協(xié)同效應(yīng)。

安全這門(mén)學(xué)科也在日趨成熟。Wheatman說(shuō)：“現(xiàn)在，安全已被更多視為一項(xiàng)戰(zhàn)略性工作，不像以前人們常說(shuō)的：‘不，停下來(lái)，別做了。’我們過(guò)去常將這種類(lèi)型的CISO戲稱為‘否定博士’（Dr.No）?，F(xiàn)在這種情況比較少見(jiàn)了。”

Wheatman補(bǔ)充道，當(dāng)CIO和CISO將彼此更多地視為伙伴和拍檔時(shí)，這就帶來(lái)了協(xié)同效應(yīng)。“如果我們看看物聯(lián)網(wǎng)和云計(jì)算之類(lèi)的運(yùn)營(yíng)技術(shù)相互融合，就認(rèn)識(shí)到這兩個(gè)角色要更加步調(diào)一致，而不是CIO把系統(tǒng)直接扔給對(duì)方，說(shuō)：‘你要為我們已部署的這個(gè)系統(tǒng)確保安全。’”

CIO與CISO關(guān)系的演變

Markel公司的首席隱私和信息安全官PatriciaTitus和該公司的CIO Mike Scyphers已經(jīng)合作了近5個(gè)年頭，堪稱職場(chǎng)上的黃金搭檔。他們相互尊重，相互欣賞，談及對(duì)方則不吝溢美之辭。

Scyphers表示，由于消費(fèi)者技術(shù)數(shù)量激增，加上業(yè)務(wù)部門(mén)能夠自行啟用云服務(wù)，大家很容易專注于創(chuàng)新，“但卻未將安全考慮在內(nèi)”。他說(shuō)自己與Titus的關(guān)系“很重要”，并說(shuō)“如果沒(méi)有這種合作關(guān)系，部署技術(shù)我想都不敢想。”

Titus最初效力于IT部門(mén)，Scyphers表示自己“全力支持”她從IT部門(mén)跳出來(lái)。

Scyphers表示，他不喜歡扮演“好警察或壞警察”的角色，因此出現(xiàn)安全問(wèn)題時(shí)，IT部門(mén)向安全團(tuán)隊(duì)求助，“以了解情況。如果他們有了解決辦法，我們就不用把時(shí)間浪費(fèi)在這上面了。”

軟銀投資顧問(wèn)公司的CISO Gary Hayslip表示，人們長(zhǎng)期以來(lái)一直認(rèn)為，CIO與CISO是對(duì)立的關(guān)系，一方向另一方匯報(bào)工作，抱著“你得照我說(shuō)的做”這種態(tài)度。

Hayslip在職業(yè)生涯的早期擔(dān)任過(guò)CIO，后來(lái)轉(zhuǎn)任CISO崗位。他表示，他過(guò)去認(rèn)為CISO不應(yīng)該向CIO匯報(bào)工作。他解釋道：“CISO的工作是利用人員、流程和技術(shù)來(lái)管理風(fēng)險(xiǎn)，而CIO的工作是提供服務(wù)。兩者的視角全然不同。我們使用相同的資源，但處理問(wèn)題的方式卻大相徑庭。”

Hayslip補(bǔ)充道，話雖如此，技術(shù)的IT堆棧和安全堆棧交織在一起，這就意味著兩個(gè)團(tuán)隊(duì)必須相互支持。

Hayslip向軟銀公司的技術(shù)和信息安全主管Wil Bolivar匯報(bào)工作，他表示，他們是“真正的好友”。他還向軟銀的首席財(cái)務(wù)官匯報(bào)工作。Hayslip表示，在之前的工作崗位上，他向一些“很優(yōu)秀的CIO”和CISO以及與他關(guān)系對(duì)立的其他人匯報(bào)工作。

Hayslip說(shuō)：“有時(shí)候你會(huì)遇到這種CISO，他一味關(guān)注安全和風(fēng)險(xiǎn)，在安全和風(fēng)險(xiǎn)方面幾乎事事與你對(duì)立。這些CISO戰(zhàn)術(shù)性很強(qiáng)，但不善于與他人合作，他們認(rèn)為所有風(fēng)險(xiǎn)問(wèn)題都必須立馬處理。”

Hayslip自詡是既有戰(zhàn)術(shù)性又有戰(zhàn)略性的CISO。“我將自己視為恰好負(fù)責(zé)網(wǎng)絡(luò)安全的業(yè)務(wù)高管，我必須與其他業(yè)務(wù)部門(mén)的同仁合作”，并向他們解釋安全的重要性。

Hayslip說(shuō)：“要做到這一點(diǎn)，唯一的方法是，我不能站在他們的對(duì)立面，我得了解他們的工作方式、他們的需求、他們的主要客戶以及如何能為他們提供支持。我以這種方式來(lái)對(duì)待，結(jié)果頗受認(rèn)同。”

他補(bǔ)充道，如果CISO一味注重戰(zhàn)術(shù)性，業(yè)務(wù)部門(mén)“對(duì)你的廢話很快就會(huì)不耐煩，隨后把你踢到一邊。”

Hayslip認(rèn)為，如果在小公司里，CISO只習(xí)慣于扮演救火隊(duì)長(zhǎng)的角色，則沒(méi)有機(jī)會(huì)在職業(yè)生涯上獲得發(fā)展，一味注重戰(zhàn)術(shù)性是“不成熟的表現(xiàn)”。

匯報(bào)架構(gòu)

匯報(bào)架構(gòu)因企業(yè)而異，還可能因行業(yè)而異。Gartner的Wheatman表示，比如說(shuō)，如果你從事金融服務(wù)行業(yè)，向首席財(cái)務(wù)官匯報(bào)工作往往更合理。而從事于運(yùn)輸、物流或零售行業(yè)的CISO極有可能向首席運(yùn)營(yíng)官匯報(bào)工作。

他說(shuō)：“我每年接到600通電話，可能其中80到100通電話是關(guān)于組織架構(gòu)的。一個(gè)根本問(wèn)題是，CISO應(yīng)不應(yīng)該向CIO匯報(bào)工作?”Wheatman表示，他過(guò)去開(kāi)展的研究發(fā)現(xiàn)，約1/3的受訪CISO表示，他們不屬于IT部門(mén)。

他表示，當(dāng)企業(yè)組織認(rèn)識(shí)到安全是業(yè)務(wù)問(wèn)題而不是技術(shù)問(wèn)題時(shí)，網(wǎng)絡(luò)安全常常被移到IT部門(mén)之外。“網(wǎng)絡(luò)安全是CIO的工作范疇時(shí)，每個(gè)人都認(rèn)為安全是個(gè)技術(shù)問(wèn)題。這涉及到一些工具和技術(shù)，但網(wǎng)絡(luò)安全是運(yùn)營(yíng)技術(shù)。”Wheatman表示，網(wǎng)絡(luò)安全的重心是支持業(yè)務(wù)流程以及法律和監(jiān)管要求。“而這些都不是CIO或技術(shù)部門(mén)的問(wèn)題。”

Wheatman表示，在他效力Gartner的14年期間，來(lái)自該公司安全會(huì)議的數(shù)據(jù)顯示，自稱是公司安全負(fù)責(zé)人的人當(dāng)中約35%并不向IT部門(mén)匯報(bào)工作。“但現(xiàn)在不是這種情況了。”

甲骨文的客戶服務(wù)副總裁兼CISO Brennan Baybeck向業(yè)務(wù)部門(mén)負(fù)責(zé)人匯報(bào)工作，但他表示自己向CIO匯報(bào)工作已有7年了，整個(gè)過(guò)程很愉快。

Baybeck還是IT治理組織國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）的董事會(huì)成員，他說(shuō)：“我有幸與一位優(yōu)秀的CIO共事，他積極進(jìn)取，明白安全的重要性，并大力支持安全。”Baybeck表示，他能夠從業(yè)務(wù)和IT的角度向這位CIO闡述和表明安全對(duì)公司戰(zhàn)略而言的重要性。為此，他“頻繁地向CIO匯報(bào)工作，通報(bào)情況，使他認(rèn)識(shí)到安全在如何助力我們的業(yè)務(wù)，并讓他了解安全態(tài)勢(shì)、風(fēng)險(xiǎn)和漏洞。”

Baybeck表示，他主動(dòng)定期與CIO碰面，不僅僅談?wù)摪踩?，還交流想法，共同探討如何通過(guò)安全服務(wù)使IT更卓有成效。

他說(shuō)：“他后來(lái)提拔我進(jìn)入到其領(lǐng)導(dǎo)團(tuán)隊(duì)，這意味著我不僅可以在安全方面向高管們獻(xiàn)計(jì)獻(xiàn)策，還可以確保安全已融入業(yè)務(wù)和IT戰(zhàn)略中，并與它們密切相關(guān)。此外，我還可以為IT團(tuán)隊(duì)帶來(lái)價(jià)值。”

推動(dòng)安全工作占去了Baybeck大約75%的工作時(shí)間，他利用另外25%的時(shí)間來(lái)竭力獲取更多資源。“對(duì)于我的許多同行而言，這個(gè)比例正好倒了過(guò)來(lái)，他們將大部分時(shí)間花在了爭(zhēng)取資源和解釋原由上。”

Hayslip認(rèn)為，CISO向CIO匯報(bào)工作是一件好事。這樣一來(lái)，“風(fēng)險(xiǎn)就更清晰可見(jiàn)，企業(yè)組織也能夠從戰(zhàn)略角度了解哪些環(huán)節(jié)的風(fēng)險(xiǎn)將得到管理，”他說(shuō)。

他認(rèn)為，CIO和CISO應(yīng)并肩合作，應(yīng)該每周碰面，相互溝通。

新冠疫情影響

由于IT部門(mén)竭力支持遠(yuǎn)程辦公，而安全團(tuán)隊(duì)努力確保員工在遠(yuǎn)程接入網(wǎng)絡(luò)時(shí)身份得到了驗(yàn)證，并確保數(shù)據(jù)安全可靠，新冠疫情無(wú)疑促進(jìn)了彼此的支持。Hayslip說(shuō)：“如果在目前我們所處的新冠疫情環(huán)境下，您的安全團(tuán)隊(duì)在沒(méi)有IT部門(mén)的支持下開(kāi)展這項(xiàng)工作，你準(zhǔn)會(huì)抓狂。”

Hayslip特別指出，網(wǎng)絡(luò)邊緣已延伸到家庭。他說(shuō)：“我有680名員工，因而我有680個(gè)網(wǎng)絡(luò)要操心，而不是只有一個(gè)網(wǎng)絡(luò)要操心。”

雖然克萊姆森大學(xué)的副校長(zhǎng)兼CIO Russell Kaurloto與CISO Hal Stone在新冠疫情之前就有著良好的工作關(guān)系，但他同樣認(rèn)為，疫情“鞏固了這層關(guān)系，并使我們更加緊密地分享信息、更加有效地進(jìn)行溝通。”

克萊姆森大學(xué)之前有約1800名學(xué)生在網(wǎng)上遠(yuǎn)程學(xué)習(xí)，而去年3月，這個(gè)數(shù)字猛增至約26000名學(xué)生，外加4000名教職員工。Kaurloto說(shuō)：“我每周都與CISO進(jìn)行面對(duì)面交流，不過(guò)他還參與每天的新冠病毒電話溝通，我們?nèi)嫦到y(tǒng)地介紹發(fā)生的情況。”

CIO與CISO的和諧相處之道

Wheatman贊同Hayslip的觀點(diǎn)，他表示，鑒于數(shù)字化業(yè)務(wù)蔚然成風(fēng)，如果CISO向CIO說(shuō)“你需要按我說(shuō)的做，否則結(jié)果會(huì)怎樣”的話，只會(huì)適得其反。更應(yīng)該說(shuō)“我們需要齊心協(xié)力，解決董事會(huì)、首席運(yùn)營(yíng)官、首席執(zhí)行官或首席財(cái)務(wù)官認(rèn)為很重要的問(wèn)題。這一幕會(huì)越來(lái)越常見(jiàn)。”

比如說(shuō)，Wheatman曾與一家中型金融信用合作社的CISO合作，為其審計(jì)委員會(huì)制作一份演示文稿。他們草擬了該CISO的文稿，開(kāi)頭列出了業(yè)務(wù)目標(biāo)，隨后列出了CISO為制訂網(wǎng)絡(luò)安全計(jì)劃所要采取的幾個(gè)步驟。Wheatman回憶道：“CIO拿過(guò)文稿說(shuō)：‘我們必須要跟董事會(huì)談?wù)摪踩{和相關(guān)技術(shù)，但我已跟董事會(huì)談過(guò)了，他們對(duì)此根本不感興趣，也不明白其中的要點(diǎn)是什么。’”

他們最后只好與CIO進(jìn)行三方通話，后者說(shuō)：“瞧，這就是為什么這個(gè)想法不具有建設(shè)性。”雖然Wheatman不知道后來(lái)的結(jié)果如何，“但類(lèi)似的場(chǎng)景仍然很常見(jiàn)。按理說(shuō)，這些問(wèn)題出現(xiàn)的概率應(yīng)該不到5%才對(duì)，但實(shí)際上可能是20~25%。”

Wheatman告訴安全負(fù)責(zé)人，他們要弄清楚如何講故事——不僅僅向自己的上司講故事，還要通過(guò)上司向他們的上司講故事。

他說(shuō)：“我們常常沉迷于技術(shù)方面，最終純粹為了技術(shù)而談?wù)摷夹g(shù)，對(duì)業(yè)務(wù)價(jià)值、經(jīng)營(yíng)收入、企業(yè)文化和風(fēng)險(xiǎn)管理的談?wù)搮s不夠深入。”

他表示，CISO們需要列出一套常見(jiàn)的參考術(shù)語(yǔ)。“我們使用諸如‘網(wǎng)絡(luò)安全’、‘威脅’、‘漏洞’和‘風(fēng)險(xiǎn)’之類(lèi)的詞語(yǔ)。而我們使用這些術(shù)語(yǔ)缺乏一致性，因此需要以一致的方式向大家傳達(dá)參考框架。”

他們還要確保與業(yè)務(wù)目標(biāo)保持一致。Wheatman說(shuō)：“這聽(tīng)起來(lái)顯而易見(jiàn)，但在很多情況下并非如此。CIO們往往考慮較成熟，他們需要幫助CISO將傳達(dá)的信息提升到更高的層面。”他強(qiáng)調(diào)說(shuō)，即使他們并非在所有事情上意見(jiàn)一致，但也需要步調(diào)合拍。“他們需要有同樣的長(zhǎng)期愿景，但情況并非總是如此。”

Hayslip特別指出，造成摩擦的最大原因是預(yù)算問(wèn)題。他表示，CIO將被告知需要削減預(yù)算，而CISO致力于設(shè)法加強(qiáng)網(wǎng)絡(luò)安全計(jì)劃，并管理風(fēng)險(xiǎn)。

“十有八九這歸結(jié)為他們的優(yōu)先事項(xiàng)不一樣。”Hayslip表示，他發(fā)現(xiàn)，如果溝通渠道保持暢通，CIO與CISO每周碰面，即使僅僅交談半小時(shí)，向?qū)Ψ教峁┳钚滦畔ⅲp方也會(huì)了解很多情況。

他說(shuō)：“CIO將讓您得以深入了解公司的人事紛爭(zhēng)，從而使你對(duì)公司的問(wèn)題或業(yè)務(wù)在發(fā)生怎樣的轉(zhuǎn)變有一番清晰的認(rèn)識(shí)。”這樣一來(lái)，他們可以一起商量，搞清楚可以從哪些方面節(jié)約成本。

他表示，如果CIO和CISO相互交談，就不會(huì)發(fā)生令人吃驚的事。“我發(fā)現(xiàn)，如果我們這么做，雙方可以極好地通力合作。”

Baybeck同樣認(rèn)為，促進(jìn)關(guān)系和建立合作是關(guān)鍵所在。“CISO應(yīng)努力成為CIO眼里值得信賴的顧問(wèn)，甚至可以預(yù)料CIO的需求，并告知對(duì)方在安全風(fēng)險(xiǎn)方面可能想都不會(huì)想到的問(wèn)題或機(jī)會(huì)。”

所有CIO和CISO都一致認(rèn)為，相互尊重可能是確保良好關(guān)系的最重要因素。

克萊姆森大學(xué)的Kaurloto說(shuō)：“從一開(kāi)始，就要相互了解……我們每天要實(shí)現(xiàn)和保持的目標(biāo)是什么。這是關(guān)鍵。第二個(gè)方面就是建立一種相互尊重的密切關(guān)系。你們不會(huì)總是得到同樣的結(jié)果，也不會(huì)始終保持一致。但如果相互尊重，你們會(huì)找到那個(gè)共同點(diǎn)。”

他補(bǔ)充道，還需要全面的透明度。“如果出現(xiàn)你言行不一致的情況，就無(wú)法獲得CISO的尊重和理解。你總體上能否取得成功，和你的CISO有很大關(guān)系。如果你們沒(méi)有良好的關(guān)系和真正的透明度，就會(huì)摩擦不斷。”

Markel的Scyphers表示，他和Titus專注于業(yè)務(wù)成果，而不是安全或IT問(wèn)題。“我們倆都利用自己的專長(zhǎng)來(lái)支持這一點(diǎn)。Patti是出類(lèi)拔萃的專業(yè)人士……我鼓勵(lì)建立這種信任。這至關(guān)重要。”

至于Titus，她表示互相激勵(lì)很重要，“那樣的話，最終你們會(huì)有一致的立場(chǎng)。你們能關(guān)起門(mén)來(lái)解決問(wèn)題。”

她表示：“致力于這種合作關(guān)系很重要，雙方可能都需要做出讓步，以實(shí)現(xiàn)這一共同目標(biāo)。我們?cè)谌绾螌?shí)現(xiàn)目標(biāo)上可能存在一點(diǎn)分歧，但到頭來(lái)，我們會(huì)攜手跨過(guò)終點(diǎn)線。”

就像任何美滿的婚姻一樣。

作者：本文作者Esther Shein是IDG的特約撰稿人，這位新聞?dòng)浾咴跒閭鹘y(tǒng)媒體和互聯(lián)網(wǎng)撰稿和編輯方面有著豐富的經(jīng)驗(yàn)，側(cè)重于商業(yè)和技術(shù)以及教育和一般內(nèi)容的專欄文章。

編譯：沈建苗

原文網(wǎng)址：https://www.cio.com/article/3601471/perfect-strangers-how-cios-and-cisos-can-get-along.html?nsdr=true