IT 和安全领导者之间的成功合作至关重要,但是想要实现这一点却并非易事。下文详细介绍了 CIO-CISO 关系破裂的 6 大迹象——以及用于修复这种破裂关系的 8 点建议。
多年以来,安全人员一直是由 CIO 直接管理的。而今,随着众多企业越来越重视安全,CISO 的地位也变得更加重要。因为这种变化,两者的工作关系发生了转变——CIO 负责领导、洞察及实现IT项目,以推动业务发展;而 CISO 则负责提供见解与指导意见,以确保策略安全。
但是,在大多数上市公司,CISO 仍然是需要直接向 CIO 汇报的。但很多 CIO 在接受汇报的过程中慢慢发觉,由于各自的工作职责有所不同,他们彼此之间对于优先事项的考虑可能存在冲突——CIO 致力于尽可能快地提供一致的可靠服务;而 CISO 则寻求安全地提供这些服务。
为了打破这种 “孤岛” 现象,有些 CIO 和 CISO 之间达成了一些通用标准,这套标准可以赋予他们共同的术语和目标,来帮助他们进行良性沟通并最终实现共同的目标。
安全专家认为,CIO 和 CISO 之间的协作关系是推动企业成功的关键因素。虽然两者间的工作职能和目标不尽相同,但是他们必须和谐地工作,建立正确的团队结构,并促进正确的文化,为了组织的共同利益而携手并进。如果他们不这样做,组织就会面临发展速度放缓,安全技术服务水平低下以及整体数字化转型受限的风险。
根据一些经验丰富的高管、研究人员和管理顾问的说法,CIO-CISO 关系中存在很多不和谐的迹象,它们主要包括:
1. 缺乏尊重。高管(以及他们的经理和员工)通常会忽略彼此的建议和合作请求,驳回对方的意见,习惯发布强制性命令而不是彼此间有效地商议和合作,甚至拒绝共享相关信息。
2. 没有明确的责任划分。特别是在技术和安全重叠的领域,角色和责任缺乏明确性可能会导致双方对“领土”的争夺,或是双方都不愿承担项目所有权的现象。
3. 员工高流失率。任何一个行政职位以及两个部门中的员工职位的高流动率,都可能表明这种 “有毒” 的工作环境可能(但不是唯一原因)源自最高层的问题。
4. 非此即彼的对立心态。这种明确区分 “我们 ”和 “他们” 的对抗性心态会阻碍工作关系的顺利发展,不利于实现相互协作、亲密无间的合作关系。
5. 工作并未顺利完成。错过最后期限,项目没有顺利完成,忽略输入请求……所有这些都需要 IT 和安全团队进行协调,工作没有顺利完成说明双方的协作出现了问题。
6. 经常或不断增加的停机时间。特别是,由于安全需求所导致的意外停机可能说明两个团队之间的沟通和协调不一致甚至根本不存在。
导致 CIO-CISO 关系陷入困境,出现上述的不良行为可能是因为如下几个因素:这些角色中的人可能特别以自我为中心;他们可能不喜欢彼此,也无法带着这种不良情绪工作;或者他们根本不清楚并且不关心另一方所面临的压力。
但是根据多位专家的说法,致使 CIO-CISO 关系陷入僵局的原因其实是职位的不平衡。他们认为,CIO 和 CISO 应该在一个组织内处于平等地位,每个人都能参与战略规划。
这种情况存在于许多组织之中,但并非全部。根据普华永道进行的《2018年全球信息安全状况调查报告》显示,40% 的顶级信息安全高管向首席执行官 (CEO) 报告,27% 的直接向董事会报告,24% 的向 CIO 报告。
同样地,安永《2018-2019年全球信息安全调查》也发现,40% 的受访组织让其 CIO(而非CISO)承担最终的信息安全责任。
如果您愿意投入精力努力修复 CIO-CISO 之间的关系,我们也通过采访多位专家总结了下述几点建议,管理人员可以采取这些步骤来帮助克服双方之间存在的错位、职业冲突甚至仇恨:
1. 平衡 CISO 和 CIO 的职位。让 CISO 像 CIO 一样与首席执行官和/或董事会接触,以便明确理解安全要求,并在战略规划中获取同等的发言权。如果您认为安全确实对您的组织十分重要,那么您必须赋予 CISO 发言权,给与他们向首席执行官、首席财务官或法律顾问报告的机会。他们必须与 CIO 平起平坐,拥有同等发言权,而不是屈居其后。
2. 设置独立于 CIO 预算和IT计划的安全预算和人员配置水平。这可以进一步推动实现IT和安全部门之间建立平等关系,而且意义重大。最好的组织会采取 “基于风险” 的方法来处理网络安全问题,并积极地决定他们会面临哪些风险,以及哪些风险会使其资源受到损害。对于这些问题的考量会影响最终的安全预算和人员配置水平,而且在大多数组织中,这些预算与IT支出几乎没有关系,所以我更喜欢独立地看待这两个项目。
3. 建立清晰明确的责任制。特别是在 IT 和安全重叠以及其他需要协作的领域,CIO 和 CISO 的角色和责任明确可谓意义重大。所有组织的目标都是希望建立一种无缝的工作关系,而要实现这种关系就必须对其中的角色和相关流程进行明确的定义和理解。
4. 让 CIO 和 CISO 参与组织的战略规划过程。这为两个团队提供了一个共同的目标,让他们可以努力确保一致性。IT 和安全应该有一个共享的技术愿景,映射到不同的业务驱动因素,而这种方法有助于确保最大程度协调双方的共同目标。
5. 要求 CISO 和 CIO 掌握行政管理技能。这些领导者只是拥有专业领域的知识储备还远远不够,他们还必须熟练地掌握战略思想、谈判、沟通以及建立人际关系等方面的高级管理技能。因为未来你可能需要经常与首席执行官等 C 级领导接触,所以有必要在个人层面上了解对方,这样你才能更有效地传递自己的想法,同时明确地了解对方的需求。
6. 了解对方的工作及其目标。CIO 和 CISO 都必须了解彼此的世界,否则就会出现意见相左甚至敌意。他们必须成为彼此的老师和导师。当一个人对另一个人的职责和任务有了更明确的认识时,他们才能够更好地确定共同的优先事项并同意妥协。例如,一个组织的 CIO 利用安全架构师来处理身份和访问管理计划,结果致使 IT 过载,如果 CIO 和 CISO 达成良好的伙伴关系就能够帮助该项目顺利实施,实现两个部门甚至整个企业的大胜利。
7. 采用行政培训。辅导服务和 360° 评估在建立牢固的关系方面特别有效。有时候需要外部辅导员的加入来帮助促进双方成为更好的合作者。在大多数情况下,他们会帮助指出存在问题的地方,但他们也会从一开始就鼓励创建一个更加协作的工作环境。
8. 退一步。专家表示,当 CIO-CISO 的关系看起来无法修补的时候,冷静下来退后一步会比让情况继续恶化危及组织发展更好。在事情走向极端的情况下,必须有一方撤离 “战场”。