Esther Shein 沈建苗

一場(chǎng)疫情使CIO和CISO成為了同床異夢(mèng)的盟友，而去年面對(duì)前所未有的嚴(yán)峻形勢(shì)，他們不得不比以往更加緊密地通力合作。結(jié)果如何？兩者的關(guān)系總體上已有所改進(jìn)。

在過去這幾個(gè)月，眾多組織已加快了數(shù)字化項(xiàng)目和向云端遷移的步伐，以支持遠(yuǎn)程員工和客戶。Gartner研究公司的副總裁Jeffrey Wheatman表示，這已“導(dǎo)致人們的風(fēng)險(xiǎn)偏好發(fā)生了非常顯著的變化，并促使CIO和CISO更緊密地聯(lián)系在一起。”

Wheatman表示，現(xiàn)在還需要一種共生的關(guān)系，因?yàn)椤叭缃穸聲?huì)在網(wǎng)絡(luò)安全方面提出了更多的問題，有時(shí)提出了更到位的問題，而這促使CIO和CISO所講的故事或表述至少得相互一致?！?p>

CIO和CISO一致認(rèn)為，竭力實(shí)現(xiàn)人工流程和功能自動(dòng)化以提高效率，勢(shì)必需要更緊密的合作。保險(xiǎn)公司Markel的首席隱私和信息安全官Patricia Titus說：“無論匯報(bào)架構(gòu)如何，CIO和CISO在路線圖和戰(zhàn)略方面都必須步調(diào)高度一致。

安全現(xiàn)在具有戰(zhàn)略意義

CISO向CIO匯報(bào)工作時(shí)，情況并非總是如此。Wheatman說：“遺憾的是，一些CISO在CIO的領(lǐng)導(dǎo)下步履維艱，因?yàn)樗麄儼l(fā)現(xiàn)和需要解決的一些問題最終會(huì)使CIO更難完成工作。我認(rèn)為，CISO希望確保傳輸中的數(shù)據(jù)不應(yīng)該被那些不應(yīng)看到數(shù)據(jù)的人所看到，同時(shí)確保系統(tǒng)完整性以及安全和合規(guī)，因此這兩個(gè)職位在具體目標(biāo)上會(huì)存在一點(diǎn)分歧。”

他表示，好消息是，由于企業(yè)高管和利益相關(guān)者認(rèn)識(shí)到他們?nèi)找嬉蕾嚰夹g(shù)，這兩個(gè)職位之間的沖突比過去要少，會(huì)有更顯著的協(xié)同效應(yīng)。

安全這門學(xué)科也在日趨成熟。Wheatman說：“現(xiàn)在，安全已被更多視為一項(xiàng)戰(zhàn)略性工作，不像以前人們常說的：‘不，停下來，別做了。我們過去常將這種類型的CISO戲稱為‘否定博士（Dr. No）。現(xiàn)在這種情況比較少見了?！?p>

Wheatman補(bǔ)充道，當(dāng)CIO和CISO將彼此更多地視為伙伴和拍檔時(shí)，這就帶來了協(xié)同效應(yīng)。“如果我們看看物聯(lián)網(wǎng)和云計(jì)算之類的運(yùn)營技術(shù)相互融合，就認(rèn)識(shí)到這兩個(gè)角色要更加步調(diào)一致，而不是CIO把系統(tǒng)直接扔給對(duì)方，說：‘你要為我們已部署的這個(gè)系統(tǒng)確保安全?！?h3>CIO與CISO關(guān)系的演變

Markel公司的首席隱私和信息安全官PatriciaTitus和該公司的CIO Mike Scyphers已經(jīng)合作了近5個(gè)年頭，堪稱職場(chǎng)上的黃金搭檔。他們相互尊重，相互欣賞，談及對(duì)方則不吝溢美之辭。

Scyphers表示，由于消費(fèi)者技術(shù)數(shù)量激增，加上業(yè)務(wù)部門能夠自行啟用云服務(wù)，大家很容易專注于創(chuàng)新，“但卻未將安全考慮在內(nèi)”。他說自己與Titus的關(guān)系“很重要”，并說“如果沒有這種合作關(guān)系，部署技術(shù)我想都不敢想?！?/p>

Titus最初效力于IT部門，Scyphers表示自己“全力支持”她從IT部門跳出來。

Scyphers表示，他不喜歡扮演“好警察或壞警察”的角色，因此出現(xiàn)安全問題時(shí)，IT部門向安全團(tuán)隊(duì)求助，“以了解情況。如果他們有了解決辦法，我們就不用把時(shí)間浪費(fèi)在這上面了?！?/p>

軟銀投資顧問公司的CISO Gary Hayslip表示，人們長期以來一直認(rèn)為，CIO與CISO是對(duì)立的關(guān)系，一方向另一方匯報(bào)工作，抱著“你得照我說的做”這種態(tài)度。

Hayslip在職業(yè)生涯的早期擔(dān)任過CIO，后來轉(zhuǎn)任CISO崗位。他表示，他過去認(rèn)為CISO不應(yīng)該向CIO匯報(bào)工作。他解釋道：“CISO的工作是利用人員、流程和技術(shù)來管理風(fēng)險(xiǎn)，而CIO的工作是提供服務(wù)。兩者的視角全然不同。我們使用相同的資源，但處理問題的方式卻大相徑庭?！?/p>

Hayslip補(bǔ)充道，話雖如此，技術(shù)的IT堆棧和安全堆棧交織在一起，這就意味著兩個(gè)團(tuán)隊(duì)必須相互支持。

Hayslip向軟銀公司的技術(shù)和信息安全主管Wil Bolivar匯報(bào)工作，他表示，他們是“真正的好友”。他還向軟銀的首席財(cái)務(wù)官匯報(bào)工作。Hayslip表示，在之前的工作崗位上，他向一些“很優(yōu)秀的CIO”和CISO以及與他關(guān)系對(duì)立的其他人匯報(bào)工作。

Hayslip說：“有時(shí)候你會(huì)遇到這種CISO，他一味關(guān)注安全和風(fēng)險(xiǎn)，在安全和風(fēng)險(xiǎn)方面幾乎事事與你對(duì)立。這些CISO戰(zhàn)術(shù)性很強(qiáng)，但不善于與他人合作，他們認(rèn)為所有風(fēng)險(xiǎn)問題都必須立馬處理?！?/p>

Hayslip自詡是既有戰(zhàn)術(shù)性又有戰(zhàn)略性的CISO。“我將自己視為恰好負(fù)責(zé)網(wǎng)絡(luò)安全的業(yè)務(wù)高管，我必須與其他業(yè)務(wù)部門的同仁合作”，并向他們解釋安全的重要性。

Hayslip說：“要做到這一點(diǎn)，唯一的方法是，我不能站在他們的對(duì)立面，我得了解他們的工作方式、他們的需求、他們的主要客戶以及如何能為他們提供支持。我以這種方式來對(duì)待，結(jié)果頗受認(rèn)同?！?p>

他補(bǔ)充道，如果CISO一味注重戰(zhàn)術(shù)性，業(yè)務(wù)部門“對(duì)你的廢話很快就會(huì)不耐煩，隨后把你踢到一邊?！?/p>

Hayslip認(rèn)為，如果在小公司里，CISO只習(xí)慣于扮演救火隊(duì)長的角色，則沒有機(jī)會(huì)在職業(yè)生涯上獲得發(fā)展，一味注重戰(zhàn)術(shù)性是“不成熟的表現(xiàn)”。

匯報(bào)架構(gòu)

匯報(bào)架構(gòu)因企業(yè)而異，還可能因行業(yè)而異。Gartner的Wheatman表示，比如說，如果你從事金融服務(wù)行業(yè)，向首席財(cái)務(wù)官匯報(bào)工作往往更合理。而從事于運(yùn)輸、物流或零售行業(yè)的CISO極有可能向首席運(yùn)營官匯報(bào)工作。

他說：“我每年接到600通電話，可能其中80到100通電話是關(guān)于組織架構(gòu)的。一個(gè)根本問題是，CISO應(yīng)不應(yīng)該向CIO匯報(bào)工作？”Wheatman表示，他過去開展的研究發(fā)現(xiàn)，約1/3的受訪CISO表示，他們不屬于IT部門。

他表示，當(dāng)企業(yè)組織認(rèn)識(shí)到安全是業(yè)務(wù)問題而不是技術(shù)問題時(shí)，網(wǎng)絡(luò)安全常常被移到IT部門之外。“網(wǎng)絡(luò)安全是CIO的工作范疇時(shí)，每個(gè)人都認(rèn)為安全是個(gè)技術(shù)問題。這涉及到一些工具和技術(shù)，但網(wǎng)絡(luò)安全是運(yùn)營技術(shù)?！盬heatman表示，網(wǎng)絡(luò)安全的重心是支持業(yè)務(wù)流程以及法律和監(jiān)管要求?！岸@些都不是CIO或技術(shù)部門的問題?！?/p>

Wheatman表示，在他效力Gartner的14年期間，來自該公司安全會(huì)議的數(shù)據(jù)顯示，自稱是公司安全負(fù)責(zé)人的人當(dāng)中約35%并不向IT部門匯報(bào)工作?！暗F(xiàn)在不是這種情況了。”

甲骨文的客戶服務(wù)副總裁兼CISO Brennan Baybeck向業(yè)務(wù)部門負(fù)責(zé)人匯報(bào)工作，但他表示自己向CIO匯報(bào)工作已有7年了，整個(gè)過程很愉快。

Baybeck還是IT治理組織國際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）的董事會(huì)成員，他說：“我有幸與一位優(yōu)秀的CIO共事，他積極進(jìn)取，明白安全的重要性，并大力支持安全?！盉aybeck表示，他能夠從業(yè)務(wù)和IT的角度向這位CIO闡述和表明安全對(duì)公司戰(zhàn)略而言的重要性。為此，他“頻繁地向CIO匯報(bào)工作，通報(bào)情況，使他認(rèn)識(shí)到安全在如何助力我們的業(yè)務(wù)，并讓他了解安全態(tài)勢(shì)、風(fēng)險(xiǎn)和漏洞?！?/p>

Baybeck表示，他主動(dòng)定期與CIO碰面，不僅僅談?wù)摪踩?，還交流想法，共同探討如何通過安全服務(wù)使IT更卓有成效。

他說：“他后來提拔我進(jìn)入到其領(lǐng)導(dǎo)團(tuán)隊(duì)，這意味著我不僅可以在安全方面向高管們獻(xiàn)計(jì)獻(xiàn)策，還可以確保安全已融入業(yè)務(wù)和IT戰(zhàn)略中，并與它們密切相關(guān)。此外，我還可以為IT團(tuán)隊(duì)帶來價(jià)值?！?/p>

推動(dòng)安全工作占去了Baybeck大約75%的工作時(shí)間，他利用另外25%的時(shí)間來竭力獲取更多資源?！皩?duì)于我的許多同行而言，這個(gè)比例正好倒了過來，他們將大部分時(shí)間花在了爭(zhēng)取資源和解釋原由上?！?/p>

Hayslip認(rèn)為，CISO向CIO匯報(bào)工作是一件好事。這樣一來，“風(fēng)險(xiǎn)就更清晰可見，企業(yè)組織也能夠從戰(zhàn)略角度了解哪些環(huán)節(jié)的風(fēng)險(xiǎn)將得到管理，”他說。

他認(rèn)為，CIO和CISO應(yīng)并肩合作，應(yīng)該每周碰面，相互溝通。

新冠疫情影響

由于IT部門竭力支持遠(yuǎn)程辦公，而安全團(tuán)隊(duì)努力確保員工在遠(yuǎn)程接入網(wǎng)絡(luò)時(shí)身份得到了驗(yàn)證，并確保數(shù)據(jù)安全可靠，新冠疫情無疑促進(jìn)了彼此的支持。Hayslip說：“如果在目前我們所處的新冠疫情環(huán)境下，您的安全團(tuán)隊(duì)在沒有IT部門的支持下開展這項(xiàng)工作，你準(zhǔn)會(huì)抓狂?！?/p>

Hayslip特別指出，網(wǎng)絡(luò)邊緣已延伸到家庭。他說：“我有680名員工，因而我有680個(gè)網(wǎng)絡(luò)要操心，而不是只有一個(gè)網(wǎng)絡(luò)要操心。”

雖然克萊姆森大學(xué)的副校長兼CIO Russell Kaurloto與CISO Hal Stone 在新冠疫情之前就有著良好的工作關(guān)系，但他同樣認(rèn)為，疫情“鞏固了這層關(guān)系，并使我們更加緊密地分享信息、更加有效地進(jìn)行溝通?！?p>

克萊姆森大學(xué)之前有約1800名學(xué)生在網(wǎng)上遠(yuǎn)程學(xué)習(xí)，而去年3月，這個(gè)數(shù)字猛增至約26000名學(xué)生，外加4000名教職員工。Kaurloto說：“我每周都與CISO進(jìn)行面對(duì)面交流，不過他還參與每天的新冠病毒電話溝通，我們?nèi)嫦到y(tǒng)地介紹發(fā)生的情況?！?h3>CIO與CISO的和諧相處之道

Wheatman贊同Hayslip的觀點(diǎn)，他表示，鑒于數(shù)字化業(yè)務(wù)蔚然成風(fēng)，如果CISO向CIO說“你需要按我說的做，否則結(jié)果會(huì)怎樣”的話，只會(huì)適得其反。更應(yīng)該說“我們需要齊心協(xié)力，解決董事會(huì)、首席運(yùn)營官、首席執(zhí)行官或首席財(cái)務(wù)官認(rèn)為很重要的問題。這一幕會(huì)越來越常見?！?/p>

比如說，Wheatman曾與一家中型金融信用合作社的CISO合作，為其審計(jì)委員會(huì)制作一份演示文稿。他們草擬了該CISO的文稿，開頭列出了業(yè)務(wù)目標(biāo)，隨后列出了CISO為制訂網(wǎng)絡(luò)安全計(jì)劃所要采取的幾個(gè)步驟。Wheatman回憶道：“CIO拿過文稿說：‘我們必須要跟董事會(huì)談?wù)摪踩{和相關(guān)技術(shù)，但我已跟董事會(huì)談過了，他們對(duì)此根本不感興趣，也不明白其中的要點(diǎn)是什么?！?/p>

他們最后只好與CIO進(jìn)行三方通話，后者說：“瞧，這就是為什么這個(gè)想法不具有建設(shè)性。”雖然Wheatman不知道后來的結(jié)果如何，“但類似的場(chǎng)景仍然很常見。按理說，這些問題出現(xiàn)的概率應(yīng)該不到5%才對(duì)，但實(shí)際上可能是20～25%?！?/p>

Wheatman告訴安全負(fù)責(zé)人，他們要弄清楚如何講故事——不僅僅向自己的上司講故事，還要通過上司向他們的上司講故事。

他說：“我們常常沉迷于技術(shù)方面，最終純粹為了技術(shù)而談?wù)摷夹g(shù)，對(duì)業(yè)務(wù)價(jià)值、經(jīng)營收入、企業(yè)文化和風(fēng)險(xiǎn)管理的談?wù)搮s不夠深入?！?/p>

他表示，CISO們需要列出一套常見的參考術(shù)語。“我們使用諸如‘網(wǎng)絡(luò)安全、‘威脅、‘漏洞和‘風(fēng)險(xiǎn)之類的詞語。而我們使用這些術(shù)語缺乏一致性，因此需要以一致的方式向大家傳達(dá)參考框架。”

他們還要確保與業(yè)務(wù)目標(biāo)保持一致。Wheatman說：“這聽起來顯而易見，但在很多情況下并非如此。CIO們往往考慮較成熟，他們需要幫助CISO將傳達(dá)的信息提升到更高的層面?！彼麖?qiáng)調(diào)說，即使他們并非在所有事情上意見一致，但也需要步調(diào)合拍?！八麄冃枰型瑯拥拈L期愿景，但情況并非總是如此?！?/p>

Hayslip特別指出，造成摩擦的最大原因是預(yù)算問題。他表示，CIO將被告知需要削減預(yù)算，而CISO致力于設(shè)法加強(qiáng)網(wǎng)絡(luò)安全計(jì)劃，并管理風(fēng)險(xiǎn)。

“十有八九這歸結(jié)為他們的優(yōu)先事項(xiàng)不一樣?！盚ayslip表示，他發(fā)現(xiàn)，如果溝通渠道保持暢通，CIO與CISO每周碰面，即使僅僅交談半小時(shí)，向?qū)Ψ教峁┳钚滦畔?，雙方也會(huì)了解很多情況。

他說：“CIO將讓您得以深入了解公司的人事紛爭(zhēng)，從而使你對(duì)公司的問題或業(yè)務(wù)在發(fā)生怎樣的轉(zhuǎn)變有一番清晰的認(rèn)識(shí)?！边@樣一來，他們可以一起商量，搞清楚可以從哪些方面節(jié)約成本。

他表示，如果CIO和CISO相互交談，就不會(huì)發(fā)生令人吃驚的事?！拔野l(fā)現(xiàn)，如果我們這么做，雙方可以極好地通力合作?！?/p>

Baybeck同樣認(rèn)為，促進(jìn)關(guān)系和建立合作是關(guān)鍵所在。“CISO應(yīng)努力成為CIO眼里值得信賴的顧問，甚至可以預(yù)料CIO的需求，并告知對(duì)方在安全風(fēng)險(xiǎn)方面可能想都不會(huì)想到的問題或機(jī)會(huì)?！?/p>

所有CIO和CISO都一致認(rèn)為，相互尊重可能是確保良好關(guān)系的最重要因素。

克萊姆森大學(xué)的Kaurloto說：“從一開始，就要相互了解……我們每天要實(shí)現(xiàn)和保持的目標(biāo)是什么。這是關(guān)鍵。第二個(gè)方面就是建立一種相互尊重的密切關(guān)系。你們不會(huì)總是得到同樣的結(jié)果，也不會(huì)始終保持一致。但如果相互尊重，你們會(huì)找到那個(gè)共同點(diǎn)。”

他補(bǔ)充道，還需要全面的透明度?！叭绻霈F(xiàn)你言行不一致的情況，就無法獲得CISO的尊重和理解。你總體上能否取得成功，和你的CISO有很大關(guān)系。如果你們沒有良好的關(guān)系和真正的透明度，就會(huì)摩擦不斷?！?/p>

Markel的Scyphers表示，他和Titus專注于業(yè)務(wù)成果，而不是安全或IT問題。“我們倆都利用自己的專長來支持這一點(diǎn)。Patti是出類拔萃的專業(yè)人士……我鼓勵(lì)建立這種信任。這至關(guān)重要?！?/p>

至于Titus，她表示互相激勵(lì)很重要，“那樣的話，最終你們會(huì)有一致的立場(chǎng)。你們能關(guān)起門來解決問題?！?/p>

她表示：“致力于這種合作關(guān)系很重要，雙方可能都需要做出讓步，以實(shí)現(xiàn)這一共同目標(biāo)。我們?cè)谌绾螌?shí)現(xiàn)目標(biāo)上可能存在一點(diǎn)分歧，但到頭來，我們會(huì)攜手跨過終點(diǎn)線?！?/p>

就像任何美滿的婚姻一樣。

本文作者Esther Shein是IDG的特約撰稿人，這位新聞?dòng)浾咴跒閭鹘y(tǒng)媒體和互聯(lián)網(wǎng)撰稿和編輯方面有著豐富的經(jīng)驗(yàn)，側(cè)重于商業(yè)和技術(shù)以及教育和一般內(nèi)容的專欄文章。

原文網(wǎng)址

https：//www.cio.com/article/3601471/perfect-strangers-how-cios-and-cisos-can-get-along.html？nsdr=true