对立与协作——CIO与CISO间的关系

攻防
3月前

20240606114406.png

由于竞争压力和优先事项不同,CIO和CISO常常发现自己处于对立状态。了解紧张情绪的起因以及你的合作伙伴如何运作,对于维持一种富有成效的伙伴关系至关重要。

CIO和CISO在高压力环境中工作,这有时会给他们的关系带来额外的压力,进一步扰乱他们实现有益成果的注意力。

在我的职业生涯中,我曾担任过CIO和CISO,因此我亲身经历了这个问题的两个方面。化解局势,使关系对双方都可行、健康和尊重,可能具有挑战性,尤其是对CISO来说,他们通常向CIO汇报。这需要理解对方角色的压力和优先事项,以及你的合作伙伴如何开展工作。

关系紧张的成熟企业 


要理解CIO和CISO之间为什么存在自然的摩擦,必须考虑每个角色的压力和优先事项。

CIO所负责的工作内容多种多样,所有这些活动都需要关注,并在执行管理层和董事会中具有高可见性,他们希望看到CIO把控IT发展进程。

IT发展进程——也就是CIO存在的理由——是通过使用技术促进业务转型和增长。公司各处的关键利益相关者要求提供技术驱动的变革和积极的客户体验,CIO的评判标准不仅是提供这些新的数字解决方案,还要确保运营流程不受中断或服务中断的影响。

与此同时,CISO的任务是保护企业免受外部威胁。是的,CIO也关心这一点,但他们在确保企业的安全性时也面临着来自业务利益相关者的压力。

这些权衡是与CISO的职责相交的痛点,凸显了双方的冲突优先事项。随着时间的推移,这些情况——以及它们是如何处理和解决的——可能导致双方之间真正的摩擦。这种摩擦可能是公开的,在公众面前爆发,或者是隐蔽的,从其他同事或CIO/CISO自己那里更难以察觉。

CIO和CISO常见的压力点 


在每一个成熟的企业中,风险不得不被暂时接受,而补救措施则被推迟。漏洞修补是CIO和CISO之间可能产生紧张关系的一个例子。

在高度关键的漏洞被利用的情况下,CISO希望立即应用补丁,CIO很可能与这种紧迫性保持一致。但对于中等级别的补丁,CIO可能会受到推迟这些对生产系统的干扰的压力,并可能推迟CISO等待一周甚至几个月再进行修补。

对于影响客户体验的程序,也存在同样的紧张关系。例如,新的多因素身份验证功能需要新的客户通信,可能还需要与渠道相关的短期中断,这可能是业务难以接受的。

或者CIO和工程团队可能正在与业务部门合作,通过API平台开发新客户功能。从CISO的角度来看,这些API必须得到适当的管理,甚至需要进行渗透测试,以确保它们不会创建意外的数据丢失暴露点。CISO希望应用更多的控制,但CIO虽然原则上同意,但也必须通过确保功能交付来满足利益相关者,通常时间窗口很短。

事件管理是另一个容易产生紧张关系的领域。当发生严重的网络或业务中断事件时,CISO扮演领导角色,通常是分享坏消息的“信使”。自然地,CIO希望立即被告知,但通常细节很少,未知数很多。这可能会让CISO在CIO面前看起来不好,因为在早期阶段通常问题比答案多。

第五个例子是DevOps,因为我本人也倡导快速交付。不幸的是,没有那么多CIO倡导DevSecOps将网络安全测试嵌入到过程中。这可能是因为CIO通常面临着来自执行利益相关者的压力,要求发布新的软件功能,因此接受了这些不够完备的迭代的风险。与此同时,没有那么多CISO来自软件开发背景,因此通常不舒服参与和挑战这个过程。

不同类型的CIO和CISO如何协作 


上述摩擦领域与CIO和CISO的个性无关,这是另一个可能导致关系进一步紧张的不兼容问题。

CIO和CISO可能通过不同的职业道路到达他们的职位,并且可能对他们的工作有不同的方法。这些结果的原型自然地更好地一起工作,而其他原型可能会发生冲突。

我的建议是考虑你的对手如何工作,他们的自然风格是什么,以及你可能如何以不同的方式处理潜在的压力点。例如,一个商业CIO或合作CIO将把利益相关者的参与视为成功的关键。如果与技术CISO或转型CISO配对,可能会有一些方法上的不匹配。

如何管理这种紧张关系 


如果你发现自己处于CIO-CISO紧张关系加剧的场景中,或者你认识到你的方法存在自然的分歧,CIO和CISO都认识到这个问题并努力解决他们之间的差异是很重要的。

在这些情况下,最好坐下来讨论如何尊重地一起工作,同时考虑到业务目标。一些建议的原则包括:

(1)采取公司第一的态度。
(2)理解所有提议行动的业务利益。 
(3)以事实为驱动。 
(4)透明和诚实,但永远不要冒犯。
(5)寻找双赢

如果双方都没有致力于实现变革,这种方法可能不起作用。如果是这种情况,那么可能需要重置,引入第三方或独立教练来帮助促进关系。希望这个重置可以通过一些小的调整来完成,而不需要一方或双方放弃并离开。

CIO和CISO在日常工作中需要一定程度的紧张感。但这必须得到管理,以防止它变成冲突,导致产生负面影响。那将是双方的双输,对整个企业来说也不是一个好结果。

* 本文为金东东编译,原文地址:https://www.cio.com/article/2112584/reducing-cio-ciso-tension-requires-recognizing-the-signs.html
图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。

— 【 THE END 】—