12个迹象表明CISO与CIO的关系已破裂——以及修复步骤
首席信息安全官(CISO)的成功,取决于其与首席信息官(CIO)之间稳固且目标一致的合作伙伴关系。以下是判断您们的关系是否已受损并需要有意修复的方法。
尽管安全与IT部门之间需要协作,但CISO与CIO的关系并非一切顺利。高德纳(Gartner)的研究发现,这不仅关乎新任CISO在寻找立足点:虽然不到两年经验的CISO中约三分之一报告在关键安全领域与CIO存在冲突,但有五年以上经验的CISO中,有一半在大部分相同领域(包括提升组织网络弹性和协商企业网络风险偏好)报告存在冲突。
高德纳网络安全研究团队的副总裁兼内容负责人Christine Lee表示,冲突可能是CIO-CISO关系破裂的一个迹象,但并非总是如此。
事实上,根据研究人员、经验丰富的高管和高管顾问的说法,其他迹象可能更能表明CIO和CISO未能协调一致。
麻烦的迹象
安全领导者和顾问向CISO们提供了以下迹象,表明他们与CIO同事的关系可能存在值得解决的问题:
-
CIO经常无视或推翻CISO的建议和决策。 科技公司Transcend的驻场CISO、联合健康集团前CISO Aimee Cardwell表示,这种情况通常表现为CIO说:“谢谢你的意见,但我们还是要按我们自己的想法去做。”
-
CIO和CISO无法解决冲突。 冲突对推动组织前进可能是有益的。观点和意见的多样性可以为高层管理者提供新的可能性和有利于组织整体的妥协机会。但如果CIO和CISO不将分歧升级到更高级别管理者就无法解决分歧,那么一个根本性问题可能正在生根发芽。“你们是肩并肩还是面对面?如果你们是面对面,那就说明存在错位,” Cardwell说。高德纳研究指出,87%的经验丰富的CISO在解决冲突方面将他们与CIO的关系描述为“良好”或“优秀”。高德纳的Lee表示,这个数字表明冲突本身并不意味着关系有问题。相反,“是无法取得进展或达成一致,这才是CIO-CISO关系破裂的迹象,”她说。
-
CIO不分享信息。 “这是一个巨大的危险信号,” Transcend的Cardwell说。
-
CIO篡改或阻止CISO向董事会传达的信息。 当CISO不能定期直接向董事会汇报时,问题已经够严重了,但Cardwell说,当CIO修改CISO认为董事会需要了解的信息时,情况更加令人不安。“这超出了‘你可以用更好的方式措辞’或‘你可以用更好的方式讲述这个故事’这类建议的范围。这不仅仅是CIO的指导。这是在删减需要被强调的事实,或是进行可能给你作为CISO带来真正道德问题的修改,”她解释道。
-
CIO在其他方面破坏CISO在董事会和其他高管面前的议程。 “如果CIO积极破坏CISO的可信度和意见,如果CIO调解CISO与董事会和管理团队之间的每一次对话,那都不是好迹象,” Lee说。这方面的问题还包括CIO未能在重要会议和组织整体IT战略中倡导CISO的优先事项。
-
涉及IT的业务计划不咨询CISO。 任何IT计划上的真正合作伙伴关系都应从第一步就看到CIO和CISO共同协作。但如果CISO在流程后期或仅通过提出试探性问题才发现重要的技术计划,那么就是时候重新设定这种关系了。“如果有人提到新项目、供应商或迁移,而CISO对此一无所知,那就有问题了,因为你是在事后才添加安全措施,”软件公司RegScale的CISO Dale Hoak说。“在良好的关系中,不会有意外,因为你们在进行持续的对话并共享仪表板。”
-
没有一对一的谈话。 LevelBlue的CIO Maria Cardow表示,仅通过电子邮件、小组会议或在CIO和CISO下属之间(假设信息会向上传递)分享信息的CIO和CISO之间没有健康的默契关系。“我们面前有太多信息,不能不直接相互交谈;定期和临时的对话是无法替代的,”她说。
-
CIO和CISO不了解彼此的优先事项、挑战、策略等。 “作为CIO,我应该清楚我的CISO关心什么,而CISO也应该知道我这边的情况,” Cardow说。
-
CISO和CIO在应由谁完成哪些工作方面发生冲突。 一个类似的麻烦迹象是,一方在双方共同负责的领域内,将不足之处归咎于另一方。
-
一方购买的技术的功能另一方已经具备。 这种关系问题的迹象双向存在,但一个相关的问题涉及CIO命令CISO必须购买的产品或必须使用的供应商或服务提供商。“在某些情况下,这些可能对安全来说是正确答案,但在某些情况下可能不是,”安永美洲网络安全能力负责人Ayan Roy说。“但仅仅被告知意味着没有进行正确的分析。CIO应该给予CISO选择正确解决方案的自由;CISO需要能够进行评估并做出正确的选择。”
-
CIO不优先考虑网络卫生。 这方面最常见的表现之一是未能或放弃修补安全团队已识别并优先考虑修复的漏洞。
-
技术产品经常在带有安全缺陷或控制缺口的情况下发布。 “问题在于,‘为什么我们在产品设计生命周期中没有发现这一点?’答案通常是IT和安全部门之间协作不力,”全球支付和外汇公司Convera的CISO Sara Madden说。
CIO-CISO关系的重要性
咨询公司Apogee Global RMS的创始人兼首席顾问、谷歌云CISO办公室前主任MK Palmore表示,CIO和CISO需要建立牢固的关系,任何一方才能成功。“这两个职位的人员必须和睦相处,不仅要有同事关系,还要有协作精神,这至关重要,”他说。是的,他们各自有自己的领域和一套任务与目标,但现实是,没有对方,任何一方都无法完成这些工作。“因此,他们必须相互依赖,并且都必须认识到他们必须相互依赖。”
此外,当CIO和CISO不和睦、不协作时,受影响的不仅仅是他们自己。Palmore和其他专家表示,糟糕的CIO-CISO关系也会对他们的部门和整个组织产生负面影响。
“紧张的CIO-CISO关系通常表现为目标、优先事项甚至沟通不一致,” Booking.com的CSO Marnie Wilking说。“当技术和安全领导者不同步时,从错过的项目截止日期到增加的漏洞,都会在运营和结果中显现出来。”
多种因素可能导致关系紧张。
首先,安全部门有时仍被视为——并且表现得像——“拒绝”部门,Cardwell说。“CIO永远没有说‘不’的奢侈。CIO的工作是实现业务想要做的事情。因此,CISO也需要有这种心态:‘业务想做这件事,我的工作是找出如何使其成为可能,’”她解释道。
即使安全部门不表现得像“拒绝”部门,Cardwell说,CISO也可能花了太长时间才说“可以”。“根据问题是什么,有一百种方法可以快速解决问题,”她说。“作为CISO,我喜欢提供几种具有不同价格点和时间表的解决方案,附带优缺点和安全评分,从最快上线(或安全性最低)到最安全但时间较长,以便给CIO和业务提供选择。”
关系不佳的另一个原因是:有时CIO对安全性的重视程度不够高。“可能CISO只考虑安全,而不考虑业务推动;或者可能CIO根本不考虑安全,只关注业务推动,” Palmore说。
在其他情况下,CIO希望对所有IT事务进行严格控制,并将安全排除在外——反之亦然。“一些安全领导者认为他们独自拥有安全,结果发现自己置身孤岛,没有船可以回家,”托管安全服务提供商LevelBlue的首席安全与信任官Kory Daniels说。
专家表示,导致CIO-CISO关系不佳的其他因素更多是结构性的。
可能是组织没有定义每个职位的职责。“当角色和职责没有明确定义时,责任的重叠或空白会产生不必要的风险,” Wilking说。
或者可能是组织的资金分配流程使他们成为“争夺同一笔资金的对手”,Cardow说。
这些问题很多源于Wilking所说的“缺乏共同背景和企业风险认知的一致性”。“CIO通常以正常运行时间、可扩展性和敏捷性来衡量,而CISO则专注于保护数据、确保合规性和减轻威胁。如果没有对这些优先事项如何交叉的统一认识,两者可能会显得对立,”她解释道。“网络安全常常被视为看门人,而不是真正的合作伙伴。团队合作最终变得像是交易性的,而不是协作性的。在Booking.com,我们强调从一开始就将网络安全嵌入业务战略,确保它成为有关产品设计、数据和客户信任的每一次对话的一部分。”
如何改善不良关系
CIO和CISO都有动力去改善有问题的关系。
正如Lee解释的那样:“CIO-CISO关系至关重要。他们必须有效合作,以实现组织的技术和网络安全目标。所有技术都伴随着可能影响技术成功实施和业务结果的网络安全暴露;这就是为什么CIO必须关心网络安全。而CISO必须明白,网络安全的存在是为了实现业务成果。因此,他们必须共同努力实现彼此的优先事项。”
CISO可以采取措施,与他们的CIO建立更好的默契,利用当今发生的颠覆——无论是来自AI还是经济的不确定性——作为一个机会来检查关系、重置关系,并解决阻碍协作的任何问题。
CISO的步骤包括:
- 与CIO以及C级高管和董事会成员就组织的风险立场建立共识。
- 确保安全与组织的战略及其IT路线图保持一致。Transcend的Cardwell说,CISO思考“CIO这里有一个很棒的计划。我想找出如何使其安全”这一点很重要。
- 明确CIO和CISO的职责。“你们需要明确界限在哪里,” LevelBlue的Daniels说。
- 将定期和临时的直接与CIO沟通作为优先事项。
- 专注于关系管理。“沟通,愿意会面,让团队会面,建立信任,” Daniels说。
- 寻求了解CIO的优先事项、激励因素和挑战,并分享你的。“想办法设身处地为对方着想,” Daniels补充道。
- 转变为业务推动的心态。“与其以‘不行’开头,不如以‘我们如何安全地实现目标’开头,” RegScale的CISO Hoak说。