12个CISO-CIO关系破裂的信号——以及修复步骤
一位CISO的成功,取决于与CIO之间协调一致、富有韧性的伙伴关系。以下是如何判断你们的关系已受损并需要有意修复的方法。
尽管安全部门与IT部门需要协作,但CISO与CIO之间的关系并不总是和谐的。而且这并非新上任的CISO在尝试站稳脚跟时遇到的问题,正如高德纳的研究发现,虽然经验不足两年的CISO中约有三分之一报告与CIO在关键安全领域存在冲突,但有五年以上经验的CISO中,有一半在大多数相同领域报告存在冲突,包括提升组织的网络弹性和协商企业网络风险偏好。
冲突可能是CIO-CISO关系破裂的一个信号,但并非总是如此。
事实上,根据研究员、经验丰富的管理者和高管顾问的说法,其他迹象可能更能表明CIO和CISO没有协调一致地工作。
问题迹象
安全领导者和顾问向CISO们提供了以下迹象,表明他们与CIO同事的关系可能存在值得解决的问题:
- CIO经常无视或推翻CISO的建议和决策。 科技公司Transcend的常驻CISO、UnitedHealth Group前CISO Aimee Cardwell表示,这种情况经常表现为CIO说:“感谢您的意见,但我们还是会按我们想要的方式去做。”
- CIO和CISO无法解决冲突。 冲突对推动组织前进可能是有益的。观点和意见的多样性可以为高层管理者提供新的可能性和妥协机会,从而从整体上使组织受益。但如果CIO和CISO无法解决分歧,只能将争议升级到更高级别的管理者,那么可能正在形成根本性问题。“你们是并肩作战还是针锋相对?因为如果你们针锋相对,那就说明存在错位,” Cardwell说。高德纳的研究指出,87%的经验丰富的CISO在解决冲突方面将其与CIO的关系描述为“良好”或“优秀”。高德纳的李表示,这一数据表明冲突本身并不意味着关系有问题。相反,“无法取得进展或达成一致才是CIO-CISO关系破裂的标志,”她说。
- CIO不分享信息。 “这是一个巨大的危险信号,” Transcend的Cardwell说。
- CIO更改或阻止CISO向董事会传达的信息。 CISO不能定期直接向董事会汇报已经够成问题了,但Cardwell说,当CIO更改CISO认为董事会需要了解的信息时,情况就更令人担忧了。“这超出了‘你可以用更好的方式措辞’或‘你可以用更好的方式讲述这个故事’这类建议的范围。这不是CIO的辅导。这是在削减需要被强调的事实,或是做出可能给你作为CISO带来真正道德问题的更改,”她解释道。
- CIO在其他方面破坏CISO在董事会和其他高管面前的议程。 “如果CIO积极破坏CISO的可信度和意见,如果CIO调解CISO与董事会和管理团队之间的每一次对话,那不是一个好迹象,” 李说。这里的麻烦还包括CIO未能在重要会议上以及组织整体IT战略中倡导CISO的优先事项。
- 涉及IT的业务计划未咨询CISO。 任何IT计划上的真正伙伴关系都应该是CIO和CISO从第一步就开始合作。但如果CISO在流程后期才发现重要的技术计划,或者只有通过提出探究性问题才知道,那么是时候重置关系了。“如果有人提到一个新项目、供应商或迁移,而CISO对此一无所知,那就有问题了,因为你是在之后才‘补上’安全措施,” 软件公司RegScale的CISO Dale Hoak说。“在良好的关系中,不会有意外,因为你们在进行持续的对话并共享仪表板。”
- 没有一对一的对话。 LevelBlue的CIO Maria Cardow表示,仅通过电子邮件、小组会议或在CIO和CISO下属之间(假设信息会向上传递)共享信息的CIO和CISO之间没有良好的关系。“我们面前有太多信息,不能不直接交谈;定期和临时的对话是无可替代的,”她说。
- CIO和CISO不了解对方的优先事项、挑战、战略等。 “作为CIO,我应该清楚了解我的CISO关心什么,CISO也应该知道我的世界里发生了什么,” Cardow说。
- CISO和CIO在谁应该做什么工作上发生冲突。 一个类似的麻烦迹象是,一方将共同负责领域的不足归咎于另一方。
- 一方购买的技术功能,另一方已经具备。 这种关系问题的迹象是双向的,但一个相关的问题是CIO命令CISO必须购买哪些产品或必须使用哪些供应商或服务提供商。“在某些情况下,这些可能是安全的正确答案,但在某些情况下可能不是正确答案,” 安永美洲网络安全能力负责人Ayan Roy说。“但仅仅是被告知意味着没有进行正确的分析。CIO应该给CISO选择合适解决方案的自由度;CISO需要能够进行评估并做出正确的选择。”
- CIO不优先处理网络卫生。 这里最常见的一个表现是未能或放弃修补安全团队已识别并优先要求修复的漏洞。
- 技术产品经常发布时带有安全缺陷或控制缺口。 “那么问题就是,‘为什么我们在产品设计生命周期中没有发现这一点?’答案通常是IT与安全之间协作不力,” 全球支付和外汇公司Convera的CISO Sara Madden说。
CIO-CISO关系的重要性
咨询公司Apogee Global RMS的创始人兼首席顾问、Google Cloud CISO办公室前总监MK Palmore表示,CIO和CISO需要建立牢固的关系,他们中的任何一方才能成功。“这两个职位上的人和睦相处至关重要,而且他们不仅要友好,还要协作,”他说。是的,他们各有各的领域和任务目标,但现实是,离开另一方,任何一方都无法完成工作。“所以他们必须相互依赖,并且必须认识到他们必须相互依赖。”
此外,不仅是CIO和CISO在他们不友好和不协作时会受到影响。Palmore和其他专家表示,糟糕的CIO-CISO关系也会对他们的部门乃至整个组织产生负面影响。
“紧张的CIO-CISO关系通常表现为目标、优先事项甚至沟通上的不一致,” Booking.com的CSO Marnie Wilking说。“当技术和安全负责人步调不一致时,从错过的项目截止日期到增加的漏洞,都会在运营和结果中清晰体现出来。”
多种因素可能导致关系紧张。
首先,安全部门有时仍然被视为——并且表现得像——一个“否定”部门,Cardwell说。“CIO从来没有说‘不’的特权。CIO的工作是实现企业试图达成的目标。所以CISO也需要有这种心态:‘企业想做这件事,我的工作是弄清楚如何让这成为可能,’”她解释道。
即使安全部门表现得不像“否定”部门,Cardwell说,CISO也可能花了太长时间才表示“同意”。“根据问题是什么,有一百种方法可以快速解决问题,”她说。“作为CISO,我喜欢提供多种具有不同价格点和时间表的解决方案,并列出优缺点和安全评分,从最快上线或最不安全到最安全但时间线更长,为CIO和企业提供选择。”
关系不佳的另一个原因:有时CIO没有足够重视安全。“也许CISO只考虑安全,而没有考虑作为业务推动者;或者也许CIO根本不考虑安全,只专注于业务推动,” Palmore说。
在其他情况下,CIO希望严格控制所有IT事务,并将安全排除在外——反之亦然。“一些安全领导者认为他们独自拥有安全权,结果发现自己孤悬岛上,没有回家的船,” 托管安全服务提供商LevelBlue的首席安全与信任官Kory Daniels说。
专家表示,可能导致CIO-CISO关系不佳的其他因素更具结构性。
可能是组织没有明确界定每个职位的职责。“当角色和职责没有明确定义时,责任的重叠或空白会产生不必要的风险,” Wilking说。
或者可能是组织的资金流程使他们成为“争夺同一美元的对手”,Cardow说。
这些问题大多源于Wilking所说的“缺乏共享背景和企业风险的一致性”。“CIO通常以正常运行时间、可扩展性和敏捷性为衡量标准,而CISO则专注于保护数据、确保合规性和降低威胁。如果没有对这些优先事项如何交叉的统一看法,两者可能显得对立,”她解释道。“网络安全常常被当作守门员,而不是真正的合作伙伴。团队合作最终变得交易性而非协作性。在Booking.com,我们强调从一开始就将网络安全嵌入业务战略,确保它成为每次关于产品设计、数据和客户信任对话的一部分。”
如何改善糟糕的关系
CIO和CISO都有动力去改善有问题关系。
正如李所解释的,“CIO-CISO关系至关重要。他们必须有效合作,以实现组织的技术和网络安全目标。所有技术都伴随着可能影响技术成功实施和业务结果的网络安全风险;这就是为什么CIO必须关心网络安全。而CISO必须知道,网络安全的存在是为了实现业务成果。因此,他们必须共同努力以实现彼此的优先事项。”
CISO可以采取步骤与他们的CIO建立更好的关系,利用当今发生的颠覆——无论是来自AI还是经济的不确定性——作为机会来检查、重置关系,并解决阻碍协作的任何问题。
CISO可以采取的步骤包括:
- 与CIO以及C级高管和董事会就组织的风险立场达成一致。
- 确保安全与组织的战略及其IT路线图保持一致。Transcend的Cardwell表示,CISO重要的是要思考:“CIO这里有个很棒的计划。我想找到如何让它变得安全的方法。”
- 明确CIO和CISO的职责。“你需要明确划分界限,” LevelBlue的Daniels说。
- 将与CIO的定期和临时直接沟通作为优先事项。
- 注重关系管理。“沟通,愿意会面,让团队会面,建立信任,” Daniels说。
- 寻求理解CIO的优先事项、激励因素和挑战,并分享你的。“想办法换位思考,” Daniels补充道。
- 转向业务赋能思维。“不要以‘不’开头,而是以‘我们如何安全地达成目标’开头,” RegScale的CISO Hoak说。