Box公司的首席信息官對如何將傳統(tǒng)上首席信息官(CIO)和首席安全信息官(CISO)具有爭議的關(guān)系轉(zhuǎn)變?yōu)楦邊f(xié)作性和有效性關(guān)系的技巧進(jìn)行了分享。

首席信息官(CIO)的角色與首席信息安全官(CISO)的角色之間存在著天然的競爭關(guān)系。盡管首席信息官(CIO)希望更好地利用和實施新服務(wù)，但首席信息安全官(CISO)的目標(biāo)是找出為什么不使用某些服務(wù)的安全風(fēng)險。

[[316581]]

這實際上是一種補充性的競爭關(guān)系，應(yīng)該導(dǎo)致健康的決策過程，在需求與風(fēng)險之間取得平衡。但實際上，他們之間的摩擦通常是不可避免的。安全計劃和解決方案增加了一些人認(rèn)為已經(jīng)太復(fù)雜的體系結(jié)構(gòu)的復(fù)雜性、開銷和摩擦。由于安全措施而導(dǎo)致訪問過程和性能降低，這通常使員工以及希望為其員工提供無縫功能的IT組織感到沮喪。

如何建立有效的首席信息官(CIO)/首席安全信息官(CISO)關(guān)系

如今，從企業(yè)員工到董事會成員，風(fēng)險管理和安全已成為企業(yè)各個層面的頭等大事。眾所周知，安全漏洞可能對企業(yè)及其聲譽造成災(zāi)難性影響，在美國，每次事件的平均成本估計超過800萬美元。在這種情況下，使用IT服務(wù)的員工以及負(fù)責(zé)這些服務(wù)的首席信息官(CIO)必須支持安全措施。

以下是有關(guān)如何將傳統(tǒng)上具有爭議的首席信息官(CIO)/首席安全信息官(CISO)關(guān)系轉(zhuǎn)變?yōu)楦邊f(xié)作性和有效性的5條規(guī)則。

1.確定共同目標(biāo)

這超出了合規(guī)性和數(shù)據(jù)安全性的一般性。首席信息官(CIO)/首席安全信息官(CISO)應(yīng)根據(jù)具體舉措確定共同的目標(biāo)。例如：大多數(shù)首席信息官(CIO)和首席安全信息官(CISO)都認(rèn)為降低復(fù)雜性是一個值得追求的目標(biāo)。解決這個問題的一種方法是在開發(fā)過程中從頭開始為應(yīng)用程序構(gòu)建安全性，而不是嘗試在以后添加或購買第三方解決方案來保護(hù)它們。這種方法可以通過更少的安全產(chǎn)品和更少的復(fù)雜性來提高安全性。通過合作實施內(nèi)置/不固定的策略，首席信息官(CIO)和首席安全信息官(CISO)都可以實現(xiàn)其目標(biāo)。

2.參與風(fēng)險承擔(dān)

首席信息官(CIO)和首席安全信息官(CISO)需要平等合作，并且都需要與首席執(zhí)行官(CEO)和企業(yè)董事會接觸。當(dāng)需要潛在高風(fēng)險的批準(zhǔn)時尤其如此，因為這兩個角色的優(yōu)先級相互沖突，因此該決策可能需要更高的權(quán)限。在向首席執(zhí)行官或董事會提出要求之前，首席信息官(CIO)和首席安全信息官(CISO)應(yīng)該調(diào)整并清楚闡明所有數(shù)據(jù)，以基于風(fēng)險的決策。最終，首席安全信息官(CISO)的工作是確定批準(zhǔn)者(企業(yè)所有者、首席執(zhí)行官或董事會)需要接受或拒絕的風(fēng)險級別。

3.建立明確的責(zé)任范圍

確切地約定由誰負(fù)責(zé)是避免業(yè)務(wù)各個領(lǐng)域出現(xiàn)摩擦的最可靠方法之一，并且在IT和安全團(tuán)隊之間定義清晰的決策框架(如DACI)也不例外。例如，大多數(shù)網(wǎng)絡(luò)安全決策將帶來超出安全性的影響，例如訪問步驟和用戶響應(yīng)時間。根據(jù)高管的專業(yè)知識范圍做出決策可能很有意義，但是對誰擁有最終決定權(quán)或前進(jìn)的決定有一個清晰的了解是非常重要的。

4.采取定量方法進(jìn)行風(fēng)險管理

企業(yè)面臨的風(fēng)險并不相同。當(dāng)服務(wù)和應(yīng)用程序爭奪安全資源時，量化盡可能多的潛在風(fēng)險和發(fā)生概率是有意義的。例如，如果工程組由于勒索軟件攻擊而無法工作一段時間，則這些損失的小時數(shù)可以計算為比減少事故風(fēng)險的投資更高的成本。這種基于數(shù)據(jù)的方法可以使有關(guān)安全資源的辯論更具合理性。

5.處理人際關(guān)系

許多首席信息官(CIO)和首席安全信息官(CISO)都具有豐富的技術(shù)和領(lǐng)導(dǎo)經(jīng)驗，通?？梢詮乃麄兊慕嵌葋砜创麄兊慕巧?。但是，他們做出的決策類型超出了技術(shù)上的考慮范圍，工作關(guān)系也是如此。首席信息官(CIO)和首席安全信息官(CISO)應(yīng)在各自的章程中達(dá)成一致，并努力開展其專業(yè)工作。

相互矛盾的觀點和角色之間的緊張關(guān)系是企業(yè)開展業(yè)務(wù)的重要組成部分，因此不應(yīng)阻止首席信息官(CIO)和首席安全信息官(CISO)解決問題和實現(xiàn)業(yè)務(wù)目標(biāo)的協(xié)同工作。