CIO和CISO在高壓環(huán)境中工作，這種環(huán)境有時會給他們的關(guān)系帶來額外的壓力，進一步分散他們實現(xiàn)有利成果的注意力。

在我的職業(yè)生涯中，我曾擔(dān)任過CIO和CISO，所以我從兩個角度親身體驗過這個問題。緩和局勢，使關(guān)系對雙方都可行、健康和尊重是一項挑戰(zhàn)，尤其是對于那些通常向CIO報告的CISO來說，這需要理解對方角色的壓力和優(yōu)先事項，以及你的合作伙伴如何運作。

容易產(chǎn)生緊張的關(guān)系

要理解為什么CIO和CISO之間自然存在摩擦，必須考慮各自的壓力和優(yōu)先事項。

CIO的角色涉及大量需要關(guān)注的活動，并且在執(zhí)行管理層和董事會面前有很高的可見度，他們希望看到CIO掌握IT議程。

這個議程——CIO的存在理由——是通過技術(shù)的使用推動業(yè)務(wù)轉(zhuǎn)型和增長。公司內(nèi)部的主要利益相關(guān)者要求交付技術(shù)驅(qū)動的變革和積極的客戶體驗，而CIO的評判標(biāo)準(zhǔn)不僅在于交付這些新的數(shù)字解決方案，還在于確保運營過程不受停機或服務(wù)中斷的影響。

同時，CISO的任務(wù)是保護企業(yè)免受外部威脅，CIO也關(guān)心這一點，但他們在涉及保護企業(yè)的權(quán)衡取舍時面臨來自業(yè)務(wù)利益相關(guān)者的壓力。

這些權(quán)衡取舍是CISO職責(zé)范圍內(nèi)的關(guān)鍵點，突顯了雙方的優(yōu)先事項沖突。隨著時間的推移，這種情況以及它們的處理和解決方式，可能導(dǎo)致雙方之間的實際摩擦，這種摩擦可能是公開的，甚至在公眾面前爆發(fā)，或者是隱性的，更隱蔽在同事或CIO/CISO本身的關(guān)系中。

常見的CIO和CISO之間的壓力點

在每個成熟的企業(yè)中，風(fēng)險都必須暫時接受，補救措施被推遲。漏洞修補是CIO和CISO之間可能出現(xiàn)緊張關(guān)系的一個例子。

在被利用的高度關(guān)鍵漏洞的情況下，CISO會希望立即應(yīng)用補丁，而CIO可能也會同意這種緊迫性，但對于中等級別的補丁，CIO可能會面臨推遲這些對生產(chǎn)系統(tǒng)的干擾的壓力，并可能要求CISO等一周甚至幾個月再進行修補。

同樣的緊張關(guān)系也存在于影響數(shù)字客戶體驗的項目中。例如，新的多因素身份驗證功能需要新的客戶溝通，并且可能會暫時擾亂渠道，這可能是業(yè)務(wù)難以接受的。

或者，CIO和工程團隊可能正在與業(yè)務(wù)部門合作，通過API平臺提供新的客戶功能。從CISO的角度來看，這些API必須妥善管理，甚至需要進行滲透測試，以確保它們不會成為意外的數(shù)據(jù)丟失途徑。CISO會希望應(yīng)用更多控制，但CIO在原則上同意的同時，也必須通過確保在短時間內(nèi)交付功能來滿足利益相關(guān)者。

事件管理是另一個容易產(chǎn)生緊張的領(lǐng)域。在發(fā)生嚴重的網(wǎng)絡(luò)或業(yè)務(wù)中斷事件時，CISO有領(lǐng)導(dǎo)作用，并且通常是分享壞消息的“信使”。自然，CIO希望立即被通知，但通常細節(jié)很少，存在許多未知數(shù)。在這種早期階段，CISO可能會在CIO面前顯得不利，因為通常有更多問題而不是答案。

第五個例子是DevOps，許多CIO，包括我自己，倡導(dǎo)快速持續(xù)交付。不幸的是，并不是所有的CIO都倡導(dǎo)在過程中嵌入網(wǎng)絡(luò)安全測試的DevSecOps，這可能是因為CIO通常面臨來自執(zhí)行利益相關(guān)者的壓力，要求發(fā)布新的軟件版本，因此接受在不完美的情況下可能需要進行一些迭代的風(fēng)險。與此同時，并不是許多CISO來自軟件開發(fā)背景，因此通常不習(xí)慣于參與和挑戰(zhàn)這個過程。

不同類型的CIO和CISO之間的互動

上述摩擦領(lǐng)域與CIO和CISO的個性無關(guān)，這是另一個可能給關(guān)系帶來額外壓力的不兼容問題。

CIO和CISO可能通過不同的職業(yè)路徑達到他們的位置，并且可能對他們的工作有不同的方法。一些由此產(chǎn)生的原型自然更能一起工作，而另一些則可能發(fā)生沖突。

我的建議是考慮你的對手如何運作，他們的自然風(fēng)格是什么，以及你可能如何以不同的方式處理潛在的壓力點。例如，業(yè)務(wù)型CIO或合作型CIO會將利益相關(guān)者的參與視為成功的關(guān)鍵。如果與技術(shù)型CISO或變革型CISO配對，可能會在方法上存在一些不匹配。

如何管理這種緊張關(guān)系

如果你發(fā)現(xiàn)自己處于CIO和CISO緊張關(guān)系加劇的情景中，或者你認識到彼此方法上的自然分歧，重要的是CIO和CISO雙方都承認這個問題并共同努力解決分歧。

在這些情況下，最好坐下來討論如何在尊重和考慮業(yè)務(wù)目標(biāo)的前提下一起工作。一些建議的原則包括：

• 采用公司至上的態(tài)度。
• 理解所有建議行動的業(yè)務(wù)利益。
• 以事實為驅(qū)動。
• 保持透明和誠實，但絕不冒犯。
• 尋找雙贏的解決方案。

如果雙方不致力于實現(xiàn)變革，這種方法可能無效。如果是這樣，那么可能需要重置，邀請第三方或獨立教練來幫助促進關(guān)系。希望這種重置可以通過一些小調(diào)整來實現(xiàn)，而無需一方或雙方放棄并退出。

適度的緊張對CIO和CISO在日常工作中是有益的，但這種緊張必須得到管理，以免演變成非生產(chǎn)性的沖突，沖突對整個業(yè)務(wù)來說也不是一個好的結(jié)果。