如何化解CISO和CIO之間安全與IT領(lǐng)導(dǎo)力的沖突
在企業(yè)中,CISO和CIO扮演著至關(guān)重要的角色,然而,他們的優(yōu)先事項(xiàng)卻常常產(chǎn)生分歧,導(dǎo)致合作中的摩擦。本文將探討CISO與CIO之間的沖突根源,并提出一系列合作策略,助力兩者攜手推動(dòng)企業(yè)的韌性增長(zhǎng)。
CISO和CIO之間的關(guān)系一直復(fù)雜多變。雖然這兩個(gè)角色對(duì)于企業(yè)的成功都至關(guān)重要,但他們的優(yōu)先事項(xiàng)卻常常使他們產(chǎn)生分歧。CIO關(guān)注IT效率、創(chuàng)新和業(yè)務(wù)支持,而CISO則優(yōu)先考慮安全、風(fēng)險(xiǎn)管理和合規(guī)性。這些不同的目標(biāo)可能導(dǎo)致摩擦,但如果采用正確的策略,它們可以協(xié)同一致,共同打造一個(gè)更強(qiáng)大、更具韌性的企業(yè)。
沖突根源
CISO和CIO之間的緊張關(guān)系往往源于以下關(guān)鍵領(lǐng)域:
目標(biāo)沖突——CIO確保IT運(yùn)營(yíng)順暢,并采用新技術(shù)推動(dòng)業(yè)務(wù)成功,而CISO則必須減輕網(wǎng)絡(luò)風(fēng)險(xiǎn),這有時(shí)會(huì)拖慢IT項(xiàng)目進(jìn)度或增加額外的合規(guī)步驟。
預(yù)算和資源分配——IT預(yù)算往往傾向于運(yùn)營(yíng)改進(jìn),而安全投資則可能被視為一種成本,而非收入推動(dòng)因素。這可能導(dǎo)致在優(yōu)先級(jí)上產(chǎn)生分歧。
匯報(bào)結(jié)構(gòu)——在許多企業(yè)中,CISO向CIO匯報(bào),這可能形成一種層級(jí)結(jié)構(gòu),使安全被視為IT運(yùn)營(yíng)的次要關(guān)注點(diǎn)。
安全與速度——CIO優(yōu)先考慮敏捷性和數(shù)字化轉(zhuǎn)型,而CISO則強(qiáng)調(diào)安全控制,這有時(shí)會(huì)拖慢新技術(shù)的推出速度。
溝通鴻溝——IT和安全團(tuán)隊(duì)之間缺乏共同語(yǔ)言可能導(dǎo)致對(duì)風(fēng)險(xiǎn)和業(yè)務(wù)需求產(chǎn)生誤解。
LogicGate的CISO尼克·凱瑟琳(Nick Kathmann)告訴記者:“盡管有時(shí)CISO和CIO的優(yōu)先級(jí)不同,但當(dāng)他們攜手合作時(shí),預(yù)算分配會(huì)增加,內(nèi)部流程會(huì)簡(jiǎn)化,外部利益相關(guān)者也會(huì)對(duì)企業(yè)的安全狀況更有信心。從項(xiàng)目初期就與CISO合作的CIO,在項(xiàng)目進(jìn)展過(guò)程中往往會(huì)遇到更少的摩擦?!苿?dòng)目標(biāo)柱’是CIO必須應(yīng)對(duì)的一個(gè)常見問(wèn)題,但與能夠有效溝通、有明確標(biāo)準(zhǔn)和要求的CISO合作,將有助于減少這種沖突,確保項(xiàng)目順利運(yùn)行,避免成本高昂且令人沮喪的中斷。這意味著CISO-CIO合作能夠加快更安全的技術(shù)實(shí)施和創(chuàng)新,以支持業(yè)務(wù)的加速增長(zhǎng)。”
合作策略
CISO和CIO可以實(shí)施以下策略來(lái)攜手合作,而不是各自為政或產(chǎn)生分歧:
在業(yè)務(wù)目標(biāo)上達(dá)成一致
- 兩位領(lǐng)導(dǎo)者都必須認(rèn)識(shí)到,IT效率和安全不是相互競(jìng)爭(zhēng)的利益,而是支持業(yè)務(wù)目標(biāo)的互補(bǔ)力量。
- 建立聯(lián)合關(guān)鍵績(jī)效指標(biāo)(KPI),同時(shí)納入IT和安全目標(biāo)。
改善治理和匯報(bào)結(jié)構(gòu)
- 許多企業(yè)正在轉(zhuǎn)向一種模式,即CISO直接向首席執(zhí)行官或董事會(huì)匯報(bào),使安全擁有更獨(dú)立的發(fā)言權(quán)。
- 如果CISO仍歸CIO管轄,那么在安全相關(guān)決策上應(yīng)有明確的自主權(quán)。
培養(yǎng)共同責(zé)任文化
- IT團(tuán)隊(duì)不應(yīng)將安全視為障礙,而應(yīng)將其視為保護(hù)創(chuàng)新的業(yè)務(wù)推動(dòng)因素。
- 在IT項(xiàng)目中實(shí)施安全設(shè)計(jì)原則,確保安全融入流程,而非作為事后補(bǔ)充。
投資于合作工具和實(shí)踐
- IT和安全團(tuán)隊(duì)之間的定期聯(lián)合會(huì)議有助于對(duì)齊策略并及早解決沖突。
- 考慮使用集成儀表板,在一個(gè)地方提供IT性能和安全風(fēng)險(xiǎn)指標(biāo)。
平衡安全與業(yè)務(wù)敏捷性
- CISO可以與CIO合作開發(fā)安全框架,以實(shí)現(xiàn)快速且安全的技術(shù)采用,而非施加僵硬的限制。
- 實(shí)施基于風(fēng)險(xiǎn)的方法,根據(jù)實(shí)際威脅應(yīng)用安全控制,而非采用阻礙運(yùn)營(yíng)的一刀切政策。
倡導(dǎo)共享預(yù)算
- CIO和CISO可以就IT和安全投資如何相輔相成向領(lǐng)導(dǎo)層提出統(tǒng)一論點(diǎn),而非爭(zhēng)奪單獨(dú)的預(yù)算。
- 強(qiáng)調(diào)安全事件對(duì)財(cái)務(wù)的影響,以證明安全支出是一種成本避免策略,而非一種費(fèi)用。
建立溝通渠道
- 在與IT和執(zhí)行團(tuán)隊(duì)討論安全風(fēng)險(xiǎn)時(shí),使用業(yè)務(wù)友好的語(yǔ)言。
- 開展跨職能培訓(xùn),使IT人員了解安全問(wèn)題,安全團(tuán)隊(duì)了解IT運(yùn)營(yíng)挑戰(zhàn)。