CIO和CISO在高压环境中工作,这种环境有时会给他们的关系带来额外的压力,进一步分散他们实现有利成果的注意力。
在我的职业生涯中,我曾担任过CIO和CISO,所以我从两个角度亲身体验过这个问题。缓和局势,使关系对双方都可行、健康和尊重是一项挑战,尤其是对于那些通常向CIO报告的CISO来说,这需要理解对方角色的压力和优先事项,以及你的合作伙伴如何运作。
容易产生紧张的关系
要理解为什么CIO和CISO之间自然存在摩擦,必须考虑各自的压力和优先事项。
CIO的角色涉及大量需要关注的活动,并且在执行管理层和董事会面前有很高的可见度,他们希望看到CIO掌握IT议程。
这个议程——CIO的存在理由——是通过技术的使用推动业务转型和增长。公司内部的主要利益相关者要求交付技术驱动的变革和积极的客户体验,而CIO的评判标准不仅在于交付这些新的数字解决方案,还在于确保运营过程不受停机或服务中断的影响。
同时,CISO的任务是保护企业免受外部威胁,CIO也关心这一点,但他们在涉及保护企业的权衡取舍时面临来自业务利益相关者的压力。
这些权衡取舍是CISO职责范围内的关键点,突显了双方的优先事项冲突。随着时间的推移,这种情况以及它们的处理和解决方式,可能导致双方之间的实际摩擦,这种摩擦可能是公开的,甚至在公众面前爆发,或者是隐性的,更隐蔽在同事或CIO/CISO本身的关系中。
常见的CIO和CISO之间的压力点
在每个成熟的企业中,风险都必须暂时接受,补救措施被推迟。漏洞修补是CIO和CISO之间可能出现紧张关系的一个例子。
在被利用的高度关键漏洞的情况下,CISO会希望立即应用补丁,而CIO可能也会同意这种紧迫性,但对于中等级别的补丁,CIO可能会面临推迟这些对生产系统的干扰的压力,并可能要求CISO等一周甚至几个月再进行修补。
同样的紧张关系也存在于影响数字客户体验的项目中。例如,新的多因素身份验证功能需要新的客户沟通,并且可能会暂时扰乱渠道,这可能是业务难以接受的。
或者,CIO和工程团队可能正在与业务部门合作,通过API平台提供新的客户功能。从CISO的角度来看,这些API必须妥善管理,甚至需要进行渗透测试,以确保它们不会成为意外的数据丢失途径。CISO会希望应用更多控制,但CIO在原则上同意的同时,也必须通过确保在短时间内交付功能来满足利益相关者。
事件管理是另一个容易产生紧张的领域。在发生严重的网络或业务中断事件时,CISO有领导作用,并且通常是分享坏消息的“信使”。自然,CIO希望立即被通知,但通常细节很少,存在许多未知数。在这种早期阶段,CISO可能会在CIO面前显得不利,因为通常有更多问题而不是答案。
第五个例子是DevOps,许多CIO,包括我自己,倡导快速持续交付。不幸的是,并不是所有的CIO都倡导在过程中嵌入网络安全测试的DevSecOps,这可能是因为CIO通常面临来自执行利益相关者的压力,要求发布新的软件版本,因此接受在不完美的情况下可能需要进行一些迭代的风险。与此同时,并不是许多CISO来自软件开发背景,因此通常不习惯于参与和挑战这个过程。
不同类型的CIO和CISO之间的互动
上述摩擦领域与CIO和CISO的个性无关,这是另一个可能给关系带来额外压力的不兼容问题。
CIO和CISO可能通过不同的职业路径达到他们的位置,并且可能对他们的工作有不同的方法。一些由此产生的原型自然更能一起工作,而另一些则可能发生冲突。
我的建议是考虑你的对手如何运作,他们的自然风格是什么,以及你可能如何以不同的方式处理潜在的压力点。例如,业务型CIO或合作型CIO会将利益相关者的参与视为成功的关键。如果与技术型CISO或变革型CISO配对,可能会在方法上存在一些不匹配。
如何管理这种紧张关系
如果你发现自己处于CIO和CISO紧张关系加剧的情景中,或者你认识到彼此方法上的自然分歧,重要的是CIO和CISO双方都承认这个问题并共同努力解决分歧。
在这些情况下,最好坐下来讨论如何在尊重和考虑业务目标的前提下一起工作。一些建议的原则包括:
- 采用公司至上的态度。
- 理解所有建议行动的业务利益。
- 以事实为驱动。
- 保持透明和诚实,但绝不冒犯。
- 寻找双赢的解决方案。
如果双方不致力于实现变革,这种方法可能无效。如果是这样,那么可能需要重置,邀请第三方或独立教练来帮助促进关系。希望这种重置可以通过一些小调整来实现,而无需一方或双方放弃并退出。
适度的紧张对CIO和CISO在日常工作中是有益的,但这种紧张必须得到管理,以免演变成非生产性的冲突,冲突对整个业务来说也不是一个好的结果。
