在企业中,CISO和CIO扮演着至关重要的角色,然而,他们的优先事项却常常产生分歧,导致合作中的摩擦。本文将探讨CISO与CIO之间的冲突根源,并提出一系列合作策略,助力两者携手推动企业的韧性增长。
CISO和CIO之间的关系一直复杂多变。虽然这两个角色对于企业的成功都至关重要,但他们的优先事项却常常使他们产生分歧。CIO关注IT效率、创新和业务支持,而CISO则优先考虑安全、风险管理和合规性。这些不同的目标可能导致摩擦,但如果采用正确的策略,它们可以协同一致,共同打造一个更强大、更具韧性的企业。
冲突根源
CISO和CIO之间的紧张关系往往源于以下关键领域:
目标冲突——CIO确保IT运营顺畅,并采用新技术推动业务成功,而CISO则必须减轻网络风险,这有时会拖慢IT项目进度或增加额外的合规步骤。
预算和资源分配——IT预算往往倾向于运营改进,而安全投资则可能被视为一种成本,而非收入推动因素。这可能导致在优先级上产生分歧。
汇报结构——在许多企业中,CISO向CIO汇报,这可能形成一种层级结构,使安全被视为IT运营的次要关注点。
安全与速度——CIO优先考虑敏捷性和数字化转型,而CISO则强调安全控制,这有时会拖慢新技术的推出速度。
沟通鸿沟——IT和安全团队之间缺乏共同语言可能导致对风险和业务需求产生误解。
LogicGate的CISO尼克·凯瑟琳(Nick Kathmann)告诉记者:“尽管有时CISO和CIO的优先级不同,但当他们携手合作时,预算分配会增加,内部流程会简化,外部利益相关者也会对企业的安全状况更有信心。从项目初期就与CISO合作的CIO,在项目进展过程中往往会遇到更少的摩擦。‘移动目标柱’是CIO必须应对的一个常见问题,但与能够有效沟通、有明确标准和要求的CISO合作,将有助于减少这种冲突,确保项目顺利运行,避免成本高昂且令人沮丧的中断。这意味着CISO-CIO合作能够加快更安全的技术实施和创新,以支持业务的加速增长。”
合作策略
CISO和CIO可以实施以下策略来携手合作,而不是各自为政或产生分歧:
在业务目标上达成一致
- 两位领导者都必须认识到,IT效率和安全不是相互竞争的利益,而是支持业务目标的互补力量。
- 建立联合关键绩效指标(KPI),同时纳入IT和安全目标。
改善治理和汇报结构
- 许多企业正在转向一种模式,即CISO直接向首席执行官或董事会汇报,使安全拥有更独立的发言权。
- 如果CISO仍归CIO管辖,那么在安全相关决策上应有明确的自主权。
培养共同责任文化
- IT团队不应将安全视为障碍,而应将其视为保护创新的业务推动因素。
- 在IT项目中实施安全设计原则,确保安全融入流程,而非作为事后补充。
投资于合作工具和实践
- IT和安全团队之间的定期联合会议有助于对齐策略并及早解决冲突。
- 考虑使用集成仪表板,在一个地方提供IT性能和安全风险指标。
平衡安全与业务敏捷性
- CISO可以与CIO合作开发安全框架,以实现快速且安全的技术采用,而非施加僵硬的限制。
- 实施基于风险的方法,根据实际威胁应用安全控制,而非采用阻碍运营的一刀切政策。
倡导共享预算
- CIO和CISO可以就IT和安全投资如何相辅相成向领导层提出统一论点,而非争夺单独的预算。
- 强调安全事件对财务的影响,以证明安全支出是一种成本避免策略,而非一种费用。
建立沟通渠道
- 在与IT和执行团队讨论安全风险时,使用业务友好的语言。
- 开展跨职能培训,使IT人员了解安全问题,安全团队了解IT运营挑战。
