首席信息官与首席信息安全官如何融洽相处
新冠疫情使首席信息官和首席信息安全官成为一对奇怪的合作伙伴,而今年在遭遇前所未有的疫情局面下,他们不得不比以往更加紧密地合作。而结果如何呢?他们之间的关系状态总体上有所改善。
在过去的几个月中,各个组织机构都加快推进了其数字计划和向云端迁移的工作,以支持远程办公的员工和客户。Gartner研究部副总裁杰弗里•惠特曼(Jeffrey Wheatman)表示,这“导致人们的风险偏好发生了非常显著的变化,同时使首席信息官和首席信息安全官更加紧密地被联系在一起。”
惠特曼表示,现在还需要一种共生的关系,因为“董事会现在对网络安全工作会提出更多的问题,有时甚至是更全面的问题,”“这导致首席信息官和首席信息安全官至少要有一个一致性的故事或叙述。”
首席信息官和首席信息安全官一致认为,推动人工流程和一些功能的自动化以提高工作效率,这就必须要更紧密地合作。保险公司Markel的首席隐私和信息安全官帕特丽夏·提图斯(Patricia Titus)说:“无论汇报架构如何,首席信息官和首席信息安全官都必须在发展路线图和战略上紧密合作。”
安全性现已成为战略性工作
当首席信息安全官向首席信息官汇报工作时,情况却并非总是如此。“不幸的是,一些首席信息安全官在首席信息官的领导下工作很艰难,因为最终,他们发现和需要解决的某些问题使首席信息官更加难以处理,”惠特曼说。“我认为,首席信息安全官希望确保传输中的数据不应该被那些不应看到这些数据的人所看到,同时应(保持)系统的完整性,以及数据的安全性和合规性,因此这两个职位之间的目标就存在一些分歧。
他表示,好消息是,由于企业高管和利益相关者越来越依赖于技术,而形成一种意识,这使得这两个角色之间的矛盾比以往更少,并且有更大的协同效应。
安全性作为一门学科其成熟度也在增加。惠特曼说:“现在,安全性已被更多地视为一种战略举措,而不是人们所说‘不,停下来,不要做,’”。“我们以前将这种类型的首席信息安全官称为‘不博士’。这种首席信息安全官现在很少了。”
当首席信息官和首席信息安全官更多地将自己视为合作伙伴和同伴时,这就会产生协同效应,惠特曼补充道。“当我们看到诸如物联网和云计算等运营技术开始融合时,人们已认识到这两个角色必须更加步调一致,而不是首席信息官把某些工作推出去,然后说:‘你必须保证我们已经部署的东西安全。’”
首席信息官和首席信息安全官之间关系的演变
Markel公司的首席信息官提图斯和迈克·赛弗斯(Mike Scyphers)已经一起工作将近五年,拥有可谓是理想的工作伙伴关系,彼此相互尊重和欣赏。双方都会很敬佩地评价对方。
赛弗斯表示,随着消费者技术的发展以及业务部门能够提升自己的云服务,这就很容易使人们专注于创新,而无需“考虑安全性”。他称自己与提图斯的关系“很有价值”,并说:“如果没有这种合作关系,我无法想象如何来(部署某一技术)。”
提图斯最初在IT部门工作,赛弗斯说他“完全支持”她开始行动。
“每当我们进行对话且出现一种不周全的制衡(讨论)时,我都会感到紧张。按提图斯的说法就是,有些事情不对劲,但开始时是正确的,”他说。“我会讨论我们之间的不同观点,但是……当一切都在IT部门内时,最终,我发现自己会赞同两种不同的观点,而当您总想把所有事情都做对时,您就会有盲点,因而不同的观点有助于对您进行弥补。”
赛弗斯表示,他不喜欢扮演“好人,坏人”的角色,因此当安全问题出现时,IT部门会向安全团队求助,以了解情况。如果他们有解决办法了,我们就不会在这一问题上浪费时间了。”
人们长期以来一直认为,首席信息官与首席信息安全官是一种对抗关系,即一方要向另一方汇报工作,并且要有一种“你必须照我说的做”的态度,软银投资顾问公司(SoftBank Investment Advisers)的首席信息安全官盖里•海斯利普(Gary Hayslip)说。
海斯利普在职业生涯的早期,曾担任首席信息官,后来转任首席信息安全官一职。他表示,他过去认为首席信息安全官不应该向首席信息官汇报工作。“首席信息安全官的工作是利用人员、流程和技术来管理风险,而首席信息官的工作是提供服务。这些是完全不同的工作领域,”他解释道。“我们使用相同的资源,但是我们处理问题的方式极为不同。”
也就是说,IT堆栈和技术安全堆栈是相互交织的,这意味着两个团队必须相互支持,海斯利普补充道。
海斯利普向软银公司的技术和信息安全主管维尔·波利瓦尔(Wil Bolivar)汇报工作,他表示,我们是“真正的好朋友”。他还向软银公司的首席财务官汇报工作。海斯利普表示,在之前的一些工作岗位上,他还曾向一些“非常优秀的首席信息官”和首席信息安全官,以及一些与他有争执关系的人汇报工作。
“有时候,您会遇到一些首席信息安全官,他们非常专注,甚至过度关注于安全和风险工作,但这并非总有意义,’海斯利普说。“他们是战术性很强的首席信息安全官,但不善于与他人合作,他们认为所有风险问题必须立刻、马上、现在处理。”
海斯利普称自己是既有战术又有战略的首席信息安全官。“我将自己视为一个碰巧负责网络安全工作的业务主管,我必须与其他业务部门的同事一起工作”,并要向他们解释安全的价值。
“做到这一点的唯一方法是,我不能直接与他们进行接触;但我必须了解他们的工作方式,他们的需求,他们的主要客户以及我该如何为他们提供支持,”海斯利普说。“我采用了这种方式,而且获得了更多的支持。”
他补充说,如果首席信息安全官只是严格意义上的战术角色,那么业务人员就“只会忍受一段时间您的废话,然后就把您踢到一边。”
海斯利普认为,当首席信息安全官仅与小公司合作,习惯于解决紧急问题,而且没有机会获得职业发展时,具备战术性就是一个“成熟度问题”。
汇报架构
汇报工作的架构因公司而异,还可能因行业而异。Gartner的惠特曼表示,例如,如果您在金融服务行业,则向首席财务官汇报工作往往更合理。在运输、物流或零售领域工作的首席信息安全官,则最有可能向首席运营官汇报工作。
“我每年要接600个电话,大概有80到100个电话是与组织结构有关,其根本问题是,首席信息安全官是否应该向首席信息官汇报工作?”他说道。在惠特曼过去所做的研究中,约有三分之一的受访首席信息安全官表示,他们不属于IT部门,他说道。
他表示,当某一组织机构认识到安全性是一个业务问题而不是一个技术问题时,网络安全工作通常就会被排除在IT部门外。“当网络安全属于首席信息官的(工作范畴)时……则每个人都认为(安全性是)一个技术问题。这涉及到一些工具和技术,但网络安全是运营技术。”惠特曼表示,其重点是为业务流程以及法律和监管要求提供支持。“这些工作都不是首席信息官的工作或技术问题。”
惠特曼表示,他在Gartner工作的14年中,来自公司安全会议的数据显示,约有35%的人自称是公司的安全主管,而且他们并不向IT部门汇报工作。“但现在不是这种情况了。”
甲骨文公司客户服务副总裁兼首席信息安全官布伦南·拜贝克(Brennan Baybeck)会向业务部门主管汇报工作,但他表示自己向首席信息官汇报工作已有七年了,并拥有一些有益的经验。
“我很幸运能与一位优秀的首席信息官共事,他理解安全的重要性,并且大力支持这一工作,”拜贝克说道。同时,他还是IT治理组织——国际信息系统审计协会(ISACA)董事会成员。拜贝克表示,自己能够从业务和IT角度向首席信息官阐明和表达安全性对公司战略的重要性。“自己通过不断向首席信息官汇报工作,进行讲解,使首席信息官认识到安全性如何可以推动我们的业务工作,以及让他了解安全态势、风险和漏洞,从而形成良好的合作关系。”
拜贝克表示,他会主动定期与首席信息官会面,不仅会谈及安全工作,还会分享一些如何通过安全性服务使IT部门更高效工作的想法。
他说:“他提拔我进入到他的领导团队,这意味着我不仅可以向高管们提供一些安全性建议,还可以确保安全性已融入且与业务和IT战略相关。”“此外,我还能够为IT团队带来价值。”
提升安全性占用了拜贝克大约75%的工作时间,而他会利用剩下25%的时间来获取更多资源。“对于我的许多同事而言,这个时间比例是颠倒的,他们将大部分时间都花在争取和维护资源上。”
海斯利普认为,首席信息安全官不向首席信息官汇报工作,这是一件好事。这样,“风险更加可见,而且组织机构能够从战略角度来了解将在哪里进行管理,”他说。
他表示,在这种环境中,首席信息官和首席信息安全官应该是对等关系,仍然要每周开会。
新冠疫情的影响
由于IT部门努力推进远程办公,同时安全团队则努力确保员工在远程接入网络时其身份得到验证,并且确保数据安全,因此新冠疫情当然促进了彼此的支持。 “如果在目前的新冠疫情环境下,您的(安全团队)在没有IT部门的支持下开展工作,那么您会疯掉的,”海斯利普说。
他指出,网络边缘已经进入家庭。海斯利普说:“因为我有680名员工,因而我有680个网络需要关注,而不是一个网络。”
尽管在新冠疫情之前,克莱姆森大学(Clemson University)副校长兼首席信息官Russell Kaurloto与首席信息安全官哈尔·斯通(Hal Stone)有着良好的工作关系,但他承认,新冠病毒“巩固了这一关系,并使我们更紧密地分享信息和更有效地沟通”。
克莱姆森大学之前约有1800名学生在网上远程学习,而在今年3月,这一数字跃升至约26,000人,同时包括4,000名教职员工。“我每周都与首席信息安全官一对一交流,但他也参与每天的新冠病毒电话沟通,我们会系统地了解目前发生的情况,”Kaurloto说。
首席信息官和首席信息安全官之间关系和谐的建议
惠特曼赞同海斯利普的观点,他表示,随着数字业务的增长,不利于高效工作的方式是,首席信息安全官向首席信息官摇着手指说:“您需要按我说的做,否则就如何如何。而更应该说的是,“我们需要共同努力,以解决董事会或首席运营官、首席执行官或首席财务官提出的重要问题。”这一问题随着时间的推移在不断增加。”
例如,惠特曼与一家中型金融信用合作社的首席信息安全官合作,为其审计委员会搭建平台。他们起草了一份讲述文稿,其内容首先是业务目标,然后是首席信息安全官为打造其网络安全计划而采取的步骤。“首席信息官拿着文稿说:‘我们必须要与董事会谈谈威胁和技术方面的内容,并且我已经与董事会交谈过,但他们对威胁和技术方面的内容不感兴趣,他们也不了解工作要点是什么,’”惠特曼回忆道。
最后,他们不得不共同与首席信息官电话沟通,说:“看,这就是为什么这个信息不具有建设性,”他说。虽然惠特曼不知道结果如何,但“那些(场景)仍然很常见。这种场景应该少于5%,但当这些问题出现时,这种场景发生的概率可能是20%到25%。”
惠特曼告诉安全主管,他们需要清楚要如何进行讲述,不仅是向自己的领导讲述,还需要通过他们向领导的领导讲述。
他说:“通常,我们会沉迷于技术方面,最终是为了技术而谈论技术,而对业务价值、营收、文化和风险管理却不够关注。”
他表示,首席信息安全官需要提出一套通用的术语使用范围。“我们会使用诸如‘网络安全’、‘威胁’、‘漏洞’和‘风险’之类的词。但我们使用这些术语却不统一,因此我们需要以统一的术语框架来进行沟通。”
他们还需要确保与业务目标保持一致。惠特曼说:“这听起来显而易见,但在很多情况下,却并非如此。”“首席信息官往往会更成熟,因而他需要帮助首席信息安全官来提升其信息沟通的能力,以达到更高的成熟度。”他强调说,即使他们并非在所有事情上都意见一致,但他们也需要协调一致。“他们需要有共同的长期愿景,但情况并非总是如此。”
海斯利普指出,造成摩擦的最大原因是预算问题。他表示,首席信息官将被告知需要削减预算,而首席信息安全官则专注于要制定一个网络安全计划,以及管理风险。
“十有八九这是他们工作重点的不同。”海斯利普表示,他发现,如果首席信息官和首席信息安全官之间的沟通渠道保持畅通,而且每周会面,即使仅仅交谈半小时,双方也会了解很多东西。
他说:“首席信息官将让您了解公司内的政治环境,从而使您对公司的问题或业务发展有很好的认识。”这样,他们可以一起想办法,找出可以节约成本的地方。
他表示,如果首席信息官和首席信息安全官可以互相交谈,那么就不会发生令人吃惊的事。“我发现,当我们这样做时,我们会合作得非常好。”
拜贝克也认为,培养人际关系和建立伙伴关系是关键。“首席信息安全官应努力变为首席信息官的一名可信赖的顾问,这样他们就可以预测自己的需求,并掌握他们甚至可能没有考虑到的有关安全风险的问题或机会。”
所有首席信息官和首席信息安全官都认为,相互尊重可能是双方关系中最重要的因素。
克莱姆森大学的Kaurloto说:“从一开始,就必须相互了解……我们每天要实现和努力的目标是什么。”“这是关键。第二件事是建立一种相互尊重的密切关系。你们不会总能达成相同的结果,也不会一直保持一致。但由于彼此相互尊重,你们会找到共同点。”
他补充说,还需要具有充分的透明度。“如果碰到您有言行不一致的情况,您将无法获得首席信息安全官的尊重和理解。您的首席信息安全官是您工作总体成功的一部分。如果你们没有良好的人际关系和真正的透明度,那么你们将不断产生摩擦。”
Markel公司的赛弗斯表示,他和提图斯都更专注于业务成果,而非安全或IT问题。“我们俩都利用自己的学科知识来支持我们的侧重点。提图斯是一个完美的专业人士……我鼓励建立这种信任。这至关重要。”
提图斯表示,对她来说,互相挑战很重要,“当你们结束争论时,你们就会有一个一致的立场。你们会关起门解决问题。”
她表示,“重视这一合作伙伴关系很重要”,双方可能都需要做出让步,以实现这一共同目标。
提图斯说:“在如何实现目标的方式上,我们可能会有一些分歧,但最终,我们会一起实现目标。”
就像任何一桩美满的婚姻一样。
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341