CIO-CISO關系破裂的6個標志(附關系修復秘籍)
責編:gltian |2019-06-28 15:02:20IT 和安全領導者之間的成功合作至關重要,但是想要實現這一點卻并非易事。下文詳細介紹了 CIO-CISO 關系破裂的 6 大跡象——以及用于修復這種破裂關系的 8 點建議。
多年以來,安全人員一直是由 CIO 直接管理的。而今,隨著眾多企業越來越重視安全,CISO 的地位也變得更加重要。因為這種變化,兩者的工作關系發生了轉變——CIO 負責領導、洞察及實現IT項目,以推動業務發展;而 CISO 則負責提供見解與指導意見,以確保策略安全。
但是,在大多數上市公司,CISO 仍然是需要直接向 CIO 匯報的。但很多 CIO 在接受匯報的過程中慢慢發覺,由于各自的工作職責有所不同,他們彼此之間對于優先事項的考慮可能存在沖突——CIO 致力于盡可能快地提供一致的可靠服務;而 CISO 則尋求安全地提供這些服務。
為了打破這種 “孤島” 現象,有些 CIO 和 CISO 之間達成了一些通用標準,這套標準可以賦予他們共同的術語和目標,來幫助他們進行良性溝通并最終實現共同的目標。
安全專家認為,CIO 和 CISO 之間的協作關系是推動企業成功的關鍵因素。雖然兩者間的工作職能和目標不盡相同,但是他們必須和諧地工作,建立正確的團隊結構,并促進正確的文化,為了組織的共同利益而攜手并進。如果他們不這樣做,組織就會面臨發展速度放緩,安全技術服務水平低下以及整體數字化轉型受限的風險。
CIO-CISO關系不和諧的跡象
根據一些經驗豐富的高管、研究人員和管理顧問的說法,CIO-CISO 關系中存在很多不和諧的跡象,它們主要包括:
1. 缺乏尊重。高管(以及他們的經理和員工)通常會忽略彼此的建議和合作請求,駁回對方的意見,習慣發布強制性命令而不是彼此間有效地商議和合作,甚至拒絕共享相關信息。
2. 沒有明確的責任劃分。特別是在技術和安全重疊的領域,角色和責任缺乏明確性可能會導致雙方對“領土”的爭奪,或是雙方都不愿承擔項目所有權的現象。
3. 員工高流失率。任何一個行政職位以及兩個部門中的員工職位的高流動率,都可能表明這種 “有毒” 的工作環境可能(但不是唯一原因)源自最高層的問題。
4. 非此即彼的對立心態。這種明確區分 “我們 ”和 “他們” 的對抗性心態會阻礙工作關系的順利發展,不利于實現相互協作、親密無間的合作關系。
5. 工作并未順利完成。錯過最后期限,項目沒有順利完成,忽略輸入請求……所有這些都需要 IT 和安全團隊進行協調,工作沒有順利完成說明雙方的協作出現了問題。
6. 經常或不斷增加的停機時間。特別是,由于安全需求所導致的意外停機可能說明兩個團隊之間的溝通和協調不一致甚至根本不存在。
缺乏同等關系
導致 CIO-CISO 關系陷入困境,出現上述的不良行為可能是因為如下幾個因素:這些角色中的人可能特別以自我為中心;他們可能不喜歡彼此,也無法帶著這種不良情緒工作;或者他們根本不清楚并且不關心另一方所面臨的壓力。
但是根據多位專家的說法,致使 CIO-CISO 關系陷入僵局的原因其實是職位的不平衡。他們認為,CIO 和 CISO 應該在一個組織內處于平等地位,每個人都能參與戰略規劃。
這種情況存在于許多組織之中,但并非全部。根據普華永道進行的《2018年全球信息安全狀況調查報告》顯示,40% 的頂級信息安全高管向首席執行官 (CEO) 報告,27% 的直接向董事會報告,24% 的向 CIO 報告。
同樣地,安永《2018-2019年全球信息安全調查》也發現,40% 的受訪組織讓其 CIO(而非CISO)承擔最終的信息安全責任。
關系修復秘籍
如果您愿意投入精力努力修復 CIO-CISO 之間的關系,我們也通過采訪多位專家總結了下述幾點建議,管理人員可以采取這些步驟來幫助克服雙方之間存在的錯位、職業沖突甚至仇恨:
1. 平衡 CISO 和 CIO 的職位。讓 CISO 像 CIO 一樣與首席執行官和/或董事會接觸,以便明確理解安全要求,并在戰略規劃中獲取同等的發言權。如果您認為安全確實對您的組織十分重要,那么您必須賦予 CISO 發言權,給與他們向首席執行官、首席財務官或法律顧問報告的機會。他們必須與 CIO 平起平坐,擁有同等發言權,而不是屈居其后。
2. 設置獨立于 CIO 預算和IT計劃的安全預算和人員配置水平。這可以進一步推動實現IT和安全部門之間建立平等關系,而且意義重大。最好的組織會采取 “基于風險” 的方法來處理網絡安全問題,并積極地決定他們會面臨哪些風險,以及哪些風險會使其資源受到損害。對于這些問題的考量會影響最終的安全預算和人員配置水平,而且在大多數組織中,這些預算與IT支出幾乎沒有關系,所以我更喜歡獨立地看待這兩個項目。
3. 建立清晰明確的責任制。特別是在 IT 和安全重疊以及其他需要協作的領域,CIO 和 CISO 的角色和責任明確可謂意義重大。所有組織的目標都是希望建立一種無縫的工作關系,而要實現這種關系就必須對其中的角色和相關流程進行明確的定義和理解。
4. 讓 CIO 和 CISO 參與組織的戰略規劃過程。這為兩個團隊提供了一個共同的目標,讓他們可以努力確保一致性。IT 和安全應該有一個共享的技術愿景,映射到不同的業務驅動因素,而這種方法有助于確保最大程度協調雙方的共同目標。
5. 要求 CISO 和 CIO 掌握行政管理技能。這些領導者只是擁有專業領域的知識儲備還遠遠不夠,他們還必須熟練地掌握戰略思想、談判、溝通以及建立人際關系等方面的高級管理技能。因為未來你可能需要經常與首席執行官等 C 級領導接觸,所以有必要在個人層面上了解對方,這樣你才能更有效地傳遞自己的想法,同時明確地了解對方的需求。
6. 了解對方的工作及其目標。CIO 和 CISO 都必須了解彼此的世界,否則就會出現意見相左甚至敵意。他們必須成為彼此的老師和導師。當一個人對另一個人的職責和任務有了更明確的認識時,他們才能夠更好地確定共同的優先事項并同意妥協。例如,一個組織的 CIO 利用安全架構師來處理身份和訪問管理計劃,結果致使 IT 過載,如果 CIO 和 CISO 達成良好的伙伴關系就能夠幫助該項目順利實施,實現兩個部門甚至整個企業的大勝利。
7. 采用行政培訓。輔導服務和 360° 評估在建立牢固的關系方面特別有效。有時候需要外部輔導員的加入來幫助促進雙方成為更好的合作者。在大多數情況下,他們會幫助指出存在問題的地方,但他們也會從一開始就鼓勵創建一個更加協作的工作環境。
8. 退一步。專家表示,當 CIO-CISO 的關系看起來無法修補的時候,冷靜下來退后一步會比讓情況繼續惡化危及組織發展更好。在事情走向極端的情況下,必須有一方撤離 “戰場”。
安永《2018-2019年全球信息安全調查》: