鉴于相互竞争的压力和优先事项,首席信息官和首席信息安全官经常发现彼此意见相左。了解紧张关系的特点以及你的伙伴是如何工作的,对于保持富有成效的合作关系至关重要。
图源:ABOUTLIFE(图片上传者,可以译为用户ABOUTLIFE,或者ABOUTLIFE) / SHUTTERSTOCK
【睿观:本文探讨首席信息官(CIO)与首席信息安全官(CISO)在高压环境下共事所面临的紧张关系,以及如何有效管理这种关系。理解两者之间的压力和优先事项有助于保持富有成效的合作。
一、关系趋于紧张
首席信息官的主要职责是通过技术推动业务转型和增长,同时关注运营流程的持续性。而首席信息安全官的任务则是保护企业免受外部威胁。这些不同的优先事项和压力源常常导致两者之间产生天然的摩擦。
二、常见的压力点
1.漏洞修补:首席信息安全官倾向于立即修补漏洞,而首席信息官可能因业务压力而推迟中等程度漏洞的修复时间。
2.影响客户体验的项目:例如,多因素身份验证功能的实施会影响客户体验,导致业务部门的抵制。
3.API管理:首席信息安全官希望对API进行严格管理和测试,而首席信息官则在意快速交付新功能。
4.事件管理:严重事件发生时,首席信息安全官作为“信使”常面临信息不足的情况,这可能导致首席信息官的挫败感。
5.DevOps和DevSecOps:首席信息官多推崇快速发布软件,而首席信息安全官则更注重在开发流程中嵌入安全性。
三、不同CIO和CISO原型的协作
首席信息官和首席信息安全官的工作方式和背景可能不同,影响他们之间的协调。对方的工作风格和自然倾向需要被理解和尊重。
四、管理紧张关系的策略
若工作中的紧张关系加剧,双方应共同努力解决分歧:
1.公司至上:优先考虑公司的整体利益。
2.理解商业效益:了解所有行动的商业回报和意义。
3.事实导向:保持客观和依据事实进行讨论。
4.透明和诚实:保持透明和诚实,但不要冒犯他人。
5.寻求双赢:合作解决问题,确保双方都能获益。
如果双方无法自我调节,可以寻求第三方或独立教练的帮助,确保关系的重置和调整。
总之,健康的紧张关系可能对首席信息官和首席信息安全官的工作产生正面影响,但需要有效管理,以避免演变成非生产性的冲突。通过明确沟通和相互理解,企业能够在保持紧张关系的同时,实现整体效益的最大化。】
首席信息官和首席信息安全官在高压力环境中运作,这有时会给他们的关系带来额外的压力,并进一步分散他们实现有益结果的注意力。
在我自己的职业生涯中,我曾历任首席信息官和首席信息安全官,因此我从这两个角度对这个问题都有第一手的经验。打破这种局面,使关系可行、健康并尊重双方可能是一项挑战,尤其是对经常向首席信息官报告的首席信息安全官来说。这需要了解对方角色的压力和优先级,以及你的伴侣是如何运作的。
一、关系趋于紧张
要理解为什么首席信息官和首席信息安全官之间存在天然的摩擦,必须考虑各自的压力和优先事项。
首席信息官的角色充满了大量活动,所有这些活动都需要关注,并在高管层和董事会中具有很高的知名度,他们希望看到首席信息官在IT议程上占据首位。
这个议程——首席信息官存在的理由——是通过使用技术实现业务转型和增长。整个公司的主要利益相关者要求通过这些平台提供具有技术支持的转型和积极的客户体验,而首席信息官的评判标准是他们不仅有能力提供这些新的数字解决方案,而且还能防止运营流程受到服务中断或中断的影响。
同时,首席信息安全官的任务是保护企业免受外部威胁。是的,首席信息官也关心这一点,但当涉及到保护企业所需的权衡时,他们也面临着来自业务利益相关者的压力。
这些权衡是与首席信息安全官的职权范围相交的关键点,凸显了双方相互冲突的优先事项。随着时间的推移,这种情况——以及如何处理和解决——可能会导致双方之间产生真正的摩擦。这种摩擦可以是公开的,在公共场合沸腾,也可以是隐蔽的,对其他同事或首席信息官和首席信息安全官自己来说更为隐蔽。
二、常见首席信息官和首席信息安全官压力点
在每一个成熟的企业中,风险都必须暂时接受,并推迟补救。漏洞修补是首席信息官和首席信息安全官之间可能出现紧张关系的一个例子。
在高度关键的漏洞被利用的情况下,首席信息安全官将希望立即应用补丁,而首席信息官可能会配合这一紧迫性。但对于中等级别的修补程序,首席信息官可能面临压力,要求将这些中断推迟到生产系统,并可能会迫使首席信息安全官等待一周甚至几个月才能进行修补。
影响数字客户体验的项目也存在着同样的紧张关系。例如,新的多因素身份验证功能需要新的客户通信,并可能需要相关的短期通道中断,这可能会让业务难以接受。
或者,首席信息官和工程团队可能正在与业务部门合作,通过API(应用程序编程接口,是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件的以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。)平台促进新的客户功能。从首席信息安全官的角度来看,这些API必须得到适当的管理,甚至要经过渗透测试,以确保它们不会产生意外的数据丢失向量。首席信息安全官希望应用更多的控制,但首席信息官虽然在原则上达成一致,还必须确保在短时间内交付该功能,从而满足涉众的要求。
事件管理是另一个紧张局势。当发生严重的网络或业务中断事件时,首席信息安全官可以发挥领导作用,而且通常是分享坏消息的“信使”。当然,首席信息官希望立即得到告知,但细节往往很少,有许多未知数。这可能会让首席信息官觉得首席信息安全官很糟糕,因为在这个早期阶段,问题往往多于答案。
第五个例子是DevOps(Development和Operations的组合词,过程、方法与系统的统称。用于促进开发-应用程序/软件工程、技术运营和质量保障-QA部门之间的沟通、协作与整合。),因为包括我在内的许多首席信息官都主张快速持续交付。不幸的是,并没有那么多首席信息官主张DevSecOps(是“开发、安全和运营”的缩写。它是一种文化取向、自动化方法和平台设计方法,将安全性作为整个 IT 生命周期的共同责任。DevOps是一组过程、方法与系统的统称,用于促进开发、技术运营和质量保障部门之间的沟通、协作与整合;而DevSecOps强调的是应用和基础架构的安全防护。)在流程中嵌入网络安全测试。这可能是因为首席信息官经常面临来自执行利益相关者的压力,要求其发布新的软件构建,从而接受在不完美的情况下可能需要一些迭代的风险。同时,没有多少首席信息安全官来自软件开发人员背景,因此经常不愿意参与和挑战这个过程。
三、不同的首席信息官和首席信息安全官原型如何参与
上述摩擦领域与首席信息官和首席信息安全官的个性无关,这是另一个额外的不兼容问题,可能会对关系造成进一步的压力。
首席信息官和首席信息安全官很可能是通过不同的职业道路到达他们的职位的,他们的工作方法也可能不同。其中一些自然会更好地协同工作,而另一些可能会发生冲突。
我的建议是考虑一下你的交易对手是如何运作的,他们的自然风格是什么,以及你可能如何以不同的方式处理潜在的压力点。例如,商业首席信息官或合作伙伴首席信息官将把利益相关者的参与作为成功的关键。如果与技术首席信息安全官或转换首席信息安全官配对,可能会出现一些方法不匹配的情况。
四、如何管理这种紧张关系
如果你发现你在首席信息官-首席信息安全官紧张局势加剧的情况下工作,或者你认识到你的方法存在自然的分歧,那么首席信息官和首席信息安全官都必须认识到这一问题,并努力解决他们之间的分歧。
在这种情况下,最好坐下来讨论如何尊重并牢记业务目标地合作。建议考虑的一些原则包括:
1.采取公司至上的态度。
2.了解所有拟议行动的商业效益。
3.以事实为导向。
4.要透明、诚实,但绝不冒犯他人。
5.寻求双赢。
如果双方都不致力于实现转型,那么这种方法可能就不起作用了。如果是这样的话,那么可能需要重新设置,请第三方或独立教练来帮助促进这种关系。希望这次重置可以通过一些小的调整来实现,而不会有一方或双方放弃并离开。
健康的紧张气氛对首席信息官和首席信息安全官的日常工作有好处。但必须加以管理,以免冲突演变成非生产性的局面。这对双方来说都是两败俱伤,对整个企业来说也不是一个好结果。
作者:David Gee(大卫·吉)
David Gee(大卫·吉)是Foundry出版集团的特约撰稿人。他在金融服务和制药行业拥有超过20年的首席信息官、首席信息安全官和技术、网络和数据风险执行官经验。David已经转型为董事会顾问、非执行董事和战略IT顾问。多年来,他为IDG澳大利亚公司撰写了大量关于首席信息官、计算机世界和首席安全官的文章,目前正在撰写两本关于首席信息官和首席安全官职业的新书。
译者:宝蓝 @lex
