信息化觀察網(wǎng)

作為戰(zhàn)略要務(wù)，安全工作的不斷攀升已改變了IT與信息安全主管之間的關(guān)系。本文將介紹首席信息官和首席信息安全官如何成為推動形成協(xié)同效應(yīng)的合作伙伴。

新冠疫情使首席信息官和首席信息安全官成為一對奇怪的合作伙伴，而今年在遭遇前所未有的疫情局面下，他們不得不比以往更加緊密地合作。而結(jié)果如何呢？他們之間的關(guān)系狀態(tài)總體上有所改善。

在過去的幾個月中，各個組織機構(gòu)都加快推進了其數(shù)字計劃和向云端遷移的工作，以支持遠(yuǎn)程辦公的員工和客戶。Gartner研究部副總裁杰弗里•惠特曼(Jeffrey Wheatman)表示，這“導(dǎo)致人們的風(fēng)險偏好發(fā)生了非常顯著的變化，同時使首席信息官和首席信息安全官更加緊密地被聯(lián)系在一起。”

惠特曼表示，現(xiàn)在還需要一種共生的關(guān)系，因為“董事會現(xiàn)在對網(wǎng)絡(luò)安全工作會提出更多的問題，有時甚至是更全面的問題，”“這導(dǎo)致首席信息官和首席信息安全官至少要有一個一致性的故事或敘述。”

首席信息官和首席信息安全官一致認(rèn)為，推動人工流程和一些功能的自動化以提高工作效率，這就必須要更緊密地合作。保險公司Markel的首席隱私和信息安全官帕特麗夏·提圖斯(Patricia Titus)說：“無論匯報架構(gòu)如何，首席信息官和首席信息安全官都必須在發(fā)展路線圖和戰(zhàn)略上緊密合作。”

安全性現(xiàn)已成為戰(zhàn)略性工作

當(dāng)首席信息安全官向首席信息官匯報工作時，情況卻并非總是如此。“不幸的是，一些首席信息安全官在首席信息官的領(lǐng)導(dǎo)下工作很艱難，因為最終，他們發(fā)現(xiàn)和需要解決的某些問題使首席信息官更加難以處理，”惠特曼說。“我認(rèn)為，首席信息安全官希望確保傳輸中的數(shù)據(jù)不應(yīng)該被那些不應(yīng)看到這些數(shù)據(jù)的人所看到，同時應(yīng)(保持)系統(tǒng)的完整性，以及數(shù)據(jù)的安全性和合規(guī)性，因此這兩個職位之間的目標(biāo)就存在一些分歧。

他表示，好消息是，由于企業(yè)高管和利益相關(guān)者越來越依賴于技術(shù)，而形成一種意識，這使得這兩個角色之間的矛盾比以往更少，并且有更大的協(xié)同效應(yīng)。

安全性作為一門學(xué)科其成熟度也在增加?；萏芈f：“現(xiàn)在，安全性已被更多地視為一種戰(zhàn)略舉措，而不是人們所說‘不，停下來，不要做，’”。“我們以前將這種類型的首席信息安全官稱為‘不博士’。這種首席信息安全官現(xiàn)在很少了。”

當(dāng)首席信息官和首席信息安全官更多地將自己視為合作伙伴和同伴時，這就會產(chǎn)生協(xié)同效應(yīng)，惠特曼補充道。“當(dāng)我們看到諸如物聯(lián)網(wǎng)和云計算等運營技術(shù)開始融合時，人們已認(rèn)識到這兩個角色必須更加步調(diào)一致，而不是首席信息官把某些工作推出去，然后說：‘你必須保證我們已經(jīng)部署的東西安全。’”

首席信息官和首席信息安全官之間關(guān)系的演變

Markel公司的首席信息官提圖斯和邁克·賽弗斯(Mike Scyphers)已經(jīng)一起工作將近五年，擁有可謂是理想的工作伙伴關(guān)系，彼此相互尊重和欣賞。雙方都會很敬佩地評價對方。

賽弗斯表示，隨著消費者技術(shù)的發(fā)展以及業(yè)務(wù)部門能夠提升自己的云服務(wù)，這就很容易使人們專注于創(chuàng)新，而無需“考慮安全性”。他稱自己與提圖斯的關(guān)系“很有價值”，并說：“如果沒有這種合作關(guān)系，我無法想象如何來(部署某一技術(shù))。”

提圖斯最初在IT部門工作，賽弗斯說他“完全支持”她開始行動。

“每當(dāng)我們進行對話且出現(xiàn)一種不周全的制衡(討論)時，我都會感到緊張。按提圖斯的說法就是，有些事情不對勁，但開始時是正確的，”他說。“我會討論我們之間的不同觀點，但是……當(dāng)一切都在IT部門內(nèi)時，最終，我發(fā)現(xiàn)自己會贊同兩種不同的觀點，而當(dāng)您總想把所有事情都做對時，您就會有盲點，因而不同的觀點有助于對您進行彌補。”

賽弗斯表示，他不喜歡扮演“好人，壞人”的角色，因此當(dāng)安全問題出現(xiàn)時，IT部門會向安全團隊求助，以了解情況。如果他們有解決辦法了，我們就不會在這一問題上浪費時間了。”

人們長期以來一直認(rèn)為，首席信息官與首席信息安全官是一種對抗關(guān)系，即一方要向另一方匯報工作，并且要有一種“你必須照我說的做”的態(tài)度，軟銀投資顧問公司(SoftBank Investment Advisers)的首席信息安全官蓋里•海斯利普(Gary Hayslip)說。

海斯利普在職業(yè)生涯的早期，曾擔(dān)任首席信息官，后來轉(zhuǎn)任首席信息安全官一職。他表示，他過去認(rèn)為首席信息安全官不應(yīng)該向首席信息官匯報工作。“首席信息安全官的工作是利用人員、流程和技術(shù)來管理風(fēng)險，而首席信息官的工作是提供服務(wù)。這些是完全不同的工作領(lǐng)域，”他解釋道。“我們使用相同的資源，但是我們處理問題的方式極為不同。”

也就是說，IT堆棧和技術(shù)安全堆棧是相互交織的，這意味著兩個團隊必須相互支持，海斯利普補充道。

海斯利普向軟銀公司的技術(shù)和信息安全主管維爾·波利瓦爾(Wil Bolivar)匯報工作，他表示，我們是“真正的好朋友”。他還向軟銀公司的首席財務(wù)官匯報工作。海斯利普表示，在之前的一些工作崗位上，他還曾向一些“非常優(yōu)秀的首席信息官”和首席信息安全官，以及一些與他有爭執(zhí)關(guān)系的人匯報工作。

“有時候，您會遇到一些首席信息安全官，他們非常專注，甚至過度關(guān)注于安全和風(fēng)險工作，但這并非總有意義，’海斯利普說。“他們是戰(zhàn)術(shù)性很強的首席信息安全官，但不善于與他人合作，他們認(rèn)為所有風(fēng)險問題必須立刻、馬上、現(xiàn)在處理。”

海斯利普稱自己是既有戰(zhàn)術(shù)又有戰(zhàn)略的首席信息安全官。“我將自己視為一個碰巧負(fù)責(zé)網(wǎng)絡(luò)安全工作的業(yè)務(wù)主管，我必須與其他業(yè)務(wù)部門的同事一起工作”，并要向他們解釋安全的價值。

“做到這一點的唯一方法是，我不能直接與他們進行接觸;但我必須了解他們的工作方式，他們的需求，他們的主要客戶以及我該如何為他們提供支持，”海斯利普說。“我采用了這種方式，而且獲得了更多的支持。”

他補充說，如果首席信息安全官只是嚴(yán)格意義上的戰(zhàn)術(shù)角色，那么業(yè)務(wù)人員就“只會忍受一段時間您的廢話，然后就把您踢到一邊。”

海斯利普認(rèn)為，當(dāng)首席信息安全官僅與小公司合作，習(xí)慣于解決緊急問題，而且沒有機會獲得職業(yè)發(fā)展時，具備戰(zhàn)術(shù)性就是一個“成熟度問題”。

匯報架構(gòu)

匯報工作的架構(gòu)因公司而異，還可能因行業(yè)而異。Gartner的惠特曼表示，例如，如果您在金融服務(wù)行業(yè)，則向首席財務(wù)官匯報工作往往更合理。在運輸、物流或零售領(lǐng)域工作的首席信息安全官，則最有可能向首席運營官匯報工作。

“我每年要接600個電話，大概有80到100個電話是與組織結(jié)構(gòu)有關(guān)，其根本問題是，首席信息安全官是否應(yīng)該向首席信息官匯報工作?”他說道。在惠特曼過去所做的研究中，約有三分之一的受訪首席信息安全官表示，他們不屬于IT部門，他說道。

他表示，當(dāng)某一組織機構(gòu)認(rèn)識到安全性是一個業(yè)務(wù)問題而不是一個技術(shù)問題時，網(wǎng)絡(luò)安全工作通常就會被排除在IT部門外。“當(dāng)網(wǎng)絡(luò)安全屬于首席信息官的(工作范疇)時……則每個人都認(rèn)為(安全性是)一個技術(shù)問題。這涉及到一些工具和技術(shù)，但網(wǎng)絡(luò)安全是運營技術(shù)。”惠特曼表示，其重點是為業(yè)務(wù)流程以及法律和監(jiān)管要求提供支持。“這些工作都不是首席信息官的工作或技術(shù)問題。”

惠特曼表示，他在Gartner工作的14年中，來自公司安全會議的數(shù)據(jù)顯示，約有35%的人自稱是公司的安全主管，而且他們并不向IT部門匯報工作。“但現(xiàn)在不是這種情況了。”

甲骨文公司客戶服務(wù)副總裁兼首席信息安全官布倫南·拜貝克(Brennan Baybeck)會向業(yè)務(wù)部門主管匯報工作，但他表示自己向首席信息官匯報工作已有七年了，并擁有一些有益的經(jīng)驗。

“我很幸運能與一位優(yōu)秀的首席信息官共事，他理解安全的重要性，并且大力支持這一工作，”拜貝克說道。同時，他還是IT治理組織——國際信息系統(tǒng)審計協(xié)會(ISACA)董事會成員。拜貝克表示，自己能夠從業(yè)務(wù)和IT角度向首席信息官闡明和表達(dá)安全性對公司戰(zhàn)略的重要性。“自己通過不斷向首席信息官匯報工作，進行講解，使首席信息官認(rèn)識到安全性如何可以推動我們的業(yè)務(wù)工作，以及讓他了解安全態(tài)勢、風(fēng)險和漏洞，從而形成良好的合作關(guān)系。”

拜貝克表示，他會主動定期與首席信息官會面，不僅會談及安全工作，還會分享一些如何通過安全性服務(wù)使IT部門更高效工作的想法。

他說：“他提拔我進入到他的領(lǐng)導(dǎo)團隊，這意味著我不僅可以向高管們提供一些安全性建議，還可以確保安全性已融入且與業(yè)務(wù)和IT戰(zhàn)略相關(guān)。”“此外，我還能夠為IT團隊帶來價值。”

提升安全性占用了拜貝克大約75%的工作時間，而他會利用剩下25%的時間來獲取更多資源。“對于我的許多同事而言，這個時間比例是顛倒的，他們將大部分時間都花在爭取和維護資源上。”

海斯利普認(rèn)為，首席信息安全官不向首席信息官匯報工作，這是一件好事。這樣，“風(fēng)險更加可見，而且組織機構(gòu)能夠從戰(zhàn)略角度來了解將在哪里進行管理，”他說。

他表示，在這種環(huán)境中，首席信息官和首席信息安全官應(yīng)該是對等關(guān)系，仍然要每周開會。

新冠疫情的影響

由于IT部門努力推進遠(yuǎn)程辦公，同時安全團隊則努力確保員工在遠(yuǎn)程接入網(wǎng)絡(luò)時其身份得到驗證，并且確保數(shù)據(jù)安全，因此新冠疫情當(dāng)然促進了彼此的支持。“如果在目前的新冠疫情環(huán)境下，您的(安全團隊)在沒有IT部門的支持下開展工作，那么您會瘋掉的，”海斯利普說。

他指出，網(wǎng)絡(luò)邊緣已經(jīng)進入家庭。海斯利普說：“因為我有680名員工，因而我有680個網(wǎng)絡(luò)需要關(guān)注，而不是一個網(wǎng)絡(luò)。”

盡管在新冠疫情之前，克萊姆森大學(xué)(Clemson University)副校長兼首席信息官Russell Kaurloto與首席信息安全官哈爾·斯通(Hal Stone)有著良好的工作關(guān)系，但他承認(rèn)，新冠病毒“鞏固了這一關(guān)系，并使我們更緊密地分享信息和更有效地溝通”。

克萊姆森大學(xué)之前約有1800名學(xué)生在網(wǎng)上遠(yuǎn)程學(xué)習(xí)，而在今年3月，這一數(shù)字躍升至約26,000人，同時包括4,000名教職員工。“我每周都與首席信息安全官一對一交流，但他也參與每天的新冠病毒電話溝通，我們會系統(tǒng)地了解目前發(fā)生的情況，”Kaurloto說。

首席信息官和首席信息安全官之間關(guān)系和諧的建議

惠特曼贊同海斯利普的觀點，他表示，隨著數(shù)字業(yè)務(wù)的增長，不利于高效工作的方式是，首席信息安全官向首席信息官搖著手指說：“您需要按我說的做，否則就如何如何。而更應(yīng)該說的是，“我們需要共同努力，以解決董事會或首席運營官、首席執(zhí)行官或首席財務(wù)官提出的重要問題。”這一問題隨著時間的推移在不斷增加。”

例如，惠特曼與一家中型金融信用合作社的首席信息安全官合作，為其審計委員會搭建平臺。他們起草了一份講述文稿，其內(nèi)容首先是業(yè)務(wù)目標(biāo)，然后是首席信息安全官為打造其網(wǎng)絡(luò)安全計劃而采取的步驟。“首席信息官拿著文稿說：‘我們必須要與董事會談?wù)勍{和技術(shù)方面的內(nèi)容，并且我已經(jīng)與董事會交談過，但他們對威脅和技術(shù)方面的內(nèi)容不感興趣，他們也不了解工作要點是什么，’”惠特曼回憶道。

最后，他們不得不共同與首席信息官電話溝通，說：“看，這就是為什么這個信息不具有建設(shè)性，”他說。雖然惠特曼不知道結(jié)果如何，但“那些(場景)仍然很常見。這種場景應(yīng)該少于5%，但當(dāng)這些問題出現(xiàn)時，這種場景發(fā)生的概率可能是20%到25%。”

惠特曼告訴安全主管，他們需要清楚要如何進行講述，不僅是向自己的領(lǐng)導(dǎo)講述，還需要通過他們向領(lǐng)導(dǎo)的領(lǐng)導(dǎo)講述。

他說：“通常，我們會沉迷于技術(shù)方面，最終是為了技術(shù)而談?wù)摷夹g(shù)，而對業(yè)務(wù)價值、營收、文化和風(fēng)險管理卻不夠關(guān)注。”

他表示，首席信息安全官需要提出一套通用的術(shù)語使用范圍。“我們會使用諸如‘網(wǎng)絡(luò)安全’、‘威脅’、‘漏洞’和‘風(fēng)險’之類的詞。但我們使用這些術(shù)語卻不統(tǒng)一，因此我們需要以統(tǒng)一的術(shù)語框架來進行溝通。”

他們還需要確保與業(yè)務(wù)目標(biāo)保持一致?；萏芈f：“這聽起來顯而易見，但在很多情況下，卻并非如此。”“首席信息官往往會更成熟，因而他需要幫助首席信息安全官來提升其信息溝通的能力，以達(dá)到更高的成熟度。”他強調(diào)說，即使他們并非在所有事情上都意見一致，但他們也需要協(xié)調(diào)一致。“他們需要有共同的長期愿景，但情況并非總是如此。”

海斯利普指出，造成摩擦的最大原因是預(yù)算問題。他表示，首席信息官將被告知需要削減預(yù)算，而首席信息安全官則專注于要制定一個網(wǎng)絡(luò)安全計劃，以及管理風(fēng)險。

“十有八九這是他們工作重點的不同。”海斯利普表示，他發(fā)現(xiàn)，如果首席信息官和首席信息安全官之間的溝通渠道保持暢通，而且每周會面，即使僅僅交談半小時，雙方也會了解很多東西。

他說：“首席信息官將讓您了解公司內(nèi)的政治環(huán)境，從而使您對公司的問題或業(yè)務(wù)發(fā)展有很好的認(rèn)識。”這樣，他們可以一起想辦法，找出可以節(jié)約成本的地方。

他表示，如果首席信息官和首席信息安全官可以互相交談，那么就不會發(fā)生令人吃驚的事。“我發(fā)現(xiàn)，當(dāng)我們這樣做時，我們會合作得非常好。”

拜貝克也認(rèn)為，培養(yǎng)人際關(guān)系和建立伙伴關(guān)系是關(guān)鍵。“首席信息安全官應(yīng)努力變?yōu)槭紫畔⒐俚囊幻尚刨嚨念檰枺@樣他們就可以預(yù)測自己的需求，并掌握他們甚至可能沒有考慮到的有關(guān)安全風(fēng)險的問題或機會。”

所有首席信息官和首席信息安全官都認(rèn)為，相互尊重可能是雙方關(guān)系中最重要的因素。

克萊姆森大學(xué)的Kaurloto說：“從一開始，就必須相互了解……我們每天要實現(xiàn)和努力的目標(biāo)是什么。”“這是關(guān)鍵。第二件事是建立一種相互尊重的密切關(guān)系。你們不會總能達(dá)成相同的結(jié)果，也不會一直保持一致。但由于彼此相互尊重，你們會找到共同點。”

他補充說，還需要具有充分的透明度。“如果碰到您有言行不一致的情況，您將無法獲得首席信息安全官的尊重和理解。您的首席信息安全官是您工作總體成功的一部分。如果你們沒有良好的人際關(guān)系和真正的透明度，那么你們將不斷產(chǎn)生摩擦。”

Markel公司的賽弗斯表示，他和提圖斯都更專注于業(yè)務(wù)成果，而非安全或IT問題。“我們倆都利用自己的學(xué)科知識來支持我們的側(cè)重點。提圖斯是一個完美的專業(yè)人士……我鼓勵建立這種信任。這至關(guān)重要。”

提圖斯表示，對她來說，互相挑戰(zhàn)很重要，“當(dāng)你們結(jié)束爭論時，你們就會有一個一致的立場。你們會關(guān)起門解決問題。”

她表示，“重視這一合作伙伴關(guān)系很重要”，雙方可能都需要做出讓步，以實現(xiàn)這一共同目標(biāo)。

提圖斯說：“在如何實現(xiàn)目標(biāo)的方式上，我們可能會有一些分歧，但最終，我們會一起實現(xiàn)目標(biāo)。”

就像任何一樁美滿的婚姻一樣。