CIO和CISO在高壓環(huán)境中工作，這種環(huán)境有時(shí)會(huì)給他們的關(guān)系帶來(lái)額外的壓力，進(jìn)一步分散他們實(shí)現(xiàn)有利成果的注意力。

在我的職業(yè)生涯中，我曾擔(dān)任過(guò)CIO和CISO，所以我從兩個(gè)角度親身體驗(yàn)過(guò)這個(gè)問(wèn)題。緩和局勢(shì)，使關(guān)系對(duì)雙方都可行、健康和尊重是一項(xiàng)挑戰(zhàn)，尤其是對(duì)于那些通常向CIO報(bào)告的CISO來(lái)說(shuō)，這需要理解對(duì)方角色的壓力和優(yōu)先事項(xiàng)，以及你的合作伙伴如何運(yùn)作。

容易產(chǎn)生緊張的關(guān)系

要理解為什么CIO和CISO之間自然存在摩擦，必須考慮各自的壓力和優(yōu)先事項(xiàng)。

CIO的角色涉及大量需要關(guān)注的活動(dòng)，并且在執(zhí)行管理層和董事會(huì)面前有很高的可見(jiàn)度，他們希望看到CIO掌握IT議程。

這個(gè)議程——CIO的存在理由——是通過(guò)技術(shù)的使用推動(dòng)業(yè)務(wù)轉(zhuǎn)型和增長(zhǎng)。公司內(nèi)部的主要利益相關(guān)者要求交付技術(shù)驅(qū)動(dòng)的變革和積極的客戶體驗(yàn)，而CIO的評(píng)判標(biāo)準(zhǔn)不僅在于交付這些新的數(shù)字解決方案，還在于確保運(yùn)營(yíng)過(guò)程不受停機(jī)或服務(wù)中斷的影響。

同時(shí)，CISO的任務(wù)是保護(hù)企業(yè)免受外部威脅，CIO也關(guān)心這一點(diǎn)，但他們?cè)谏婕氨Ｗo(hù)企業(yè)的權(quán)衡取舍時(shí)面臨來(lái)自業(yè)務(wù)利益相關(guān)者的壓力。

這些權(quán)衡取舍是CISO職責(zé)范圍內(nèi)的關(guān)鍵點(diǎn)，突顯了雙方的優(yōu)先事項(xiàng)沖突。隨著時(shí)間的推移，這種情況以及它們的處理和解決方式，可能導(dǎo)致雙方之間的實(shí)際摩擦，這種摩擦可能是公開(kāi)的，甚至在公眾面前爆發(fā)，或者是隱性的，更隱蔽在同事或CIO/CISO本身的關(guān)系中。

常見(jiàn)的CIO和CISO之間的壓力點(diǎn)

在每個(gè)成熟的企業(yè)中，風(fēng)險(xiǎn)都必須暫時(shí)接受，補(bǔ)救措施被推遲。漏洞修補(bǔ)是CIO和CISO之間可能出現(xiàn)緊張關(guān)系的一個(gè)例子。

在被利用的高度關(guān)鍵漏洞的情況下，CISO會(huì)希望立即應(yīng)用補(bǔ)丁，而CIO可能也會(huì)同意這種緊迫性，但對(duì)于中等級(jí)別的補(bǔ)丁，CIO可能會(huì)面臨推遲這些對(duì)生產(chǎn)系統(tǒng)的干擾的壓力，并可能要求CISO等一周甚至幾個(gè)月再進(jìn)行修補(bǔ)。

同樣的緊張關(guān)系也存在于影響數(shù)字客戶體驗(yàn)的項(xiàng)目中。例如，新的多因素身份驗(yàn)證功能需要新的客戶溝通，并且可能會(huì)暫時(shí)擾亂渠道，這可能是業(yè)務(wù)難以接受的。

或者，CIO和工程團(tuán)隊(duì)可能正在與業(yè)務(wù)部門合作，通過(guò)API平臺(tái)提供新的客戶功能。從CISO的角度來(lái)看，這些API必須妥善管理，甚至需要進(jìn)行滲透測(cè)試，以確保它們不會(huì)成為意外的數(shù)據(jù)丟失途徑。CISO會(huì)希望應(yīng)用更多控制，但CIO在原則上同意的同時(shí)，也必須通過(guò)確保在短時(shí)間內(nèi)交付功能來(lái)滿足利益相關(guān)者。

事件管理是另一個(gè)容易產(chǎn)生緊張的領(lǐng)域。在發(fā)生嚴(yán)重的網(wǎng)絡(luò)或業(yè)務(wù)中斷事件時(shí)，CISO有領(lǐng)導(dǎo)作用，并且通常是分享壞消息的“信使”。自然，CIO希望立即被通知，但通常細(xì)節(jié)很少，存在許多未知數(shù)。在這種早期階段，CISO可能會(huì)在CIO面前顯得不利，因?yàn)橥ǔＳ懈鄦?wèn)題而不是答案。

第五個(gè)例子是DevOps，許多CIO，包括我自己，倡導(dǎo)快速持續(xù)交付。不幸的是，并不是所有的CIO都倡導(dǎo)在過(guò)程中嵌入網(wǎng)絡(luò)安全測(cè)試的DevSecOps，這可能是因?yàn)镃IO通常面臨來(lái)自執(zhí)行利益相關(guān)者的壓力，要求發(fā)布新的軟件版本，因此接受在不完美的情況下可能需要進(jìn)行一些迭代的風(fēng)險(xiǎn)。與此同時(shí)，并不是許多CISO來(lái)自軟件開(kāi)發(fā)背景，因此通常不習(xí)慣于參與和挑戰(zhàn)這個(gè)過(guò)程。

不同類型的CIO和CISO之間的互動(dòng)

上述摩擦領(lǐng)域與CIO和CISO的個(gè)性無(wú)關(guān)，這是另一個(gè)可能給關(guān)系帶來(lái)額外壓力的不兼容問(wèn)題。

CIO和CISO可能通過(guò)不同的職業(yè)路徑達(dá)到他們的位置，并且可能對(duì)他們的工作有不同的方法。一些由此產(chǎn)生的原型自然更能一起工作，而另一些則可能發(fā)生沖突。

我的建議是考慮你的對(duì)手如何運(yùn)作，他們的自然風(fēng)格是什么，以及你可能如何以不同的方式處理潛在的壓力點(diǎn)。例如，業(yè)務(wù)型CIO或合作型CIO會(huì)將利益相關(guān)者的參與視為成功的關(guān)鍵。如果與技術(shù)型CISO或變革型CISO配對(duì)，可能會(huì)在方法上存在一些不匹配。

如何管理這種緊張關(guān)系

如果你發(fā)現(xiàn)自己處于CIO和CISO緊張關(guān)系加劇的情景中，或者你認(rèn)識(shí)到彼此方法上的自然分歧，重要的是CIO和CISO雙方都承認(rèn)這個(gè)問(wèn)題并共同努力解決分歧。

在這些情況下，最好坐下來(lái)討論如何在尊重和考慮業(yè)務(wù)目標(biāo)的前提下一起工作。一些建議的原則包括：

• 采用公司至上的態(tài)度。
• 理解所有建議行動(dòng)的業(yè)務(wù)利益。
• 以事實(shí)為驅(qū)動(dòng)。
• 保持透明和誠(chéng)實(shí)，但絕不冒犯。
• 尋找雙贏的解決方案。

如果雙方不致力于實(shí)現(xiàn)變革，這種方法可能無(wú)效。如果是這樣，那么可能需要重置，邀請(qǐng)第三方或獨(dú)立教練來(lái)幫助促進(jìn)關(guān)系。希望這種重置可以通過(guò)一些小調(diào)整來(lái)實(shí)現(xiàn)，而無(wú)需一方或雙方放棄并退出。

適度的緊張對(duì)CIO和CISO在日常工作中是有益的，但這種緊張必須得到管理，以免演變成非生產(chǎn)性的沖突，沖突對(duì)整個(gè)業(yè)務(wù)來(lái)說(shuō)也不是一個(gè)好的結(jié)果。