在企業(yè)中，CISO和CIO扮演著至關(guān)重要的角色，然而，他們的優(yōu)先事項卻常常產(chǎn)生分歧，導(dǎo)致合作中的摩擦。本文將探討CISO與CIO之間的沖突根源，并提出一系列合作策略，助力兩者攜手推動企業(yè)的韌性增長。

CISO和CIO之間的關(guān)系一直復(fù)雜多變。雖然這兩個角色對于企業(yè)的成功都至關(guān)重要，但他們的優(yōu)先事項卻常常使他們產(chǎn)生分歧。CIO關(guān)注IT效率、創(chuàng)新和業(yè)務(wù)支持，而CISO則優(yōu)先考慮安全、風(fēng)險管理和合規(guī)性。這些不同的目標(biāo)可能導(dǎo)致摩擦，但如果采用正確的策略，它們可以協(xié)同一致，共同打造一個更強大、更具韌性的企業(yè)。

沖突根源

CISO和CIO之間的緊張關(guān)系往往源于以下關(guān)鍵領(lǐng)域：

目標(biāo)沖突——CIO確保IT運營順暢，并采用新技術(shù)推動業(yè)務(wù)成功，而CISO則必須減輕網(wǎng)絡(luò)風(fēng)險，這有時會拖慢IT項目進度或增加額外的合規(guī)步驟。

預(yù)算和資源分配——IT預(yù)算往往傾向于運營改進，而安全投資則可能被視為一種成本，而非收入推動因素。這可能導(dǎo)致在優(yōu)先級上產(chǎn)生分歧。

匯報結(jié)構(gòu)——在許多企業(yè)中，CISO向CIO匯報，這可能形成一種層級結(jié)構(gòu)，使安全被視為IT運營的次要關(guān)注點。

安全與速度——CIO優(yōu)先考慮敏捷性和數(shù)字化轉(zhuǎn)型，而CISO則強調(diào)安全控制，這有時會拖慢新技術(shù)的推出速度。

溝通鴻溝——IT和安全團隊之間缺乏共同語言可能導(dǎo)致對風(fēng)險和業(yè)務(wù)需求產(chǎn)生誤解。

LogicGate的CISO尼克·凱瑟琳(Nick Kathmann)告訴記者：“盡管有時CISO和CIO的優(yōu)先級不同，但當(dāng)他們攜手合作時，預(yù)算分配會增加，內(nèi)部流程會簡化，外部利益相關(guān)者也會對企業(yè)的安全狀況更有信心。從項目初期就與CISO合作的CIO，在項目進展過程中往往會遇到更少的摩擦?！苿幽繕?biāo)柱’是CIO必須應(yīng)對的一個常見問題，但與能夠有效溝通、有明確標(biāo)準(zhǔn)和要求的CISO合作，將有助于減少這種沖突，確保項目順利運行，避免成本高昂且令人沮喪的中斷。這意味著CISO-CIO合作能夠加快更安全的技術(shù)實施和創(chuàng)新，以支持業(yè)務(wù)的加速增長?！?/p>

合作策略

CISO和CIO可以實施以下策略來攜手合作，而不是各自為政或產(chǎn)生分歧：

在業(yè)務(wù)目標(biāo)上達成一致

• 兩位領(lǐng)導(dǎo)者都必須認(rèn)識到，IT效率和安全不是相互競爭的利益，而是支持業(yè)務(wù)目標(biāo)的互補力量。
• 建立聯(lián)合關(guān)鍵績效指標(biāo)(KPI)，同時納入IT和安全目標(biāo)。

改善治理和匯報結(jié)構(gòu)

• 許多企業(yè)正在轉(zhuǎn)向一種模式，即CISO直接向首席執(zhí)行官或董事會匯報，使安全擁有更獨立的發(fā)言權(quán)。
• 如果CISO仍歸CIO管轄，那么在安全相關(guān)決策上應(yīng)有明確的自主權(quán)。

培養(yǎng)共同責(zé)任文化

• IT團隊不應(yīng)將安全視為障礙，而應(yīng)將其視為保護創(chuàng)新的業(yè)務(wù)推動因素。
• 在IT項目中實施安全設(shè)計原則，確保安全融入流程，而非作為事后補充。

投資于合作工具和實踐

• IT和安全團隊之間的定期聯(lián)合會議有助于對齊策略并及早解決沖突。
• 考慮使用集成儀表板，在一個地方提供IT性能和安全風(fēng)險指標(biāo)。

平衡安全與業(yè)務(wù)敏捷性

• CISO可以與CIO合作開發(fā)安全框架，以實現(xiàn)快速且安全的技術(shù)采用，而非施加僵硬的限制。
• 實施基于風(fēng)險的方法，根據(jù)實際威脅應(yīng)用安全控制，而非采用阻礙運營的一刀切政策。

倡導(dǎo)共享預(yù)算

• CIO和CISO可以就IT和安全投資如何相輔相成向領(lǐng)導(dǎo)層提出統(tǒng)一論點，而非爭奪單獨的預(yù)算。
• 強調(diào)安全事件對財務(wù)的影響，以證明安全支出是一種成本避免策略，而非一種費用。

建立溝通渠道

• 在與IT和執(zhí)行團隊討論安全風(fēng)險時，使用業(yè)務(wù)友好的語言。
• 開展跨職能培訓(xùn)，使IT人員了解安全問題，安全團隊了解IT運營挑戰(zhàn)。