Box公司的首席信息官對如何將傳統上首席信息官(CIO)和首席安全信息官(CISO)具有爭議的關係轉變爲更具協作性和有效性關係的技巧進行了分享。
首席信息官(CIO)的角色與首席信息安全官(CISO)的角色之間存在着天然的競爭關係。儘管首席信息官(CIO)希望更好地利用和實施新服務,但首席信息安全官(CISO)的目標是找出爲什麼不使用某些服務的安全風險。
建立健康的CIO-CISO關係的5條規則
這實際上是一種補充性的競爭關係,應該導致健康的決策過程,在需求與風險之間取得平衡。但實際上,他們之間的摩擦通常是不可避免的。安全計劃和解決方案增加了一些人認爲已經太複雜的體系結構的複雜性、開銷和摩擦。由於安全措施而導致訪問過程和性能降低,這通常使員工以及希望爲其員工提供無縫功能的IT組織感到沮喪。
如何建立有效的首席信息官(CIO)/首席安全信息官(CISO)關係
如今,從企業員工到董事會成員,風險管理和安全已成爲企業各個層面的頭等大事。衆所周知,安全漏洞可能對企業及其聲譽造成災難性影響,在美國,每次事件的平均成本估計超過800萬美元。在這種情況下,使用IT服務的員工以及負責這些服務的首席信息官(CIO)必須支持安全措施。
以下是有關如何將傳統上具有爭議的首席信息官(CIO)/首席安全信息官(CISO)關係轉變爲更具協作性和有效性的5條規則。
1.確定共同目標
這超出了合規性和數據安全性的一般性。首席信息官(CIO)/首席安全信息官(CISO)應根據具體舉措確定共同的目標。例如:大多數首席信息官(CIO)和首席安全信息官(CISO)都認爲降低複雜性是一個值得追求的目標。解決這個問題的一種方法是在開發過程中從頭開始爲應用程序構建安全性,而不是嘗試在以後添加或購買第三方解決方案來保護它們。這種方法可以通過更少的安全產品和更少的複雜性來提高安全性。通過合作實施內置/不固定的策略,首席信息官(CIO)和首席安全信息官(CISO)都可以實現其目標。
2.參與風險承擔
首席信息官(CIO)和首席安全信息官(CISO)需要平等合作,並且都需要與首席執行官(CEO)和企業董事會接觸。當需要潛在高風險的批准時尤其如此,因爲這兩個角色的優先級相互衝突,因此該決策可能需要更高的權限。在向首席執行官或董事會提出要求之前,首席信息官(CIO)和首席安全信息官(CISO)應該調整並清楚闡明所有數據,以基於風險的決策。最終,首席安全信息官(CISO)的工作是確定批准者(企業所有者、首席執行官或董事會)需要接受或拒絕的風險級別。
3.建立明確的責任範圍
確切地約定由誰負責是避免業務各個領域出現摩擦的最可靠方法之一,並且在IT和安全團隊之間定義清晰的決策框架(如DACI)也不例外。例如,大多數網絡安全決策將帶來超出安全性的影響,例如訪問步驟和用戶響應時間。根據高管的專業知識範圍做出決策可能很有意義,但是對誰擁有最終決定權或前進的決定有一個清晰的瞭解是非常重要的。
4.採取定量方法進行風險管理
企業面臨的風險並不相同。當服務和應用程序爭奪安全資源時,量化儘可能多的潛在風險和發生概率是有意義的。例如,如果工程組由於勒索軟件***而無法工作一段時間,則這些損失的小時數可以計算爲比減少事故風險的投資更高的成本。這種基於數據的方法可以使有關安全資源的辯論更具合理性。
5.處理人際關係
許多首席信息官(CIO)和首席安全信息官(CISO)都具有豐富的技術和領導經驗,通常可以從他們的角度來看待他們的角色。但是,他們做出的決策類型超出了技術上的考慮範圍,工作關係也是如此。首席信息官(CIO)和首席安全信息官(CISO)應在各自的章程中達成一致,並努力開展其專業工作。
相互矛盾的觀點和角色之間的緊張關係是企業開展業務的重要組成部分,因此不應阻止首席信息官(CIO)和首席安全信息官(CISO)解決問題和實現業務目標的協同工作。