鑒于相互競(jìng)爭(zhēng)的壓力和優(yōu)先事項(xiàng),首席信息官和首席信息安全官經(jīng)常發(fā)現(xiàn)彼此意見(jiàn)相左��。了解緊張關(guān)系的特點(diǎn)以及你的伙伴是如何工作的���,對(duì)于保持富有成效的合作關(guān)系至關(guān)重要�。
圖源:ABOUTLIFE(圖片上傳者��,可以譯為用戶ABOUTLIFE��,或者ABOUTLIFE)?/ SHUTTERSTOCK
【睿觀:本文探討首席信息官(CIO)與首席信息安全官(CISO)在高壓環(huán)境下共事所面臨的緊張關(guān)系�����,以及如何有效管理這種關(guān)系����。理解兩者之間的壓力和優(yōu)先事項(xiàng)有助于保持富有成效的合作。
一�、關(guān)系趨于緊張
首席信息官的主要職責(zé)是通過(guò)技術(shù)推動(dòng)業(yè)務(wù)轉(zhuǎn)型和增長(zhǎng),同時(shí)關(guān)注運(yùn)營(yíng)流程的持續(xù)性��。而首席信息安全官的任務(wù)則是保護(hù)企業(yè)免受外部威脅���。這些不同的優(yōu)先事項(xiàng)和壓力源常常導(dǎo)致兩者之間產(chǎn)生天然的摩擦���。
二��、常見(jiàn)的壓力點(diǎn)
1.漏洞修補(bǔ):首席信息安全官傾向于立即修補(bǔ)漏洞�,而首席信息官可能因業(yè)務(wù)壓力而推遲中等程度漏洞的修復(fù)時(shí)間��。
2.影響客戶體驗(yàn)的項(xiàng)目:例如����,多因素身份驗(yàn)證功能的實(shí)施會(huì)影響客戶體驗(yàn)�����,導(dǎo)致業(yè)務(wù)部門(mén)的抵制�����。
3.API管理:首席信息安全官希望對(duì)API進(jìn)行嚴(yán)格管理和測(cè)試�����,而首席信息官則在意快速交付新功能��。
4.事件管理:嚴(yán)重事件發(fā)生時(shí)�����,首席信息安全官作為“信使”常面臨信息不足的情況,這可能導(dǎo)致首席信息官的挫敗感����。
5.DevOps和DevSecOps:首席信息官多推崇快速發(fā)布軟件,而首席信息安全官則更注重在開(kāi)發(fā)流程中嵌入安全性�����。
三�、不同CIO和CISO原型的協(xié)作
首席信息官和首席信息安全官的工作方式和背景可能不同,影響他們之間的協(xié)調(diào)����。對(duì)方的工作風(fēng)格和自然傾向需要被理解和尊重。
四���、管理緊張關(guān)系的策略
若工作中的緊張關(guān)系加劇����,雙方應(yīng)共同努力解決分歧:
1.公司至上:優(yōu)先考慮公司的整體利益��。
2.理解商業(yè)效益:了解所有行動(dòng)的商業(yè)回報(bào)和意義�����。
3.事實(shí)導(dǎo)向:保持客觀和依據(jù)事實(shí)進(jìn)行討論。
4.透明和誠(chéng)實(shí):保持透明和誠(chéng)實(shí)����,但不要冒犯他人。
5.尋求雙贏:合作解決問(wèn)題����,確保雙方都能獲益��。
如果雙方無(wú)法自我調(diào)節(jié)�,可以尋求第三方或獨(dú)立教練的幫助,確保關(guān)系的重置和調(diào)整�����。
總之����,健康的緊張關(guān)系可能對(duì)首席信息官和首席信息安全官的工作產(chǎn)生正面影響,但需要有效管理�����,以避免演變成非生產(chǎn)性的沖突。通過(guò)明確溝通和相互理解�,企業(yè)能夠在保持緊張關(guān)系的同時(shí),實(shí)現(xiàn)整體效益的最大化�。】
首席信息官和首席信息安全官在高壓力環(huán)境中運(yùn)作�,這有時(shí)會(huì)給他們的關(guān)系帶來(lái)額外的壓力,并進(jìn)一步分散他們實(shí)現(xiàn)有益結(jié)果的注意力��。
在我自己的職業(yè)生涯中�,我曾歷任首席信息官和首席信息安全官,因此我從這兩個(gè)角度對(duì)這個(gè)問(wèn)題都有第一手的經(jīng)驗(yàn)�����。打破這種局面��,使關(guān)系可行����、健康并尊重雙方可能是一項(xiàng)挑戰(zhàn),尤其是對(duì)經(jīng)常向首席信息官報(bào)告的首席信息安全官來(lái)說(shuō)���。這需要了解對(duì)方角色的壓力和優(yōu)先級(jí)�����,以及你的伴侶是如何運(yùn)作的����。
一、關(guān)系趨于緊張
要理解為什么首席信息官和首席信息安全官之間存在天然的摩擦��,必須考慮各自的壓力和優(yōu)先事項(xiàng)�����。
首席信息官的角色充滿了大量活動(dòng)����,所有這些活動(dòng)都需要關(guān)注�,并在高管層和董事會(huì)中具有很高的知名度,他們希望看到首席信息官在IT議程上占據(jù)首位��。
這個(gè)議程——首席信息官存在的理由——是通過(guò)使用技術(shù)實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)型和增長(zhǎng)�。整個(gè)公司的主要利益相關(guān)者要求通過(guò)這些平臺(tái)提供具有技術(shù)支持的轉(zhuǎn)型和積極的客戶體驗(yàn),而首席信息官的評(píng)判標(biāo)準(zhǔn)是他們不僅有能力提供這些新的數(shù)字解決方案����,而且還能防止運(yùn)營(yíng)流程受到服務(wù)中斷或中斷的影響。
同時(shí)��,首席信息安全官的任務(wù)是保護(hù)企業(yè)免受外部威脅。是的���,首席信息官也關(guān)心這一點(diǎn)����,但當(dāng)涉及到保護(hù)企業(yè)所需的權(quán)衡時(shí)����,他們也面臨著來(lái)自業(yè)務(wù)利益相關(guān)者的壓力。
這些權(quán)衡是與首席信息安全官的職權(quán)范圍相交的關(guān)鍵點(diǎn)���,凸顯了雙方相互沖突的優(yōu)先事項(xiàng)��。隨著時(shí)間的推移�����,這種情況——以及如何處理和解決——可能會(huì)導(dǎo)致雙方之間產(chǎn)生真正的摩擦����。這種摩擦可以是公開(kāi)的�,在公共場(chǎng)合沸騰,也可以是隱蔽的,對(duì)其他同事或首席信息官和首席信息安全官自己來(lái)說(shuō)更為隱蔽����。
二、常見(jiàn)首席信息官和首席信息安全官壓力點(diǎn)
在每一個(gè)成熟的企業(yè)中�����,風(fēng)險(xiǎn)都必須暫時(shí)接受�,并推遲補(bǔ)救。漏洞修補(bǔ)是首席信息官和首席信息安全官之間可能出現(xiàn)緊張關(guān)系的一個(gè)例子���。
在高度關(guān)鍵的漏洞被利用的情況下���,首席信息安全官將希望立即應(yīng)用補(bǔ)丁,而首席信息官可能會(huì)配合這一緊迫性��。但對(duì)于中等級(jí)別的修補(bǔ)程序�����,首席信息官可能面臨壓力���,要求將這些中斷推遲到生產(chǎn)系統(tǒng),并可能會(huì)迫使首席信息安全官等待一周甚至幾個(gè)月才能進(jìn)行修補(bǔ)。
影響數(shù)字客戶體驗(yàn)的項(xiàng)目也存在著同樣的緊張關(guān)系�。例如,新的多因素身份驗(yàn)證功能需要新的客戶通信���,并可能需要相關(guān)的短期通道中斷��,這可能會(huì)讓業(yè)務(wù)難以接受���。
或者,首席信息官和工程團(tuán)隊(duì)可能正在與業(yè)務(wù)部門(mén)合作��,通過(guò)API(應(yīng)用程序編程接口����,是一些預(yù)先定義的函數(shù),目的是提供應(yīng)用程序與開(kāi)發(fā)人員基于某軟件或硬件的以訪問(wèn)一組例程的能力�����,而又無(wú)需訪問(wèn)源碼����,或理解內(nèi)部工作機(jī)制的細(xì)節(jié)。)平臺(tái)促進(jìn)新的客戶功能�。從首席信息安全官的角度來(lái)看�,這些API必須得到適當(dāng)?shù)墓芾?���,甚至要?jīng)過(guò)滲透測(cè)試,以確保它們不會(huì)產(chǎn)生意外的數(shù)據(jù)丟失向量�。首席信息安全官希望應(yīng)用更多的控制,但首席信息官雖然在原則上達(dá)成一致�����,還必須確保在短時(shí)間內(nèi)交付該功能���,從而滿足涉眾的要求�。
事件管理是另一個(gè)緊張局勢(shì)����。當(dāng)發(fā)生嚴(yán)重的網(wǎng)絡(luò)或業(yè)務(wù)中斷事件時(shí),首席信息安全官可以發(fā)揮領(lǐng)導(dǎo)作用����,而且通常是分享壞消息的“信使”。當(dāng)然�����,首席信息官希望立即得到告知��,但細(xì)節(jié)往往很少�����,有許多未知數(shù)����。這可能會(huì)讓首席信息官覺(jué)得首席信息安全官很糟糕,因?yàn)樵谶@個(gè)早期階段��,問(wèn)題往往多于答案����。
第五個(gè)例子是DevOps(Development和Operations的組合詞,過(guò)程���、方法與系統(tǒng)的統(tǒng)稱�。用于促進(jìn)開(kāi)發(fā)-應(yīng)用程序/軟件工程�、技術(shù)運(yùn)營(yíng)和質(zhì)量保障-QA部門(mén)之間的溝通、協(xié)作與整合����。)����,因?yàn)榘ㄎ以趦?nèi)的許多首席信息官都主張快速持續(xù)交付�����。不幸的是����,并沒(méi)有那么多首席信息官主張DevSecOps(是“開(kāi)發(fā)、安全和運(yùn)營(yíng)”的縮寫(xiě)�����。它是一種文化取向����、自動(dòng)化方法和平臺(tái)設(shè)計(jì)方法,將安全性作為整個(gè) IT 生命周期的共同責(zé)任����。DevOps是一組過(guò)程、方法與系統(tǒng)的統(tǒng)稱�����,用于促進(jìn)開(kāi)發(fā)、技術(shù)運(yùn)營(yíng)和質(zhì)量保障部門(mén)之間的溝通�����、協(xié)作與整合�;而DevSecOps強(qiáng)調(diào)的是應(yīng)用和基礎(chǔ)架構(gòu)的安全防護(hù)���。)在流程中嵌入網(wǎng)絡(luò)安全測(cè)試�����。這可能是因?yàn)槭紫畔⒐俳?jīng)常面臨來(lái)自執(zhí)行利益相關(guān)者的壓力���,要求其發(fā)布新的軟件構(gòu)建,從而接受在不完美的情況下可能需要一些迭代的風(fēng)險(xiǎn)�����。同時(shí)��,沒(méi)有多少首席信息安全官來(lái)自軟件開(kāi)發(fā)人員背景��,因此經(jīng)常不愿意參與和挑戰(zhàn)這個(gè)過(guò)程����。
三����、不同的首席信息官和首席信息安全官原型如何參與
上述摩擦領(lǐng)域與首席信息官和首席信息安全官的個(gè)性無(wú)關(guān)����,這是另一個(gè)額外的不兼容問(wèn)題,可能會(huì)對(duì)關(guān)系造成進(jìn)一步的壓力�。
首席信息官和首席信息安全官很可能是通過(guò)不同的職業(yè)道路到達(dá)他們的職位的,他們的工作方法也可能不同���。其中一些自然會(huì)更好地協(xié)同工作�����,而另一些可能會(huì)發(fā)生沖突�����。
我的建議是考慮一下你的交易對(duì)手是如何運(yùn)作的�,他們的自然風(fēng)格是什么����,以及你可能如何以不同的方式處理潛在的壓力點(diǎn)�。例如����,商業(yè)首席信息官或合作伙伴首席信息官將把利益相關(guān)者的參與作為成功的關(guān)鍵。如果與技術(shù)首席信息安全官或轉(zhuǎn)換首席信息安全官配對(duì)�����,可能會(huì)出現(xiàn)一些方法不匹配的情況��。
四��、如何管理這種緊張關(guān)系
如果你發(fā)現(xiàn)你在首席信息官-首席信息安全官緊張局勢(shì)加劇的情況下工作�����,或者你認(rèn)識(shí)到你的方法存在自然的分歧�����,那么首席信息官和首席信息安全官都必須認(rèn)識(shí)到這一問(wèn)題���,并努力解決他們之間的分歧。
在這種情況下,最好坐下來(lái)討論如何尊重并牢記業(yè)務(wù)目標(biāo)地合作��。建議考慮的一些原則包括:
1.采取公司至上的態(tài)度�。
2.了解所有擬議行動(dòng)的商業(yè)效益。
3.以事實(shí)為導(dǎo)向��。
4.要透明�、誠(chéng)實(shí),但絕不冒犯他人�。
5.尋求雙贏。
如果雙方都不致力于實(shí)現(xiàn)轉(zhuǎn)型�����,那么這種方法可能就不起作用了�����。如果是這樣的話��,那么可能需要重新設(shè)置����,請(qǐng)第三方或獨(dú)立教練來(lái)幫助促進(jìn)這種關(guān)系。希望這次重置可以通過(guò)一些小的調(diào)整來(lái)實(shí)現(xiàn)����,而不會(huì)有一方或雙方放棄并離開(kāi)�����。
健康的緊張氣氛對(duì)首席信息官和首席信息安全官的日常工作有好處�。但必須加以管理�����,以免沖突演變成非生產(chǎn)性的局面��。這對(duì)雙方來(lái)說(shuō)都是兩敗俱傷���,對(duì)整個(gè)企業(yè)來(lái)說(shuō)也不是一個(gè)好結(jié)果。
作者:David Gee(大衛(wèi)·吉)
David Gee(大衛(wèi)·吉)是Foundry出版集團(tuán)的特約撰稿人��。他在金融服務(wù)和制藥行業(yè)擁有超過(guò)20年的首席信息官���、首席信息安全官和技術(shù)�����、網(wǎng)絡(luò)和數(shù)據(jù)風(fēng)險(xiǎn)執(zhí)行官經(jīng)驗(yàn)����。David已經(jīng)轉(zhuǎn)型為董事會(huì)顧問(wèn)、非執(zhí)行董事和戰(zhàn)略IT顧問(wèn)�。多年來(lái),他為IDG澳大利亞公司撰寫(xiě)了大量關(guān)于首席信息官����、計(jì)算機(jī)世界和首席安全官的文章,目前正在撰寫(xiě)兩本關(guān)于首席信息官和首席安全官職業(yè)的新書(shū)�。
譯者:寶藍(lán) @lex
