欢迎光临深圳CIO协会网站
当前位置:首页 >> 动态信息 > CIO中心 > 正文

CIO们想从CISO那里得到什么:协作而不是相互指责

新闻来源:企业网D1Net  发布时间:2019-11-21   点击数:1
  •  

    责任编辑:cres 作者:Dan Swinhoe 

    两位CIO解释了他们是如何看待与安全部门的关系的,以及为什么首席信息安全官(CISO)需要与CIO密切合作,无论他们是否需要向CIO报告。
     
    CSO或CISO向CEO而不是CIO报告的情况并不少见。虽然每家公司都有自己的组织和报告结构,但是CSO的位置和他们的报告对象无疑会影响公司内部的关系。这包括了CISO和CIO之间的关键关系。
     
    在伦敦举行的英国CIO峰会上,两位CIO讨论了他们与安全的关系,以及他们的角色是如何与安全功能协同工作的。
     
    在英国,很少有CSO能够与CIO并肩同行
     
    根据英国CIO 100调查的结果,在英国大约65%的公司有一个CISO或类似的需要向CIO进行职能报告的人。只有12%的组织认为CISO与CIO是同级的,这个比例在近几年增长了三倍之后,在去年的基础上略有下降了。
     
    这一比例落后于美国。在美国,根据2019年的CIO状况调查发现,近四分之一的CISO或类似机构会向首席执行官汇报--其中有43%的CSO和18%的CISO--只有45%的CISO需要向CIO汇报。然而,无论他们坐在哪里,CISO都应该努力让CIO也站在他们这边。
     
    CIO/CSO的协作是关键
     
    作为News Corp全球业务的首席信息官,Sabah Carter负责监督该公司在班加罗尔的设施,包括数据工程、产品工程、安全和基础设施运营,以及公司所有旗舰产品的运营,包括News UK、Dow Jones & Company和News Australia。其他业务部门也有自己的CIO和CISO,他们需要负责不同的地理位置、服务和产品线,她将其描述为一个“高度的矩阵结构”。
     
    “我发现解决这个问题的最好办法就是划定非常严格的界限。这周我和我的CISO以及CISO小组进行了一次非常有趣的对话,讨论谁应该对此负责,我最后说,‘好吧,如果班加罗尔出了什么事,而且不太对劲,我的命就保不住了。所以,给我一份CISO报告肯定有利于这种控制,我认为如果没有它,我就可能会失去这种控制。”
     
    除了向Carter报告,她的CISO还需要向总法律顾问报告,这对预算和促进董事会的认识等方面都有好处。“如果(CISO)是为首席技术官(CTO)或首席信息官(CIO)工作,那么这个人就有责任在(CIO)的预算范围内解决一切问题,因为他们会从CEO那里得到很多压力,”她表示。“如果那个人真的被安插到了首席执行官或首席法律顾问的位置上,那么这种风险就会在董事会层面上得到分担,而在那个层面上,你很难说不。你不会觉得你真的必须为安全开支辩护。”
     
    “我觉得在我的预算范围内,我控制了很多交付安全方面的问题,但是如果它可能会影响到全球的潜在品牌,那么其他人就必须提出一个案例和董事会层面的问题,这是非常有帮助的,”Carter说。
     
    Carter表示,无论报告结构如何,重要的是合作与协作。“如果你有一种文化,在这种文化中,人们会因为为彼此帮助而得到奖励,那么你就会有这个问题,”她说。“如果CISO的工作是进行评估,指出网络安全哪里不好,或者我们在哪些其他方面做得不好,那么显然你是在一个敌对的环境中建立起来的,这是两个对立的因素。”
     
    “不久前,有人宣传说,他们想要对所有不同的首席信息官进行全公司范围的安全评估,我们都拒绝了,因为我们不需要有人给我们的作业打分,”Carter说。“这绝对是错误的设置。”
     
    相反,Carter认为CIO和CISO应该一起寻找解决方案,而不是相互指责。“我不希望任何人来找我,告诉我他们发现了同事的一些东西,因为他们的回答总是,‘为什么会这样?你有什么计划吗?你们先不要来找我,等你们有了计划再一起来。’”
     
    CSO需要对CIO表现出信任
     
    CSO需要意识到,一些CIO可能不会把新安全主管的到来视为完全积极的事情--尤其是在这个职位是最近才设立的时候--如果他们以前只负责安全的话。“我想知道处于同一级别的平行模式是否真的会削弱CIO的角色,”Alan Hill说,他是埃克塞特大学的信息和数字总监,“因为我们应该以企业的最大利益为出发点来运营,而且我觉得我能够亲自来平衡这些风险的技术解决方案和商业风险。”
     
    因为学校没有CSO,所以Hill也在负责着安全的工作。该大学也确实有一个资深的信息风险负责人(教务长,相当于副首席执行官),他负责大学内部的风险管理,他将允许埃克塞特将商业和技术风险合并到一个地方。他认为,至少对于较小的组织来说,如果已经有了CIO,通常就不再需要CISO了。
     
    “这种观察威胁、分析威胁并把它们运用到商业活动中的能力,以及围绕这些威胁提出政策、指导和投资的能力,就是我的职责。我认为CIO们应该完全能够明白这一点。如果我处于那个位置,而他们又给了我一个CISO,我会感到有点委屈。这意味着他们不再信任我的工作了。”
     
    “这对人们来说是个挑战,”Hill继续说道。“究竟是不是因为我们作为CIO的工作做得还不够好,所以你才需要一个CISO和一个CSO,还是我没有抓住要点?”