CISO和CIO之间的动态一直很复杂。虽然这两个角色对组织的成功至关重要,但他们的优先事项往往使他们处于矛盾之中。首席信息官专注于IT效率、创新和业务支持,而首席信息官优先考虑安全性、风险管理和合规性。这些不同的目标可能会导致摩擦,但有了正确的策略,它们可以保持一致,以创建一个更强大、更有弹性的组织。
冲突的根源
CISO和CIO之间的紧张关系通常源于这些关键领域:
1.相互冲突的目标——首席信息官确保无缝的IT运营,并采用新技术来推动业务成功。另一方面,CISO必须减轻网络风险,这有时会减缓IT项目或引入额外的合规步骤。
2.预算和资源分配——IT预算通常有利于运营改进,而安全投资可能被视为成本而不是收入促进因素。这可能会导致对优先事项产生分歧。
3.报告结构——在许多组织中,CISO向CIO报告,CIO可以创建一个层次结构,安全被视为IT运营的次要问题。
4.安全与速度——首席信息官优先考虑敏捷性和数字化转型,而首席信息安全官则强调安全控制,这有时会减缓新技术的推出。
5.沟通差距——IT和安全团队之间缺乏共同的语言可能会导致对风险和业务需求的误解。
“虽然有时首席信息官和首席信息官有不同的优先事项,但当他们联手时,预算分配会增加,内部流程会简化,外部利益相关者对组织的安全态势有了更大的信心。从启动阶段开始与CISO合作的首席信息官往往会随着项目的进展而减少摩擦。“移动目标柱”是首席信息官必须处理的一个非常常见的问题,但与有效沟通并明确定义标准和要求的首席信息官合作将有助于减少冲突,并保持项目顺利进行——而不会有代价高昂和令人沮丧的中断。LogicGate的CISO Nick Kathmann告诉Help Net Security,这意味着CISO-CIO合作可以实现更快、更安全的技术实施和更快、更安全的创新,以支持加速业务增长。
协作策略
CISO和CIO可以实施以下策略来合作,而不是在孤岛或对位中运作:
就业务目标保持一致
- 两位领导者都必须认识到,IT效率和安全性不是相互竞争的利益,而是支持业务目标的互补力量。
- 建立包含IT和安全目标的联合关键绩效指标(KPI)。
改善治理和报告结构
- 许多组织正在转向CISO直接向首席执行官或董事会报告的模式,让安全部门有更独立的声音。
- 如果首席信息安全官仍在首席信息官的领导下,则在与安全相关的决策中应该有明确的自主权。
培养分担责任的文化
- IT团队应该将其视为保护创新的业务推动因素,而不是将安全性视为障碍。
- 在IT项目中实施安全设计原则,以确保安全内置到流程中,而不是事后添加。
投资于协作工具和实践
- IT和安全团队之间的定期联合会议有助于调整战略并尽早解决冲突。
- 考虑使用集成仪表板,在一个地方提供IT性能和安全风险指标。
平衡安全性和业务敏捷性
- CISO可以与CIO合作开发安全框架,以实现快速和安全的技术采用,而不是施加严格的限制。
- 实施基于风险的方法,根据实际威胁适用安全控制,而不是阻碍运营的全面政策。
倡导共享预算
- 首席信息官和首席信息安全官可以向领导层提出一个统一的案例,即IT和安全投资如何齐头并进,而不是为单独的预算而战。
- 强调安全事件的财务影响,以证明安全支出是一种成本避让策略而不是费用。
建立沟通渠道
- 在与IT和执行团队讨论安全风险时,使用商务友好的语言。
- 开展跨职能培训,以便IT员工了解安全问题,安全团队了解IT运营挑战。
消息来源:helpnetsecurity, 编译:安全114;
本文由 anquan114.com 翻译整理,封面来源于网络;
转载请注明“转自 anquan114.com”并附上原文
暂无评论内容