首席信息官(CIO)的角色與首席信息安全官(CISO)的角色之間存在著天然的競爭關系。盡管首席信息官(CIO)希望更好地利用和實施新服務,但首席信息安全官(CISO)的目標是找出為什么不使用某些服務的安全風險。
這實際上是一種補充性的競爭關系,應該導致健康的決策過程,在需求與風險之間取得平衡。但實際上,他們之間的摩擦通常是不可避免的。安全計劃和解決方案增加了一些人認為已經太復雜的體系結構的復雜性、開銷和摩擦。由于安全措施而導致訪問過程和性能降低,這通常使員工以及希望為其員工提供無縫功能的IT組織感到沮喪。
如何建立有效的首席信息官(CIO)/首席安全信息官(CISO)關系
如今,從企業員工到董事會成員,風險管理和安全已成為企業各個層面的頭等大事。眾所周知,安全漏洞可能對企業及其聲譽造成災難性影響,在美國,每次事件的平均成本估計超過800萬美元。在這種情況下,使用IT服務的員工以及負責這些服務的首席信息官(CIO)必須支持安全措施。
以下是有關如何將傳統上具有爭議的首席信息官(CIO)/首席安全信息官(CISO)關系轉變為更具協作性和有效性的5條規則。
1.確定共同目標
這超出了合規性和數據安全性的一般性。首席信息官(CIO)/首席安全信息官(CISO)應根據具體舉措確定共同的目標。例如:大多數首席信息官(CIO)和首席安全信息官(CISO)都認為降低復雜性是一個值得追求的目標。解決這個問題的一種方法是在開發過程中從頭開始為應用程序構建安全性,而不是嘗試在以后添加或購買第三方解決方案來保護它們。這種方法可以通過更少的安全產品和更少的復雜性來提高安全性。通過合作實施內置/不固定的策略,首席信息官(CIO)和首席安全信息官(CISO)都可以實現其目標。
2.參與風險承擔
首席信息官(CIO)和首席安全信息官(CISO)需要平等合作,并且都需要與首席執行官(CEO)和企業董事會接觸。當需要潛在高風險的批準時尤其如此,因為這兩個角色的優先級相互沖突,因此該決策可能需要更高的權限。在向首席執行官或董事會提出要求之前,首席信息官(CIO)和首席安全信息官(CISO)應該調整并清楚闡明所有數據,以基于風險的決策。最終,首席安全信息官(CISO)的工作是確定批準者(企業所有者、首席執行官或董事會)需要接受或拒絕的風險級別。
3.建立明確的責任范圍
確切地約定由誰負責是避免業務各個領域出現摩擦的最可靠方法之一,并且在IT和安全團隊之間定義清晰的決策框架(如DACI)也不例外。例如,大多數網絡安全決策將帶來超出安全性的影響,例如訪問步驟和用戶響應時間。根據高管的專業知識范圍做出決策可能很有意義,但是對誰擁有最終決定權或前進的決定有一個清晰的了解是非常重要的。
4.采取定量方法進行風險管理
企業面臨的風險并不相同。當服務和應用程序爭奪安全資源時,量化盡可能多的潛在風險和發生概率是有意義的。例如,如果工程組由于勒索軟件攻擊而無法工作一段時間,則這些損失的小時數可以計算為比減少事故風險的投資更高的成本。這種基于數據的方法可以使有關安全資源的辯論更具合理性。
5.處理人際關系
許多首席信息官(CIO)和首席安全信息官(CISO)都具有豐富的技術和領導經驗,通常可以從他們的角度來看待他們的角色。但是,他們做出的決策類型超出了技術上的考慮范圍,工作關系也是如此。首席信息官(CIO)和首席安全信息官(CISO)應在各自的章程中達成一致,并努力開展其專業工作。
相互矛盾的觀點和角色之間的緊張關系是企業開展業務的重要組成部分,因此不應阻止首席信息官(CIO)和首席安全信息官(CISO)解決問題和實現業務目標的協同工作。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號