精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:CIO技術探討 → 正文

首席信息官與首席信息安全官如何融洽相處

責任編輯:cres 作者:Esther Shein |來源:企業(yè)網D1Net  2020-12-24 10:30:09 原創(chuàng)文章 企業(yè)網D1Net

作為戰(zhàn)略要務,安全工作的不斷攀升已改變了IT與信息安全主管之間的關系。本文將介紹首席信息官和首席信息安全官如何成為推動形成協(xié)同效應的合作伙伴。
 
新冠疫情使首席信息官和首席信息安全官成為一對奇怪的合作伙伴,而今年在遭遇前所未有的疫情局面下,他們不得不比以往更加緊密地合作。而結果如何呢?他們之間的關系狀態(tài)總體上有所改善。
 
在過去的幾個月中,各個組織機構都加快推進了其數(shù)字計劃和向云端遷移的工作,以支持遠程辦公的員工和客戶。Gartner研究部副總裁杰弗里•惠特曼(Jeffrey Wheatman)表示,這“導致人??們的風險偏好發(fā)生了非常顯著的變化,同時使首席信息官和首席信息安全官更加緊密地被聯(lián)系在一起。”
 
惠特曼表示,現(xiàn)在還需要一種共生的關系,因為“董事會現(xiàn)在對網絡安全工作會提出更多的問題,有時甚至是更全面的問題,”“這導致首席信息官和首席信息安全官至少要有一個一致性的故事或敘述。”
 
首席信息官和首席信息安全官一致認為,推動人工流程和一些功能的自動化以提高工作效率,這就必須要更緊密地合作。保險公司Markel的首席隱私和信息安全官帕特麗夏·提圖斯(Patricia Titus)說:“無論匯報架構如何,首席信息官和首席信息安全官都必須在發(fā)展路線圖和戰(zhàn)略上緊密合作。”
 
安全性現(xiàn)已成為戰(zhàn)略性工作
 
當首席信息安全官向首席信息官匯報工作時,情況卻并非總是如此。“不幸的是,一些首席信息安全官在首席信息官的領導下工作很艱難,因為最終,他們發(fā)現(xiàn)和需要解決的某些問題使首席信息官更加難以處理,”惠特曼說。“我認為,首席信息安全官希望確保傳輸中的數(shù)據不應該被那些不應看到這些數(shù)據的人所看到,同時應(保持)系統(tǒng)的完整性,以及數(shù)據的安全性和合規(guī)性,因此這兩個職位之間的目標就存在一些分歧。
 
他表示,好消息是,由于企業(yè)高管和利益相關者越來越依賴于技術,而形成一種意識,這使得這兩個角色之間的矛盾比以往更少,并且有更大的協(xié)同效應。
 
安全性作為一門學科其成熟度也在增加?;萏芈f:“現(xiàn)在,安全性已被更多地視為一種戰(zhàn)略舉措,而不是人們所說‘不,停下來,不要做,’”。“我們以前將這種類型的首席信息安全官稱為‘不博士’。這種首席信息安全官現(xiàn)在很少了。”
 
當首席信息官和首席信息安全官更多地將自己視為合作伙伴和同伴時,這就會產生協(xié)同效應,惠特曼補充道。“當我們看到諸如物聯(lián)網和云計算等運營技術開始融合時,人們已認識到這兩個角色必須更加步調一致,而不是首席信息官把某些工作推出去,然后說:‘你必須保證我們已經部署的東西安全。’”
 
首席信息官和首席信息安全官之間關系的演變
 
Markel公司的首席信息官提圖斯和邁克·賽弗斯(Mike Scyphers)已經一起工作將近五年,擁有可謂是理想的工作伙伴關系,彼此相互尊重和欣賞。雙方都會很敬佩地評價對方。
 
賽弗斯表示,隨著消費者技術的發(fā)展以及業(yè)務部門能夠提升自己的云服務,這就很容易使人們專注于創(chuàng)新,而無需“考慮安全性”。他稱自己與提圖斯的關系“很有價值”,并說:“如果沒有這種合作關系,我無法想象如何來(部署某一技術)。”
 
提圖斯最初在IT部門工作,賽弗斯說他“完全支持”她開始行動。
 
“每當我們進行對話且出現(xiàn)一種不周全的制衡(討論)時,我都會感到緊張。按提圖斯的說法就是,有些事情不對勁,但開始時是正確的,”他說。“我會討論我們之間的不同觀點,但是……當一切都在IT部門內時,最終,我發(fā)現(xiàn)自己會贊同兩種不同的觀點,而當您總想把所有事情都做對時,您就會有盲點,因而不同的觀點有助于對您進行彌補。”
 
賽弗斯表示,他不喜歡扮演“好人,壞人”的角色,因此當安全問題出現(xiàn)時,IT部門會向安全團隊求助,以了解情況。如果他們有解決辦法了,我們就不會在這一問題上浪費時間了。”
 
人們長期以來一直認為,首席信息官與首席信息安全官是一種對抗關系,即一方要向另一方匯報工作,并且要有一種“你必須照我說的做”的態(tài)度,軟銀投資顧問公司(SoftBank Investment Advisers)的首席信息安全官蓋里•海斯利普(Gary Hayslip)說。
 
海斯利普在職業(yè)生涯的早期,曾擔任首席信息官,后來轉任首席信息安全官一職。他表示,他過去認為首席信息安全官不應該向首席信息官匯報工作。“首席信息安全官的工作是利用人員、流程和技術來管理風險,而首席信息官的工作是提供服務。這些是完全不同的工作領域,”他解釋道。“我們使用相同的資源,但是我們處理問題的方式極為不同。”
 
也就是說,IT堆棧和技術安全堆棧是相互交織的,這意味著兩個團隊必須相互支持,海斯利普補充道。
 
海斯利普向軟銀公司的技術和信息安全主管維爾·波利瓦爾(Wil Bolivar)匯報工作,他表示,我們是“真正的好朋友”。他還向軟銀公司的首席財務官匯報工作。海斯利普表示,在之前的一些工作崗位上,他還曾向一些“非常優(yōu)秀的首席信息官”和首席信息安全官,以及一些與他有爭執(zhí)關系的人匯報工作。
 
“有時候,您會遇到一些首席信息安全官,他們非常專注,甚至過度關注于安全和風險工作,但這并非總有意義,’海斯利普說。“他們是戰(zhàn)術性很強的首席信息安全官,但不善于與他人合作,他們認為所有風險問題必須立刻、馬上、現(xiàn)在處理。”
 
海斯利普稱自己是既有戰(zhàn)術又有戰(zhàn)略的首席信息安全官。“我將自己視為一個碰巧負責網絡安全工作的業(yè)務主管,我必須與其他業(yè)務部門的同事一起工作”,并要向他們解釋安全的價值。
 
“做到這一點的唯一方法是,我不能直接與他們進行接觸;但我必須了解他們的工作方式,他們的需求,他們的主要客戶以及我該如何為他們提供支持,”海斯利普說。“我采用了這種方式,而且獲得了更多的支持。”
 
他補充說,如果首席信息安全官只是嚴格意義上的戰(zhàn)術角色,那么業(yè)務人員就“只會忍受一段時間您的廢話,然后就把您踢到一邊。”
 
海斯利普認為,當首席信息安全官僅與小公司合作,習慣于解決緊急問題,而且沒有機會獲得職業(yè)發(fā)展時,具備戰(zhàn)術性就是一個“成熟度問題”。
 
匯報架構
 
匯報工作的架構因公司而異,還可能因行業(yè)而異。Gartner的惠特曼表示,例如,如果您在金融服務行業(yè),則向首席財務官匯報工作往往更合理。在運輸、物流或零售領域工作的首席信息安全官,則最有可能向首席運營官匯報工作。
 
“我每年要接600個電話,大概有80到100個電話是與組織結構有關,其根本問題是,首席信息安全官是否應該向首席信息官匯報工作?”他說道。在惠特曼過去所做的研究中,約有三分之一的受訪首席信息安全官表示,他們不屬于IT部門,他說道。
 
他表示,當某一組織機構認識到安全性是一個業(yè)務問題而不是一個技術問題時,網絡安全工作通常就會被排除在IT部門外。“當網絡安全屬于首席信息官的(工作范疇)時……則每個人都認為(安全性是)一個技術問題。這涉及到一些工具和技術,但網絡安全是運營技術。”惠特曼表示,其重點是為業(yè)務流程以及法律和監(jiān)管要求提供支持。“這些工作都不是首席信息官的工作或技術問題。”
 
惠特曼表示,他在Gartner工作的14年中,來自公司安全會議的數(shù)據顯示,約有35%的人自稱是公司的安全主管,而且他們并不向IT部門匯報工作。“但現(xiàn)在不是這種情況了。”
 
甲骨文公司客戶服務副總裁兼首席信息安全官布倫南·拜貝克(Brennan Baybeck)會向業(yè)務部門主管匯報工作,但他表示自己向首席信息官匯報工作已有七年了,并擁有一些有益的經驗。
 
“我很幸運能與一位優(yōu)秀的首席信息官共事,他理解安全的重要性,并且大力支持這一工作,”拜貝克說道。同時,他還是IT治理組織——國際信息系統(tǒng)審計協(xié)會(ISACA)董事會成員。拜貝克表示,自己能夠從業(yè)務和IT角度向首席信息官闡明和表達安全性對公司戰(zhàn)略的重要性。“自己通過不斷向首席信息官匯報工作,進行講解,使首席信息官認識到安全性如何可以推動我們的業(yè)務工作,以及讓他了解安全態(tài)勢、風險和漏洞,從而形成良好的合作關系。”
 
拜貝克表示,他會主動定期與首席信息官會面,不僅會談及安全工作,還會分享一些如何通過安全性服務使IT部門更高效工作的想法。
 
他說:“他提拔我進入到他的領導團隊,這意味著我不僅可以向高管們提供一些安全性建議,還可以確保安全性已融入且與業(yè)務和IT戰(zhàn)略相關。”“此外,我還能夠為IT團隊帶來價值。”
 
提升安全性占用了拜貝克大約75%的工作時間,而他會利用剩下25%的時間來獲取更多資源。“對于我的許多同事而言,這個時間比例是顛倒的,他們將大部分時間都花在爭取和維護資源上。”
 
海斯利普認為,首席信息安全官不向首席信息官匯報工作,這是一件好事。這樣,“風險更加可見,而且組織機構能夠從戰(zhàn)略角度來了解將在哪里進行管理,”他說。
 
他表示,在這種環(huán)境中,首席信息官和首席信息安全官應該是對等關系,仍然要每周開會。
 
新冠疫情的影響
 
由于IT部門努力推進遠程辦公,同時安全團隊則努力確保員工在遠程接入網絡時其身份得到驗證,并且確保數(shù)據安全,因此新冠疫情當然促進了彼此的支持。 “如果在目前的新冠疫情環(huán)境下,您的(安全團隊)在沒有IT部門的支持下開展工作,那么您會瘋掉的,”海斯利普說。
 
他指出,網絡邊緣已經進入家庭。海斯利普說:“因為我有680名員工,因而我有680個網絡需要關注,而不是一個網絡。”
 
盡管在新冠疫情之前,克萊姆森大學(Clemson University)副校長兼首席信息官Russell Kaurloto與首席信息安全官哈爾·斯通(Hal Stone)有著良好的工作關系,但他承認,新冠病毒“鞏固了這一關系,并使我們更緊密地分享信息和更有效地溝通”。
 
克萊姆森大學之前約有1800名學生在網上遠程學習,而在今年3月,這一數(shù)字躍升至約26,000人,同時包括4,000名教職員工。“我每周都與首席信息安全官一對一交流,但他也參與每天的新冠病毒電話溝通,我們會系統(tǒng)地了解目前發(fā)生的情況,”Kaurloto說。
 
首席信息官和首席信息安全官之間關系和諧的建議
 
惠特曼贊同海斯利普的觀點,他表示,隨著數(shù)字業(yè)務的增長,不利于高效工作的方式是,首席信息安全官向首席信息官搖著手指說:“您需要按我說的做,否則就如何如何。而更應該說的是,“我們需要共同努力,以解決董事會或首席運營官、首席執(zhí)行官或首席財務官提出的重要問題。”這一問題隨著時間的推移在不斷增加。”
 
例如,惠特曼與一家中型金融信用合作社的首席信息安全官合作,為其審計委員會搭建平臺。他們起草了一份講述文稿,其內容首先是業(yè)務目標,然后是首席信息安全官為打造其網絡安全計劃而采取的步驟。“首席信息官拿著文稿說:‘我們必須要與董事會談談威脅和技術方面的內容,并且我已經與董事會交談過,但他們對威脅和技術方面的內容不感興趣,他們也不了解工作要點是什么,’”惠特曼回憶道。
 
最后,他們不得不共同與首席信息官電話溝通,說:“看,這就是為什么這個信息不具有建設性,”他說。雖然惠特曼不知道結果如何,但“那些(場景)仍然很常見。這種場景應該少于5%,但當這些問題出現(xiàn)時,這種場景發(fā)生的概率可能是20%到25%。”
 
惠特曼告訴安全主管,他們需要清楚要如何進行講述,不僅是向自己的領導講述,還需要通過他們向領導的領導講述。
 
他說:“通常,我們會沉迷于技術方面,最終是為了技術而談論技術,而對業(yè)務價值、營收、文化和風險管理卻不夠關注。”
 
他表示,首席信息安全官需要提出一套通用的術語使用范圍。“我們會使用諸如‘網絡安全’、‘威脅’、‘漏洞’和‘風險’之類的詞。但我們使用這些術語卻不統(tǒng)一,因此我們需要以統(tǒng)一的術語框架來進行溝通。”
 
他們還需要確保與業(yè)務目標保持一致?;萏芈f:“這聽起來顯而易見,但在很多情況下,卻并非如此。”“首席信息官往往會更成熟,因而他需要幫助首席信息安全官來提升其信息溝通的能力,以達到更高的成熟度。”他強調說,即使他們并非在所有事情上都意見一致,但他們也需要協(xié)調一致。“他們需要有共同的長期愿景,但情況并非總是如此。”
 
海斯利普指出,造成摩擦的最大原因是預算問題。他表示,首席信息官將被告知需要削減預算,而首席信息安全官則專注于要制定一個網絡安全計劃,以及管理風險。
 
“十有八九這是他們工作重點的不同。”海斯利普表示,他發(fā)現(xiàn),如果首席信息官和首席信息安全官之間的溝通渠道保持暢通,而且每周會面,即使僅僅交談半小時,雙方也會了解很多東西。
 
他說:“首席信息官將讓您了解公司內的政治環(huán)境,從而使您對公司的問題或業(yè)務發(fā)展有很好的認識。”這樣,他們可以一起想辦法,找出可以節(jié)約成本的地方。
 
他表示,如果首席信息官和首席信息安全官可以互相交談,那么就不會發(fā)生令人吃驚的事。“我發(fā)現(xiàn),當我們這樣做時,我們會合作得非常好。”
 
拜貝克也認為,培養(yǎng)人際關系和建立伙伴關系是關鍵。“首席信息安全官應努力變?yōu)槭紫畔⒐俚囊幻尚刨嚨念檰?,這樣他們就可以預測自己的需求,并掌握他們甚至可能沒有考慮到的有關安全風險的問題或機會。”
 
所有首席信息官和首席信息安全官都認為,相互尊重可能是雙方關系中最重要的因素。
 
克萊姆森大學的Kaurloto說:“從一開始,就必須相互了解……我們每天要實現(xiàn)和努力的目標是什么。”“這是關鍵。第二件事是建立一種相互尊重的密切關系。你們不會總能達成相同的結果,也不會一直保持一致。但由于彼此相互尊重,你們會找到共同點。”
 
他補充說,還需要具有充分的透明度。“如果碰到您有言行不一致的情況,您將無法獲得首席信息安全官的尊重和理解。您的首席信息安全官是您工作總體成功的一部分。如果你們沒有良好的人際關系和真正的透明度,那么你們將不斷產生摩擦。”
 
Markel公司的賽弗斯表示,他和提圖斯都更專注于業(yè)務成果,而非安全或IT問題。“我們倆都利用自己的學科知識來支持我們的側重點。提圖斯是一個完美的專業(yè)人士……我鼓勵建立這種信任。這至關重要。”
 
提圖斯表示,對她來說,互相挑戰(zhàn)很重要,“當你們結束爭論時,你們就會有一個一致的立場。你們會關起門解決問題。”
 
她表示,“重視這一合作伙伴關系很重要”,雙方可能都需要做出讓步,以實現(xiàn)這一共同目標。
 
提圖斯說:“在如何實現(xiàn)目標的方式上,我們可能會有一些分歧,但最終,我們會一起實現(xiàn)目標。”
 
就像任何一樁美滿的婚姻一樣。
 
版權聲明:本文為企業(yè)網D1Net編譯,轉載需注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。

關鍵字:首席信息官首席信息安全官

原創(chuàng)文章 企業(yè)網D1Net

x 首席信息官與首席信息安全官如何融洽相處 掃一掃
分享本文到朋友圈
當前位置:CIO技術探討 → 正文

首席信息官與首席信息安全官如何融洽相處

責任編輯:cres 作者:Esther Shein |來源:企業(yè)網D1Net  2020-12-24 10:30:09 原創(chuàng)文章 企業(yè)網D1Net

作為戰(zhàn)略要務,安全工作的不斷攀升已改變了IT與信息安全主管之間的關系。本文將介紹首席信息官和首席信息安全官如何成為推動形成協(xié)同效應的合作伙伴。
 
新冠疫情使首席信息官和首席信息安全官成為一對奇怪的合作伙伴,而今年在遭遇前所未有的疫情局面下,他們不得不比以往更加緊密地合作。而結果如何呢?他們之間的關系狀態(tài)總體上有所改善。
 
在過去的幾個月中,各個組織機構都加快推進了其數(shù)字計劃和向云端遷移的工作,以支持遠程辦公的員工和客戶。Gartner研究部副總裁杰弗里•惠特曼(Jeffrey Wheatman)表示,這“導致人??們的風險偏好發(fā)生了非常顯著的變化,同時使首席信息官和首席信息安全官更加緊密地被聯(lián)系在一起。”
 
惠特曼表示,現(xiàn)在還需要一種共生的關系,因為“董事會現(xiàn)在對網絡安全工作會提出更多的問題,有時甚至是更全面的問題,”“這導致首席信息官和首席信息安全官至少要有一個一致性的故事或敘述。”
 
首席信息官和首席信息安全官一致認為,推動人工流程和一些功能的自動化以提高工作效率,這就必須要更緊密地合作。保險公司Markel的首席隱私和信息安全官帕特麗夏·提圖斯(Patricia Titus)說:“無論匯報架構如何,首席信息官和首席信息安全官都必須在發(fā)展路線圖和戰(zhàn)略上緊密合作。”
 
安全性現(xiàn)已成為戰(zhàn)略性工作
 
當首席信息安全官向首席信息官匯報工作時,情況卻并非總是如此。“不幸的是,一些首席信息安全官在首席信息官的領導下工作很艱難,因為最終,他們發(fā)現(xiàn)和需要解決的某些問題使首席信息官更加難以處理,”惠特曼說。“我認為,首席信息安全官希望確保傳輸中的數(shù)據不應該被那些不應看到這些數(shù)據的人所看到,同時應(保持)系統(tǒng)的完整性,以及數(shù)據的安全性和合規(guī)性,因此這兩個職位之間的目標就存在一些分歧。
 
他表示,好消息是,由于企業(yè)高管和利益相關者越來越依賴于技術,而形成一種意識,這使得這兩個角色之間的矛盾比以往更少,并且有更大的協(xié)同效應。
 
安全性作為一門學科其成熟度也在增加?;萏芈f:“現(xiàn)在,安全性已被更多地視為一種戰(zhàn)略舉措,而不是人們所說‘不,停下來,不要做,’”。“我們以前將這種類型的首席信息安全官稱為‘不博士’。這種首席信息安全官現(xiàn)在很少了。”
 
當首席信息官和首席信息安全官更多地將自己視為合作伙伴和同伴時,這就會產生協(xié)同效應,惠特曼補充道。“當我們看到諸如物聯(lián)網和云計算等運營技術開始融合時,人們已認識到這兩個角色必須更加步調一致,而不是首席信息官把某些工作推出去,然后說:‘你必須保證我們已經部署的東西安全。’”
 
首席信息官和首席信息安全官之間關系的演變
 
Markel公司的首席信息官提圖斯和邁克·賽弗斯(Mike Scyphers)已經一起工作將近五年,擁有可謂是理想的工作伙伴關系,彼此相互尊重和欣賞。雙方都會很敬佩地評價對方。
 
賽弗斯表示,隨著消費者技術的發(fā)展以及業(yè)務部門能夠提升自己的云服務,這就很容易使人們專注于創(chuàng)新,而無需“考慮安全性”。他稱自己與提圖斯的關系“很有價值”,并說:“如果沒有這種合作關系,我無法想象如何來(部署某一技術)。”
 
提圖斯最初在IT部門工作,賽弗斯說他“完全支持”她開始行動。
 
“每當我們進行對話且出現(xiàn)一種不周全的制衡(討論)時,我都會感到緊張。按提圖斯的說法就是,有些事情不對勁,但開始時是正確的,”他說。“我會討論我們之間的不同觀點,但是……當一切都在IT部門內時,最終,我發(fā)現(xiàn)自己會贊同兩種不同的觀點,而當您總想把所有事情都做對時,您就會有盲點,因而不同的觀點有助于對您進行彌補。”
 
賽弗斯表示,他不喜歡扮演“好人,壞人”的角色,因此當安全問題出現(xiàn)時,IT部門會向安全團隊求助,以了解情況。如果他們有解決辦法了,我們就不會在這一問題上浪費時間了。”
 
人們長期以來一直認為,首席信息官與首席信息安全官是一種對抗關系,即一方要向另一方匯報工作,并且要有一種“你必須照我說的做”的態(tài)度,軟銀投資顧問公司(SoftBank Investment Advisers)的首席信息安全官蓋里•海斯利普(Gary Hayslip)說。
 
海斯利普在職業(yè)生涯的早期,曾擔任首席信息官,后來轉任首席信息安全官一職。他表示,他過去認為首席信息安全官不應該向首席信息官匯報工作。“首席信息安全官的工作是利用人員、流程和技術來管理風險,而首席信息官的工作是提供服務。這些是完全不同的工作領域,”他解釋道。“我們使用相同的資源,但是我們處理問題的方式極為不同。”
 
也就是說,IT堆棧和技術安全堆棧是相互交織的,這意味著兩個團隊必須相互支持,海斯利普補充道。
 
海斯利普向軟銀公司的技術和信息安全主管維爾·波利瓦爾(Wil Bolivar)匯報工作,他表示,我們是“真正的好朋友”。他還向軟銀公司的首席財務官匯報工作。海斯利普表示,在之前的一些工作崗位上,他還曾向一些“非常優(yōu)秀的首席信息官”和首席信息安全官,以及一些與他有爭執(zhí)關系的人匯報工作。
 
“有時候,您會遇到一些首席信息安全官,他們非常專注,甚至過度關注于安全和風險工作,但這并非總有意義,’海斯利普說。“他們是戰(zhàn)術性很強的首席信息安全官,但不善于與他人合作,他們認為所有風險問題必須立刻、馬上、現(xiàn)在處理。”
 
海斯利普稱自己是既有戰(zhàn)術又有戰(zhàn)略的首席信息安全官。“我將自己視為一個碰巧負責網絡安全工作的業(yè)務主管,我必須與其他業(yè)務部門的同事一起工作”,并要向他們解釋安全的價值。
 
“做到這一點的唯一方法是,我不能直接與他們進行接觸;但我必須了解他們的工作方式,他們的需求,他們的主要客戶以及我該如何為他們提供支持,”海斯利普說。“我采用了這種方式,而且獲得了更多的支持。”
 
他補充說,如果首席信息安全官只是嚴格意義上的戰(zhàn)術角色,那么業(yè)務人員就“只會忍受一段時間您的廢話,然后就把您踢到一邊。”
 
海斯利普認為,當首席信息安全官僅與小公司合作,習慣于解決緊急問題,而且沒有機會獲得職業(yè)發(fā)展時,具備戰(zhàn)術性就是一個“成熟度問題”。
 
匯報架構
 
匯報工作的架構因公司而異,還可能因行業(yè)而異。Gartner的惠特曼表示,例如,如果您在金融服務行業(yè),則向首席財務官匯報工作往往更合理。在運輸、物流或零售領域工作的首席信息安全官,則最有可能向首席運營官匯報工作。
 
“我每年要接600個電話,大概有80到100個電話是與組織結構有關,其根本問題是,首席信息安全官是否應該向首席信息官匯報工作?”他說道。在惠特曼過去所做的研究中,約有三分之一的受訪首席信息安全官表示,他們不屬于IT部門,他說道。
 
他表示,當某一組織機構認識到安全性是一個業(yè)務問題而不是一個技術問題時,網絡安全工作通常就會被排除在IT部門外。“當網絡安全屬于首席信息官的(工作范疇)時……則每個人都認為(安全性是)一個技術問題。這涉及到一些工具和技術,但網絡安全是運營技術。”惠特曼表示,其重點是為業(yè)務流程以及法律和監(jiān)管要求提供支持。“這些工作都不是首席信息官的工作或技術問題。”
 
惠特曼表示,他在Gartner工作的14年中,來自公司安全會議的數(shù)據顯示,約有35%的人自稱是公司的安全主管,而且他們并不向IT部門匯報工作。“但現(xiàn)在不是這種情況了。”
 
甲骨文公司客戶服務副總裁兼首席信息安全官布倫南·拜貝克(Brennan Baybeck)會向業(yè)務部門主管匯報工作,但他表示自己向首席信息官匯報工作已有七年了,并擁有一些有益的經驗。
 
“我很幸運能與一位優(yōu)秀的首席信息官共事,他理解安全的重要性,并且大力支持這一工作,”拜貝克說道。同時,他還是IT治理組織——國際信息系統(tǒng)審計協(xié)會(ISACA)董事會成員。拜貝克表示,自己能夠從業(yè)務和IT角度向首席信息官闡明和表達安全性對公司戰(zhàn)略的重要性。“自己通過不斷向首席信息官匯報工作,進行講解,使首席信息官認識到安全性如何可以推動我們的業(yè)務工作,以及讓他了解安全態(tài)勢、風險和漏洞,從而形成良好的合作關系。”
 
拜貝克表示,他會主動定期與首席信息官會面,不僅會談及安全工作,還會分享一些如何通過安全性服務使IT部門更高效工作的想法。
 
他說:“他提拔我進入到他的領導團隊,這意味著我不僅可以向高管們提供一些安全性建議,還可以確保安全性已融入且與業(yè)務和IT戰(zhàn)略相關。”“此外,我還能夠為IT團隊帶來價值。”
 
提升安全性占用了拜貝克大約75%的工作時間,而他會利用剩下25%的時間來獲取更多資源。“對于我的許多同事而言,這個時間比例是顛倒的,他們將大部分時間都花在爭取和維護資源上。”
 
海斯利普認為,首席信息安全官不向首席信息官匯報工作,這是一件好事。這樣,“風險更加可見,而且組織機構能夠從戰(zhàn)略角度來了解將在哪里進行管理,”他說。
 
他表示,在這種環(huán)境中,首席信息官和首席信息安全官應該是對等關系,仍然要每周開會。
 
新冠疫情的影響
 
由于IT部門努力推進遠程辦公,同時安全團隊則努力確保員工在遠程接入網絡時其身份得到驗證,并且確保數(shù)據安全,因此新冠疫情當然促進了彼此的支持。 “如果在目前的新冠疫情環(huán)境下,您的(安全團隊)在沒有IT部門的支持下開展工作,那么您會瘋掉的,”海斯利普說。
 
他指出,網絡邊緣已經進入家庭。海斯利普說:“因為我有680名員工,因而我有680個網絡需要關注,而不是一個網絡。”
 
盡管在新冠疫情之前,克萊姆森大學(Clemson University)副校長兼首席信息官Russell Kaurloto與首席信息安全官哈爾·斯通(Hal Stone)有著良好的工作關系,但他承認,新冠病毒“鞏固了這一關系,并使我們更緊密地分享信息和更有效地溝通”。
 
克萊姆森大學之前約有1800名學生在網上遠程學習,而在今年3月,這一數(shù)字躍升至約26,000人,同時包括4,000名教職員工。“我每周都與首席信息安全官一對一交流,但他也參與每天的新冠病毒電話溝通,我們會系統(tǒng)地了解目前發(fā)生的情況,”Kaurloto說。
 
首席信息官和首席信息安全官之間關系和諧的建議
 
惠特曼贊同海斯利普的觀點,他表示,隨著數(shù)字業(yè)務的增長,不利于高效工作的方式是,首席信息安全官向首席信息官搖著手指說:“您需要按我說的做,否則就如何如何。而更應該說的是,“我們需要共同努力,以解決董事會或首席運營官、首席執(zhí)行官或首席財務官提出的重要問題。”這一問題隨著時間的推移在不斷增加。”
 
例如,惠特曼與一家中型金融信用合作社的首席信息安全官合作,為其審計委員會搭建平臺。他們起草了一份講述文稿,其內容首先是業(yè)務目標,然后是首席信息安全官為打造其網絡安全計劃而采取的步驟。“首席信息官拿著文稿說:‘我們必須要與董事會談談威脅和技術方面的內容,并且我已經與董事會交談過,但他們對威脅和技術方面的內容不感興趣,他們也不了解工作要點是什么,’”惠特曼回憶道。
 
最后,他們不得不共同與首席信息官電話溝通,說:“看,這就是為什么這個信息不具有建設性,”他說。雖然惠特曼不知道結果如何,但“那些(場景)仍然很常見。這種場景應該少于5%,但當這些問題出現(xiàn)時,這種場景發(fā)生的概率可能是20%到25%。”
 
惠特曼告訴安全主管,他們需要清楚要如何進行講述,不僅是向自己的領導講述,還需要通過他們向領導的領導講述。
 
他說:“通常,我們會沉迷于技術方面,最終是為了技術而談論技術,而對業(yè)務價值、營收、文化和風險管理卻不夠關注。”
 
他表示,首席信息安全官需要提出一套通用的術語使用范圍。“我們會使用諸如‘網絡安全’、‘威脅’、‘漏洞’和‘風險’之類的詞。但我們使用這些術語卻不統(tǒng)一,因此我們需要以統(tǒng)一的術語框架來進行溝通。”
 
他們還需要確保與業(yè)務目標保持一致。惠特曼說:“這聽起來顯而易見,但在很多情況下,卻并非如此。”“首席信息官往往會更成熟,因而他需要幫助首席信息安全官來提升其信息溝通的能力,以達到更高的成熟度。”他強調說,即使他們并非在所有事情上都意見一致,但他們也需要協(xié)調一致。“他們需要有共同的長期愿景,但情況并非總是如此。”
 
海斯利普指出,造成摩擦的最大原因是預算問題。他表示,首席信息官將被告知需要削減預算,而首席信息安全官則專注于要制定一個網絡安全計劃,以及管理風險。
 
“十有八九這是他們工作重點的不同。”海斯利普表示,他發(fā)現(xiàn),如果首席信息官和首席信息安全官之間的溝通渠道保持暢通,而且每周會面,即使僅僅交談半小時,雙方也會了解很多東西。
 
他說:“首席信息官將讓您了解公司內的政治環(huán)境,從而使您對公司的問題或業(yè)務發(fā)展有很好的認識。”這樣,他們可以一起想辦法,找出可以節(jié)約成本的地方。
 
他表示,如果首席信息官和首席信息安全官可以互相交談,那么就不會發(fā)生令人吃驚的事。“我發(fā)現(xiàn),當我們這樣做時,我們會合作得非常好。”
 
拜貝克也認為,培養(yǎng)人際關系和建立伙伴關系是關鍵。“首席信息安全官應努力變?yōu)槭紫畔⒐俚囊幻尚刨嚨念檰?,這樣他們就可以預測自己的需求,并掌握他們甚至可能沒有考慮到的有關安全風險的問題或機會。”
 
所有首席信息官和首席信息安全官都認為,相互尊重可能是雙方關系中最重要的因素。
 
克萊姆森大學的Kaurloto說:“從一開始,就必須相互了解……我們每天要實現(xiàn)和努力的目標是什么。”“這是關鍵。第二件事是建立一種相互尊重的密切關系。你們不會總能達成相同的結果,也不會一直保持一致。但由于彼此相互尊重,你們會找到共同點。”
 
他補充說,還需要具有充分的透明度。“如果碰到您有言行不一致的情況,您將無法獲得首席信息安全官的尊重和理解。您的首席信息安全官是您工作總體成功的一部分。如果你們沒有良好的人際關系和真正的透明度,那么你們將不斷產生摩擦。”
 
Markel公司的賽弗斯表示,他和提圖斯都更專注于業(yè)務成果,而非安全或IT問題。“我們倆都利用自己的學科知識來支持我們的側重點。提圖斯是一個完美的專業(yè)人士……我鼓勵建立這種信任。這至關重要。”
 
提圖斯表示,對她來說,互相挑戰(zhàn)很重要,“當你們結束爭論時,你們就會有一個一致的立場。你們會關起門解決問題。”
 
她表示,“重視這一合作伙伴關系很重要”,雙方可能都需要做出讓步,以實現(xiàn)這一共同目標。
 
提圖斯說:“在如何實現(xiàn)目標的方式上,我們可能會有一些分歧,但最終,我們會一起實現(xiàn)目標。”
 
就像任何一樁美滿的婚姻一樣。
 
版權聲明:本文為企業(yè)網D1Net編譯,轉載需注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。

關鍵字:首席信息官首席信息安全官

原創(chuàng)文章 企業(yè)網D1Net

電子周刊
回到頂部

關于我們聯(lián)系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業(yè)網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 互助| 铜山县| 崇左市| 平阳县| 资中县| 呼图壁县| 育儿| 安新县| 孙吴县| 保定市| 措美县| 肥东县| 遂平县| 历史| 阜城县| 威海市| 巫山县| 东海县| 宜宾县| 延安市| 乌鲁木齐市| 赤水市| 德江县| 班戈县| 河源市| 宣城市| 绥中县| 涿州市| 大化| 年辖:市辖区| 襄汾县| 思南县| 海门市| 新竹市| 商河县| 潼南县| 恩平市| 伊金霍洛旗| 平度市| 黑河市| 阿尔山市|