CISO在日常職責(zé)中經(jīng)常與業(yè)務(wù)同事遇到固有的沖突,在很多方面,這是為企業(yè)制定安全政策的本質(zhì)所在,但CISO的目標(biāo)應(yīng)該是重塑這種動態(tài),并與關(guān)鍵領(lǐng)導(dǎo)層同仁建立牢固的合作聯(lián)盟。
以CFO為例,對于許多CISO而言,來自CFO的電話往往預(yù)示著壞消息——可能是由于業(yè)務(wù)挑戰(zhàn)而即將削減預(yù)算。在一些企業(yè)中,CIO直接向CFO匯報,并更擅長從CFO的角度考慮問題——而CISO則不然。
在最近的一次CFO和CISO ADAPT聯(lián)盟午餐活動中,Palo Alto Networks全球CFO Dipak Golencha強(qiáng)調(diào)了這兩位高管學(xué)會使用共同語言在戰(zhàn)略上的重要性。
他表示:“網(wǎng)絡(luò)安全對每家公司都構(gòu)成生存威脅。CFO只有在資金耗盡、做假賬或重大控制中斷時才會被解雇的日子一去不復(fù)返了。網(wǎng)絡(luò)安全資源不足對他們自身的存在構(gòu)成了新興威脅。”
這種看法反映了這樣一個現(xiàn)實:對大多數(shù)企業(yè)而言,網(wǎng)絡(luò)威脅是當(dāng)今最大的業(yè)務(wù)風(fēng)險,這對企業(yè)的戰(zhàn)略生存具有重大影響。
是時候讓CISO和CFO克服他們關(guān)系中的天然障礙,為了公司的利益建立戰(zhàn)略合作伙伴關(guān)系了。
CISO-CFO關(guān)系的天然障礙
CFO和CISO的關(guān)系通常在三個關(guān)鍵領(lǐng)域存在摩擦:預(yù)算和投資、業(yè)務(wù)運營以及項目交付。
以下是每個領(lǐng)域固有挑戰(zhàn)的細(xì)分:
預(yù)算和投資
CFO的主要視角是優(yōu)先考慮能夠推動收入或降低成本的投資,相反,CISO通常代表IT領(lǐng)域內(nèi)的最大支出,而技術(shù)通常是最大的運營支出池。雖然CISO旨在優(yōu)先考慮企業(yè)安全投資,但CFO可能難以理解其中的細(xì)微支出。
關(guān)鍵挑戰(zhàn)包括:
• 網(wǎng)絡(luò)投資往往缺乏明確的財務(wù)回報
• 與傳統(tǒng)財務(wù)指標(biāo)相比,風(fēng)險降低的好處顯得無形
• 量化預(yù)防性安全措施的價值很困難
業(yè)務(wù)運營
這兩個角色在最小化業(yè)務(wù)中斷和保持系統(tǒng)可用性方面有著根本的共同利益,然而,他們的方法不同:
• CFO關(guān)注流程效率和保持常規(guī)業(yè)務(wù)運營
• CISO可能會引入可能影響客戶體驗的網(wǎng)絡(luò)控制
項目交付
CFO尋求項目的及時完成和效益實現(xiàn)。當(dāng)以下情況時,CISO可能會不經(jīng)意間成為項目延遲的源頭:
• 在交付過程的后期發(fā)現(xiàn)安全問題
• 網(wǎng)絡(luò)團(tuán)隊在項目規(guī)劃階段沒有及早參與
• 提出關(guān)鍵的安全問題,被視為項目障礙
這些因素共同導(dǎo)致了CISO和CFO之間可能出現(xiàn)的天然緊張關(guān)系,那么,基于這一基礎(chǔ),我們?nèi)绾螌⑦@種關(guān)系重塑為合作伙伴關(guān)系呢?
構(gòu)建CFO-CISO聯(lián)盟
CISO應(yīng)該了解一些關(guān)鍵策略,以改善與CFO同行的協(xié)作。
首先是反向輔導(dǎo),由于CFO和CISO來自不同的視角,并領(lǐng)導(dǎo)著充滿對方可能陌生的術(shù)語和細(xì)節(jié)的領(lǐng)域,因此反向輔導(dǎo)對于在兩者之間建立橋梁至關(guān)重要。
在這種關(guān)系中,CISO可以提供網(wǎng)絡(luò)安全的見解,同時學(xué)習(xí)用CFO的財務(wù)語言進(jìn)行溝通,這種相互學(xué)習(xí)為企業(yè)風(fēng)險創(chuàng)造了更一致的方法。
第二,CISO還必須培養(yǎng)他們的商業(yè)視角,人們常說,技術(shù)領(lǐng)導(dǎo)者需要培養(yǎng)成為業(yè)務(wù)領(lǐng)導(dǎo)者的技能,在這里,這轉(zhuǎn)化為培養(yǎng)以下能力:
1. 準(zhǔn)備與財務(wù)領(lǐng)導(dǎo)層產(chǎn)生共鳴的商業(yè)案例
2. 展示數(shù)據(jù)風(fēng)險緩解的商業(yè)價值
3. 將安全投資轉(zhuǎn)化為財務(wù)高管能理解的語言
第三,需要改善協(xié)作,并讓CISO更好地理解和調(diào)整其網(wǎng)絡(luò)安全策略,以符合CFO偏好的解決方案方法。通常,這將需要“務(wù)實的解決方案集成”,因為CFO出于預(yù)算和投資考慮,往往更喜歡集成解決方案,而不是“最佳品種”方法。了解CFO在這一領(lǐng)域的思考方式,可以制定出更有效且更易獲得批準(zhǔn)的網(wǎng)絡(luò)安全策略。
AI的機(jī)遇
這些方法有助于推動CISO和CFO之間的關(guān)系重塑,但不斷發(fā)展的AI時代為此提供了契機(jī)。
GenAI的出現(xiàn)提供了一個獨特的合作機(jī)會,因為CFO渴望利用AI提高生產(chǎn)力,而CISO則帶來了對潛在AI相關(guān)風(fēng)險的重要視角,他們可以一起制定策略,在創(chuàng)新與風(fēng)險緩解之間取得平衡——這是當(dāng)今企業(yè)的兩大支柱。
采取主動態(tài)度,尋找你的CFO,并為他或她提供一個更融合的關(guān)系——從慢開始,但帶著這個明確的意圖。
CFO-CISO關(guān)系不是關(guān)于克服沖突,而是關(guān)于創(chuàng)建一個協(xié)同合作的伙伴關(guān)系,以促進(jìn)安全的業(yè)務(wù)增長。通過理解彼此的視角、有效溝通并在企業(yè)目標(biāo)上保持一致,這些領(lǐng)導(dǎo)者可以將潛在的摩擦轉(zhuǎn)化為戰(zhàn)略優(yōu)勢。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號