如何化解CISO和CIO之间安全与IT领导力的冲突

责任编辑:cres

作者:Mirko Zorz

2025-03-05 11:34:40

来源:bet188金宝搏(金宝博)官方网站D1Net

原创

本文分析了CISO与CIO之间的复杂关系及冲突根源,包括目标冲突、预算分配、汇报结构、安全与速度权衡及沟通鸿沟。

在企业中,CISO和CIO扮演着至关重要的角色,然而,他们的优先事项却常常产生分歧,导致合作中的摩擦。本文将探讨CISO与CIO之间的冲突根源,并提出一系列合作策略,助力两者携手推动企业的韧性增长。

CISO和CIO之间的关系一直复杂多变。虽然这两个角色对于企业的成功都至关重要,但他们的优先事项却常常使他们产生分歧。CIO关注IT效率、创新和业务支持,而CISO则优先考虑安全、风险管理和合规性。这些不同的目标可能导致摩擦,但如果采用正确的策略,它们可以协同一致,共同打造一个更强大、更具韧性的企业。

冲突根源

CISO和CIO之间的紧张关系往往源于以下关键领域:

1.目标冲突——CIO确保IT运营顺畅,并采用新技术推动业务成功,而CISO则必须减轻网络风险,这有时会拖慢IT项目进度或增加额外的合规步骤。

2.预算和资源分配——IT预算往往倾向于运营改进,而安全投资则可能被视为一种成本,而非收入推动因素。这可能导致在优先级上产生分歧。

3.汇报结构——在许多企业中,CISO向CIO汇报,这可能形成一种层级结构,使安全被视为IT运营的次要关注点。

4.安全与速度——CIO优先考虑敏捷性和数字化转型,而CISO则强调安全控制,这有时会拖慢新技术的推出速度。

5.沟通鸿沟——IT和安全团队之间缺乏共同语言可能导致对风险和业务需求产生误解。

LogicGate的CISO尼克·凯瑟琳(Nick Kathmann)告诉记者:“尽管有时CISO和CIO的优先级不同,但当他们携手合作时,预算分配会增加,内部流程会简化,外部利益相关者也会对企业的安全状况更有信心。从项目初期就与CISO合作的CIO,在项目进展过程中往往会遇到更少的摩擦。‘移动目标柱’是CIO必须应对的一个常见问题,但与能够有效沟通、有明确标准和要求的CISO合作,将有助于减少这种冲突,确保项目顺利运行,避免成本高昂且令人沮丧的中断。这意味着CISO-CIO合作能够加快更安全的技术实施和创新,以支持业务的加速增长。”

合作策略

CISO和CIO可以实施以下策略来携手合作,而不是各自为政或产生分歧:

在业务目标上达成一致

• 两位领导者都必须认识到,IT效率和安全不是相互竞争的利益,而是支持业务目标的互补力量。

• 建立联合关键绩效指标(KPI),同时纳入IT和安全目标。

改善治理和汇报结构

• 许多企业正在转向一种模式,即CISO直接向首席执行官或董事会汇报,使安全拥有更独立的发言权。

• 如果CISO仍归CIO管辖,那么在安全相关决策上应有明确的自主权。

培养共同责任文化

• IT团队不应将安全视为障碍,而应将其视为保护创新的业务推动因素。

• 在IT项目中实施安全设计原则,确保安全融入流程,而非作为事后补充。

投资于合作工具和实践

• IT和安全团队之间的定期联合会议有助于对齐策略并及早解决冲突。

• 考虑使用集成仪表板,在一个地方提供IT性能和安全风险指标。

平衡安全与业务敏捷性

• CISO可以与CIO合作开发安全框架,以实现快速且安全的技术采用,而非施加僵硬的限制。

• 实施基于风险的方法,根据实际威胁应用安全控制,而非采用阻碍运营的一刀切政策。

倡导共享预算

• CIO和CISO可以就IT和安全投资如何相辅相成向领导层提出统一论点,而非争夺单独的预算。

• 强调安全事件对财务的影响,以证明安全支出是一种成本避免策略,而非一种费用。

建立沟通渠道

• 在与IT和执行团队讨论安全风险时,使用业务友好的语言。

• 开展跨职能培训,使IT人员了解安全问题,安全团队了解IT运营挑战。

bet188金宝搏(金宝博)官方网站D1net(www.tbyhdd.com):

国内主流的to B IT门户,旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明:本文为bet188金宝搏(金宝博)官方网站D1Net编译,转载需在文章开头注明出处为:bet188金宝搏(金宝博)官方网站D1Net,如果不注明出处,bet188金宝搏(金宝博)官方网站D1Net将保留追究其法律责任的权利。

链接已复制,快去分享吧

bet188金宝搏(金宝博)官方网站版权所有©2010-2025 京ICP备09108050号-6京公网安备 11010502049343号

Baidu
1188博宝金