CIO和CISO如何才能成为更理想合作伙伴。

一场疫情使CIO和CISO成为了同床异梦的盟友，而去年面对前所未有的严峻形势，他们不得不比以往更加紧密地通力合作。结果如何？两者的关系总体上已有所改进。

在过去这几个月，众多组织已加快了数字化项目和向云端迁移的步伐，以支持远程员工和客户。Gartner研究公司的副总裁Jeffrey Wheatman表示，这已“导致人们的风险偏好发生了非常显著的变化，并促使CIO和CISO更紧密地联系在一起。”

Wheatman表示，现在还需要一种共生的关系，因为“如今董事会在网络安全方面提出了更多的问题，有时提出了更到位的问题，而这促使CIO和CISO所讲的故事或表述至少得相互一致。”

CIO和CISO一致认为，竭力实现人工流程和功能自动化以提高效率，势必需要更紧密的合作。保险公司Markel的首席隐私和信息安全官Patricia Titus说：“无论汇报架构如何，CIO和CISO在路线图和战略方面都必须步调高度一致。

安全现在具有战略意义

CISO向CIO汇报工作时，情况并非总是如此。Wheatman说：“遗憾的是，一些CISO在CIO的领导下步履维艰，因为他们发现和需要解决的一些问题最终会使CIO更难完成工作。我认为，CISO希望确保传输中的数据不应该被那些不应看到数据的人所看到，同时确保系统完整性以及安全和合规，因此这两个职位在具体目标上会存在一点分歧。”

他表示，好消息是，由于企业高管和利益相关者认识到他们日益依赖技术，这两个职位之间的冲突比过去要少，会有更显著的协同效应。

安全这门学科也在日趋成熟。Wheatman说：“现在，安全已被更多视为一项战略性工作，不像以前人们常说的：‘不，停下来，别做了。’我们过去常将这种类型的CISO戏称为‘否定博士’（Dr. No）。现在这种情况比较少见了。”

Wheatman补充道，当CIO和CISO将彼此更多地视为伙伴和拍档时，这就带来了协同效应。“如果我们看看物联网和云计算之类的运营技术相互融合，就认识到这两个角色要更加步调一致，而不是CIO把系统直接扔给对方，说：‘你要为我们已部署的这个系统确保安全。’”

CIO与CISO关系的演变

Markel公司的首席隐私和信息安全官PatriciaTitus和该公司的CIO Mike Scyphers已经合作了近5个年头，堪称职场上的黄金搭档。他们相互尊重，相互欣赏，谈及对方则不吝溢美之辞。

Scyphers表示，由于消费者技术数量激增，加上业务部门能够自行启用云服务，大家很容易专注于创新，“但却未将安全考虑在内”。他说自己与Titus的关系“很重要”，并说“如果没有这种合作关系，部署技术我想都不敢想。”

Titus最初效力于IT部门，Scyphers表示自己“全力支持”她从IT部门跳出来。

Scyphers表示，他不喜欢扮演“好警察或坏警察”的角色，因此出现安全问题时，IT部门向安全团队求助，“以了解情况。如果他们有了解决办法，我们就不用把时间浪费在这上面了。”

软银投资顾问公司的CISO Gary Hayslip表示，人们长期以来一直认为，CIO与CISO是对立的关系，一方向另一方汇报工作，抱着“你得照我说的做”这种态度。

Hayslip在职业生涯的早期担任过CIO，后来转任CISO岗位。他表示，他过去认为CISO不应该向CIO汇报工作。他解释道：“CISO的工作是利用人员、流程和技术来管理风险，而CIO的工作是提供服务。两者的视角全然不同。我们使用相同的资源，但处理问题的方式却大相径庭。”

Hayslip补充道，话虽如此，技术的IT堆栈和安全堆栈交织在一起，这就意味着两个团队必须相互支持。

Hayslip向软银公司的技术和信息安全主管Wil Bolivar汇报工作，他表示，他们是“真正的好友”。他还向软银的首席财务官汇报工作。Hayslip表示，在之前的工作岗位上，他向一些“很优秀的CIO”和CISO以及与他关系对立的其他人汇报工作。

Hayslip说：“有时候你会遇到这种CISO，他一味关注安全和风险，在安全和风险方面几乎事事与你对立。这些CISO战术性很强，但不善于与他人合作，他们认为所有风险问题都必须立马处理。”

Hayslip自诩是既有战术性又有战略性的CISO。“我将自己视为恰好负责网络安全的业务高管，我必须与其他业务部门的同仁合作”，并向他们解释安全的重要性。

Hayslip说：“要做到这一点，唯一的方法是，我不能站在他们的对立面，我得了解他们的工作方式、他们的需求、他们的主要客户以及如何能为他们提供支持。我以这种方式来对待，结果颇受认同。”

他补充道，如果CISO一味注重战术性，业务部门“对你的废话很快就会不耐烦，随后把你踢到一边。”

Hayslip认为，如果在小公司里，CISO只习惯于扮演救火队长的角色，则没有机会在职业生涯上获得发展，一味注重战术性是“不成熟的表现”。

汇报架构

汇报架构因企业而异，还可能因行业而异。Gartner的Wheatman表示，比如说，如果你从事金融服务行业，向首席财务官汇报工作往往更合理。而从事于运输、物流或零售行业的CISO极有可能向首席运营官汇报工作。

他说：“我每年接到600通电话，可能其中80到100通电话是关于组织架构的。一个根本问题是，CISO应不应该向CIO汇报工作?”Wheatman表示，他过去开展的研究发现，约1/3的受访CISO表示，他们不属于IT部门。

他表示，当企业组织认识到安全是业务问题而不是技术问题时，网络安全常常被移到IT部门之外。“网络安全是CIO的工作范畴时，每个人都认为安全是个技术问题。这涉及到一些工具和技术，但网络安全是运营技术。”Wheatman表示，网络安全的重心是支持业务流程以及法律和监管要求。“而这些都不是CIO或技术部门的问题。”

Wheatman表示，在他效力Gartner的14年期间，来自该公司安全会议的数据显示，自称是公司安全负责人的人当中约35%并不向IT部门汇报工作。“但现在不是这种情况了。”

甲骨文的客户服务副总裁兼CISO Brennan Baybeck向业务部门负责人汇报工作，但他表示自己向CIO汇报工作已有7年了，整个过程很愉快。

Baybeck还是IT治理组织国际信息系统审计协会（ISACA）的董事会成员，他说：“我有幸与一位优秀的CIO共事，他积极进取，明白安全的重要性，并大力支持安全。”Baybeck表示，他能够从业务和IT的角度向这位CIO阐述和表明安全对公司战略而言的重要性。为此，他“频繁地向CIO汇报工作，通报情况，使他认识到安全在如何助力我们的业务，并让他了解安全态势、风险和漏洞。”

Baybeck表示，他主动定期与CIO碰面，不仅仅谈论安全，还交流想法，共同探讨如何通过安全服务使IT更卓有成效。

他说：“他后来提拔我进入到其领导团队，这意味着我不仅可以在安全方面向高管们献计献策，还可以确保安全已融入业务和IT战略中，并与它们密切相关。此外，我还可以为IT团队带来价值。”

推动安全工作占去了Baybeck大约75%的工作时间，他利用另外25%的时间来竭力获取更多资源。“对于我的许多同行而言，这个比例正好倒了过来，他们将大部分时间花在了争取资源和解释原由上。”

Hayslip认为，CISO向CIO汇报工作是一件好事。这样一来，“风险就更清晰可见，企业组织也能够从战略角度了解哪些环节的风险将得到管理，”他说。

他认为，CIO和CISO应并肩合作，应该每周碰面，相互沟通。

新冠疫情影响

由于IT部门竭力支持远程办公，而安全团队努力确保员工在远程接入网络时身份得到了验证，并确保数据安全可靠，新冠疫情无疑促进了彼此的支持。Hayslip说：“如果在目前我们所处的新冠疫情环境下，您的安全团队在没有IT部门的支持下开展这项工作，你准会抓狂。”

Hayslip特别指出，网络边缘已延伸到家庭。他说：“我有680名员工，因而我有680个网络要操心，而不是只有一个网络要操心。”

虽然克莱姆森大学的副校长兼CIO Russell Kaurloto与CISO Hal Stone 在新冠疫情之前就有着良好的工作关系，但他同样认为，疫情“巩固了这层关系，并使我们更加紧密地分享信息、更加有效地进行沟通。”

克莱姆森大学之前有约1800名学生在网上远程学习，而去年3月，这个数字猛增至约26000名学生，外加4000名教职员工。Kaurloto说：“我每周都与CISO进行面对面交流，不过他还参与每天的新冠病毒电话沟通，我们全面系统地介绍发生的情况。”

CIO与CISO的和谐相处之道

Wheatman赞同Hayslip的观点，他表示，鉴于数字化业务蔚然成风，如果CISO向CIO说“你需要按我说的做，否则结果会怎样”的话，只会适得其反。更应该说“我们需要齐心协力，解决董事会、首席运营官、首席执行官或首席财务官认为很重要的问题。这一幕会越来越常见。”

比如说，Wheatman曾与一家中型金融信用合作社的CISO合作，为其审计委员会制作一份演示文稿。他们草拟了该CISO的文稿，开头列出了业务目标，随后列出了CISO为制订网络安全计划所要采取的几个步骤。Wheatman回忆道：“CIO拿过文稿说：‘我们必须要跟董事会谈论安全威胁和相关技术，但我已跟董事会谈过了，他们对此根本不感兴趣，也不明白其中的要点是什么。’”

他们最后只好与CIO进行三方通话，后者说：“瞧，这就是为什么这个想法不具有建设性。”虽然Wheatman不知道后来的结果如何，“但类似的场景仍然很常见。按理说，这些问题出现的概率应该不到5%才对，但实际上可能是20~25%。”

Wheatman告诉安全负责人，他们要弄清楚如何讲故事——不仅仅向自己的上司讲故事，还要通过上司向他们的上司讲故事。

他说：“我们常常沉迷于技术方面，最终纯粹为了技术而谈论技术，对业务价值、经营收入、企业文化和风险管理的谈论却不够深入。”

他表示，CISO们需要列出一套常见的参考术语。“我们使用诸如‘网络安全’、‘威胁’、‘漏洞’和‘风险’之类的词语。而我们使用这些术语缺乏一致性，因此需要以一致的方式向大家传达参考框架。”

他们还要确保与业务目标保持一致。Wheatman说：“这听起来显而易见，但在很多情况下并非如此。CIO们往往考虑较成熟，他们需要帮助CISO将传达的信息提升到更高的层面。”他强调说，即使他们并非在所有事情上意见一致，但也需要步调合拍。“他们需要有同样的长期愿景，但情况并非总是如此。”

Hayslip特别指出，造成摩擦的最大原因是预算问题。他表示，CIO将被告知需要削减预算，而CISO致力于设法加强网络安全计划，并管理风险。

“十有八九这归结为他们的优先事项不一样。”Hayslip表示，他发现，如果沟通渠道保持畅通，CIO与CISO每周碰面，即使仅仅交谈半小时，向对方提供最新信息，双方也会了解很多情况。

他说：“CIO将让您得以深入了解公司的人事纷争，从而使你对公司的问题或业务在发生怎样的转变有一番清晰的认识。”这样一来，他们可以一起商量，搞清楚可以从哪些方面节约成本。

他表示，如果CIO和CISO相互交谈，就不会发生令人吃惊的事。“我发现，如果我们这么做，双方可以极好地通力合作。”

Baybeck同样认为，促进关系和建立合作是关键所在。“CISO应努力成为CIO眼里值得信赖的顾问，甚至可以预料CIO的需求，并告知对方在安全风险方面可能想都不会想到的问题或机会。”

所有CIO和CISO都一致认为，相互尊重可能是确保良好关系的最重要因素。

克莱姆森大学的Kaurloto说：“从一开始，就要相互了解……我们每天要实现和保持的目标是什么。这是关键。第二个方面就是建立一种相互尊重的密切关系。你们不会总是得到同样的结果，也不会始终保持一致。但如果相互尊重，你们会找到那个共同点。”