从历史上看,安全主管(CISO)向IT主管(CIO)汇报是很有意义的。
这两个系的核心都是技术学科,因此有必要经常联系。他们需要在网络基础设施、信息安全和IT遵从性方面重叠,更不用说监督安全、无漏洞代码的发布和安全产品的交付。
然而,这种关系经常遭到InfoSec社区工作人员的抨击。有些人将其描述为“对抗性”——两个截然不同的人试图实现不同的目标。
cio将着眼于将新的业务应用程序上线,维护服务水平协议,并确保IT服务对所有用户可用。事实上,CIO的奖金通常与kpi紧密相关。
然而,对于安全主管来说,情况就不一样了。为了达到降低IT风险的最终目标,如果他们认为这会使公司更容易受到攻击,他们必须有权延迟应用程序部署,甚至使IT资源脱机。
还有不同的压力 - 和工资。通过安全成为新兴的职业,通常没有KPI,而新兴市场和经常宣传技能短缺意味着一些Cisos可以获得500,000美元至200万美元的任何地方。相比之下,罗伯特半技术报告称,平均美国薪水在157,000美元至262,000美元之间。
因此,可能出现并发症也就不足为奇了。也有人指出,CISO向CIO报告意味着风险管理让位给运营。其他人认为这反映在预算上,InfoSec通常只占整个IT预算的3%到5%。
这不仅仅是少数人的抱怨;也有证据表明,不参与或不感兴趣的CIO会对业务安全产生负面影响。
一种2014年报告从普华永道发现,由于事件,Cisos报告到CIO的停机时间比没有那些没有。同一份报告发现,具有相同结构的组织从违反替代安排的公司看到违反的资金损失46%。
另一项由Carbon Black进行的研究发现28%的首席信息官(至少在英国)不担心被攻破。
“我作为临时CISO问题解决顾问访问了一些组织,我看到的第一个问题是缺乏对CISO和CIO角色的理解,缺乏清晰的报告和利益相关者参与,”顾问、前富士通CISO吉米•巴希尔说CSO Online.。
[相关:CIO与Cisos:“对抗的”关系的利弊]
“这一直始终导致CIO认为CISO只是管理的许多子问题之一......一些CIO甚至不相信所需要的CISO,因为他们没有违约。”
这种令人不安的关系——与越来越多的企业愿意将安全问题提上业务议程相一致——已经看到一些组织试图改变报告方式。虽然理解有限,但仍有兴趣CISOs报告财务总监的预算原因,以及对法律顾问和首席风险官的兴趣。
大多数Cisos最终会像CEO的直接链接,分析师认为这可能是答案;IDC预测,75%的首席安全官员和CISO将于2018年直接向首席执行官报告。
CISO的投诉
在他们周围向CIO报告,他们对CIO有一定有效性。
例如,如果安全问题威胁要失速或停止IT项目,CIO可以抑制它。
CIO也可能不愿意批准阻碍IT生产力的安全项目,如果可以花钱,他可能太放弃了这样的项目。
Cios也没有注意到CISO的建议 - 这是在现有未连接的企业商品现在连接到网络和收集数据的新事物互联网上的关注点。
在今年早些时候的麻省理工学院(MIT)安全圆桌会议上,三星商业服务首席信息技术官山姆·菲利普斯(Sam Philips)表示,IT行业的领导者们在没有完全了解业务风险和需求的情况下推出业务工具,他们越来越感到内疚。
他和金融服务公司道富银行的首席信息安全官马克•莫里森都呼吁安全主管独立于IT部门运作。
莫里森解释说,国家街道工作是他作为首席安全官员的第五个稳定,并且他一直向CIO报告。但在莫里森的州街也直接向董事会报告。
“我是唯一一个长期存在的议程项目,”他在谈到董事会会议时说。但在每次董事会上,他都会回答关于风险的同样问题,比如“风险有多严重?”以及“他是否有足够的资源来完成他的工作?””
他说:“运营和网络安全之间存在这种天然的紧张关系,而且钱也就那么多。Techtarget.。“只有这么多时间和优先级可以分配。”
他承认,报告结构使得“很难给出一个非常诚实的答案”。
CIO的投诉
这种不满不是单方面的。cio们可以感觉到CSO/ CSO减缓了创新周期,并传播了数据泄露和网络犯罪的恐惧因素。
一位不愿透露姓名的CIO对CSO Online.今年早些时候,他解雇了他的首席信息官,因为他指责他“只说不做”。
供职于一家大型欧洲运输公司的首席信息官表示,软弱的首席信息官“给董事会和高管带来了真正的恐惧因素”,无法与企业进行适当的沟通。
“这是一个不断的战斗,”他告诉方案他继续认为,可怜的ciso是一个障碍,无法提出解决方案,也无法发挥思想领导作用。
他承认报告线谈话是一种“大辩论”,并表示风险和信息安全最终可能会根据CRO或法律顾问。
他说,Cisos必须执行以下操作:
- “明确了解你的范围和界限,以及你可以在哪里打破(业务)、在哪里增加价值。”
- “了解业务,清楚业务的优先级是什么。”
- “尝试并为高管做到真实。如果他们理解它,它挑战他们,那么你就不太可能被解雇!“
如何改善关系?
对于所有这些,有行业共识,即关系可以 - 并且经常会有 - 工作。
佳能欧洲信息安全主管昆廷•泰勒表示:“我与首席信息官(我的老板)的关系非常密切。”“我们有共同的愿景,知道我们可以在尊重的文化中自由地分享和提出建议,我们都感到很舒服。
国际产品测试公司Intertek的首席技术官戴恩·沃伦(Dane Warren)补充道:“以我的经验,我们之间的关系一直很好。”
这说,泰勒承认,沟通和分享共同目标对关系成功至关重要。
他谈到了达到“共享商业愿景”的安全,并呼吁Cisos和CIO分享“开放的沟通和共同目标,记住他们具有相同的整体目标”。
它还关乎成为业务推动者。
Bashir补充说:“在我为组织建立报告结构的地方,首席信息官和首席信息官可以与业务很好地合作,并成为促成者,而不是旧的‘你不被允许那样做’的方法。”
“CIO必须明白,CISO是对其作用的支持作用,而且没有感到威胁,他们的判断被召入问题,或者他们将被归咎于任何发现的问题。当CIO拥抱CISO时,这种关系很好。“
那么他们什么时候失败了?
泰勒说,在没有尊重和信任的文化时,关系落下了“当没有尊重和信任”。
“这意味着信息安全部门开始对风险采取消极态度,并相信他们将被追究责任,开始变得非常反对风险。这是有害的,因为它不被理解,并进一步孤立了InfoSec团队。”
巴希尔认为这可以通过各部门之间更好的沟通来克服。
“有效的沟通建立在清晰简洁的沟通基础上,这适用于整个业务,而不仅仅是CIO和CISO之间的关系。
天祥集团的沃伦对此表示赞同。“确保安全消息与业务相关,并证明业务价值。”
这个故事,“Cisos,是时候埋葬了你的Cio的时候了”最初发表方案 。