盡管安全部門與IT部門需要協作，但CISO與CIO之間的關系卻并非一帆風順。

而且，這并非新上任的CISO在摸索定位時才會出現的問題。據Gartner的研究，盡管約有三分之一、擁有不到兩年經驗的CISO報告稱，他們在關鍵安全領域與CIO存在沖突，但擁有五年或以上經驗的CISO中，有一半報告稱在大部分相同領域(包括提升組織的網絡韌性、協商企業網絡風險承受能力等)存在沖突。

Gartner網絡安全研究團隊的研究副總裁兼內容負責人Christine Lee表示，沖突可能是CIO與CISO關系破裂的信號，但并非總是如此。

事實上，據研究人員、經驗豐富的高管以及高管顧問稱，其他跡象可能更能表明CIO與CISO未能協同工作。

關系出現問題的跡象

安全領域領導者和顧問向CISO提供了以下跡象，表明他們與CIO同事的關系可能存在問題，值得關注：

1. CIO常常忽視或推翻CISO的建議和決策。科技公司Transcend的駐場CISO、聯合健康集團前CISO Aimee Cardwell表示，這種情況常常表現為CIO會說：“謝謝你的意見，但我們還是要按我們的想法來做。”

2. CIO與CISO無法解決沖突。沖突對于推動組織發展可能是有益的，觀點和意見的多樣性可以為高層管理者提供新的可能性和妥協的機會，從而整體上使組織受益。

但如果CIO與CISO無法解決分歧，而不得不將分歧升級至更高級別的管理者，那么可能就出現了根本性的問題。Cardwell表示：“你們是并肩作戰還是針鋒相對?因為如果你們針鋒相對，那就說明存在不一致。”

Gartner的研究指出，在解決沖突方面，87%經驗豐富的CISO將他們與CIO的關系描述為“良好”或“優秀”。Gartner的Lee表示，這一數字表明，沖突本身并不意味著關系存在問題。相反，“無法取得進展或達成一致才是CIO與CISO關系破裂的信號”，她說道。

3. CIO不分享信息。Transcend公司的Cardwell表示：“這是一個巨大的危險信號。”

4. CIO更改或阻止CISO向董事會傳達的信息。當CISO不能定期直接向董事會匯報時，情況就已經夠糟糕了，但Cardwell表示，當CIO更改CISO認為董事會需要了解的信息時，情況就更加棘手了。

她解釋道：“這不僅僅是像‘你可以用更好的方式表達’或‘你可以用更好的方式講述這個故事’這樣的建議。這不僅僅是CIO的指導。這是刪除需要上報的事實，或是做出可能給你作為CISO帶來真正道德問題的更改。”

5. CIO在其他方面破壞CISO向董事會和其他高管提出的議程。Lee表示：“如果CIO積極破壞CISO的信譽和意見，如果CIO在CISO與董事會和執行團隊之間的每一次對話中都充當調解人，那這不是一個好跡象。”

這里的問題還包括CIO未能在重要會議中為CISO的優先事項發聲，以及在組織的整體IT戰略中未給予支持。

6. 在涉及IT的業務計劃中未咨詢CISO的意見。對于任何IT計劃而言，真正的合作意味著CIO和CISO從第一步開始就攜手合作，但如果CISO在流程后期才了解到重要的技術計劃，或者只能通過提出深入的問題才能得知，那么是時候重新調整這種關系了。

軟件公司RegScale的CISO Dale Hoak表示：“如果有人說起一個新項目、新供應商或遷移計劃，而CISO卻對此一無所知，那就有問題了，因為那樣的話，你就是在事后才加上安全措施。在良好的關系中，不會有意外發生，因為你們會持續交流，并共享儀表板。”

7. 沒有一對一的交流。LevelBlue公司的CIO Maria Cardow表示，僅通過電子郵件、團隊會議或在CIO與CISO的下屬之間(假設信息會向上傳達)分享信息的CIO和CISO，并沒有建立起健康的默契。

她表示：“我們面前有太多信息，不能不直接與對方交談;定期和即興的對話是無可替代的。”

8. CIO與CISO不了解彼此的優先事項、挑戰、戰略等。Cardow表示：“作為CIO，我應該清楚我的CISO關心什么，而CISO也應該了解我的世界正在發生什么。”

9. CISO與CIO在誰應該做什么工作上存在沖突。類似的麻煩跡象是，一方指責另一方在共同負責的領域存在不足。

10. 一方購買的技術能力與另一方已具備的能力重復。這種關系出現問題的跡象是雙向的，但一個相關的問題涉及CIO指定CISO必須購買的產品，或必須使用的供應商或服務提供商。

安永會計師事務所美洲網絡安全能力負責人Ayan Roy表示：“在某些情況下，這些可能是保障安全的正確選擇，但在某些情況下，它們可能不是。但僅僅被告知就意味著沒有進行正確的分析。CIO應該給予CISO選擇正確解決方案的自由;CISO需要能夠進行評估并做出正確的選擇。”

11. CIO未將網絡安全衛生放在首位。這里最常見的跡象之一是未能或拒絕修補安全團隊已識別并優先修復的漏洞。

12. 技術產品通常在發布時存在安全漏洞或控制缺陷。全球支付和外匯公司Convera的CISO Sara Madden表示：“那么問題就是，‘為什么我們在產品設計生命周期中沒有發現這個問題’，而答案通常是IT與安全部門之間的協作不佳。”

CIO與CISO關系的重要性

咨詢公司Apogee Global RMS的創始人兼首席顧問、谷歌云CISO辦公室前主任MK Palmore表示，CIO和CISO需要建立牢固的關系，以便他們中的任何一方都能取得成功。

他表示：“這兩個職位上的人必須彼此和睦相處，他們不僅要友好，還要協作。是的，他們各自有自己的領域、自己的任務和目標，但現實是，沒有對方，任何一方都無法完成工作。‘所以他們必須相互依賴，而且他們都必須認識到這一點。’”

此外，當CIO和CISO之間不友好且不協作時，受苦的不僅僅是他們自己。Palmore和其他專家表示，糟糕的CIO與CISO關系也會對他們的部門和整個組織產生負面影響。

Booking.com的首席安全官Marnie Wilking表示：“緊張的CIO與CISO關系常常表現為目標、優先級甚至溝通上的不一致。‘當技術和安全領導者意見不一致時，無論是從運營還是結果上都能看出來，從項目錯過截止日期到漏洞增加。’”

多種因素可能導致關系緊張。

首先，Cardwell表示，安全部門有時仍被視為——而且表現得像——“拒絕部門”。她解釋道：“CIO從來沒有‘拒絕’的奢侈。CIO的工作是推動業務發展。所以CISO也需要有這種心態：‘業務想要做這件事，而我的工作是找出如何實現這一點。’”

Cardwell表示，即使安全部門沒有表現得像“拒絕部門”，CISO也可能需要太長時間才能給出肯定的答復。

她表示：“根據問題的不同，有一百種方法可以快速解決問題。‘作為CISO，我喜歡提供幾種不同價格、不同時間線的解決方案，并列出優缺點和安全評分，從最快但安全性較低，到最安全但在這個時間線內，為CIO和業務提供選擇。’”

關系不佳的另一個原因：有時CIO沒有將安全放在足夠重要的位置。Palmore表示：“也許CISO只關注安全，而沒有考慮如何推動業務發展;或者也許CIO完全不關注安全，只專注于業務推動。”

在其他情況下，CIO想要嚴格控制所有IT事務，并排除安全部門——或者反之。托管安全服務提供商LevelBlue的首席安全與信任官Kory Daniels表示：“一些安全領導者認為，只有他們才擁有安全大權，結果發現自己孤立無援，沒有船帶他們回家。”

專家表示，其他導致CIO與CISO關系不佳的因素更多是結構性的。

這可能是因為組織沒有明確界定每個職位的職責。Wilking表示：“當角色和責任沒有明確界定時，責任的重疊或空白可能會造成不必要的風險。”

或者，組織的資金籌措過程可能使他們成為“爭奪同一資金的對手”，Cardow表示。

Wilking表示，這些問題大多源于“圍繞企業風險缺乏共同的背景和一致性”。

她解釋道：“CIO通常根據正常運行時間、可擴展性和敏捷性來衡量，而CISO則專注于保護數據、確保合規性和減輕威脅。如果沒有對這些優先級如何交叉的統一看法，兩者可能會顯得格格不入。‘很多時候，網絡安全被視為守門人，而不是真正的合作伙伴。團隊合作最終變得像是交易，而不是協作。在Booking.com，我們強調從一開始就將網絡安全嵌入業務戰略中，確保它是關于產品設計、數據和客戶信任的每一次對話的一部分。’”

如何改善不佳的關系

CIO和CISO都有動力去改善有問題關系。

正如Lee所解釋的：“CIO與CISO的關系至關重要。他們必須有效合作，以實現組織的技術和網絡安全目標。所有技術都伴隨著網絡安全風險，這可能影響技術的成功實施和業務成果;這就是為什么CIO必須關注網絡安全。CISO必須知道，網絡安全的存在是為了實現業務成果。所以他們必須共同努力，以實現彼此的優先事項。”

CISO可以采取措施，與CIO建立更好的默契，利用當前發生的變革——無論是AI帶來的變革還是經濟不確定性帶來的變革——作為契機，進行檢查，重新調整關系，并解決任何阻礙協作的問題。

CISO可以采取的步驟包括：

? 與CIO以及C級高管和董事會就組織的風險立場達成一致。

? 確保安全與組織的戰略及其IT路線圖保持一致。Transcend公司的Cardwell表示，對于CISO來說，思考“CIO在這里有個很棒的想法。我想找出如何使其安全”是很重要的。

? 明確CIO和CISO的職責。LevelBlue公司的Daniels表示：“你需要明確界限在哪里。”

? 將與CIO進行定期和即興的直接溝通作為優先事項。

? 專注于關系管理。Daniels表示：“溝通，愿意會面，讓團隊會面，建立信任。”

? 努力了解CIO的優先事項、激勵因素和挑戰，并分享你自己的這些情況。Daniels補充道：“設身處地地為對方著想。”

? 轉向推動業務發展的思維模式。RegScale公司的CISO Hoak表示：“不要以‘不’開頭，而是以‘我們如何安全地實現這一點’開頭。”