从历史上看,安全部(CISO)报告到它的主管(CIO)已经意识到了。
这两个部门都是 - 在他们的核心技术学科,因此需要两者需要定期联系。他们需要重叠在网络基础架构,信息安全和IT合规性上,更不用说监督安全,无论是安全,错误的代码和安全产品的交付。
然而,这种关系经常遭到InfoSec社区工作人员的抨击。有些人将其描述为“对抗性”——两个截然不同的人试图实现不同的目标。
CIO将在线提出新的业务应用程序,以维护服务级别协议,并确保所有用户都提供IT服务。实际上,CIO的奖金通常与这些非常原则的KPI联系在一起。
然而,它是安全管理人员的不同球场。随着减少风险的最终目标,如果他们认为这些攻击更容易受到攻击,他们必须有权延迟应用部署甚至脱离申请部署甚至脱机资源。
也有不同的压力 - 和薪水。随着安全性的新兴行业,通常有几个没有关键绩效指标,而新兴市场和经常宣传的技能短缺意味着一些首席信息安全官可以$ 500,000到$ 2亿美元之间的任何地方获得。相比之下,罗伯特半技术报告称,美国平均工资的CIO是介于$ 157,000和$ 262,000。
也许这并不奇怪,那么可能存在并发症。有人说,CISO报告进入CIO意味着风险管理占据了运营的后座。其他人认为这反映在预算中,INFOSEC通常占IT预算总体占总预算的3%至5%。
这不仅仅是少数人;还有证据表明,脱离或不感兴趣的CIO可以对业务的安全产生负面影响。
一种2014年报告普华永道发现,首席信息安全官CIO们报告有14%以上的停机时间而发生的事故比那些没有。同一份报告还找到具有相同的结构,组织看到更高的经济损失46%,因违反公司相比具有另一种结构。
另一项研究,用炭黑进行,发现了28%的首席信息官(在英国至少)违反违约。
“我作为临时CISO问题解决顾问访问了一些组织,我看到的第一个问题是缺乏对CISO和CIO角色的理解,缺乏清晰的报告和利益相关者参与,”顾问、前富士通CISO吉米•巴希尔说CSO Online.。
[相关:首席信息官与首席信息安全官:优点和的“敌对”关系利弊]
“这一直导致了CIO思维的CISO只是许多子问题来管理一个...有些CIO们甚至不相信,因为他们还没有违反需要一个CISO。”
这种陷入困境的关系 - 这与越来越渴望推动担保的愿望令人兴奋的商业议程 - 已经看到一些组织尝试和改变报告线。如果有限的采样,有兴趣,在CISOs报告财务总监的预算原因,以及对法律顾问和首席风险官的兴趣。
大多数首席信息安全官最终会像一个直接链接到CEO,而分析师认为,这可能是答案;IDC预测,首席安全官和首席信息安全官的75%将在2018年直接向CEO汇报。
一个ciso的投诉
有一定的合理首席信息安全官身边投诉到CIO汇报工作。
例如,有一些,如果安全问题威胁拖延或停止IT项目的担忧,CIO可以否决它。
该CIO也可能不愿意批准阻碍IT生产力安全项目,而且他也能降这样一个项目,如果钱可以在IT花费。
已经有太多CIO们不会注意到CISO的建议 - 这是在物联网时代的新的互联网而以前未连接的企业产品现在被连接到网络,并收集数据的问题。
在今年早些时候的MIT安全圆桌会议上,三星商业服务Ciso Sam Philips表示,IT领导人越来越犯了推出商业工具而不完全了解业务风险和要求。
他和Mark Morrison - 金融服务公司州街道的CISO,呼吁安全院长独立地运作。
莫里森解释说,州街的工作是他的第五次进站作为首席安全官,他一直上报给CIO。但在州街,莫里森还直接向板。
“我是唯一一个长期存在的议程项目,”他在谈到董事会会议时说。但在每次董事会上,他都会回答关于风险的同样问题,比如“风险有多严重?”以及“他是否有足够的资源来完成他的工作?””
“发生了什么,这种自然紧张的行动与网络安全之间的紧张局势,而且只有这么多钱,”他说,他的意见报道Techtarget.。“只有可分配如此多的时间和优先级。”
他承认,报告结构使得“很难给出一个非常诚实的答案”。
CIO的投诉
这种不满意是单面的。CIO可以觉得CSO / CISOS减缓创新周期,并传播数据违规和网络犯罪分子的恐惧因素。
一个cio,匿名说话CSO Online.今年早些时候,先前解雇了他的CISO,在指责他“谈话时,但不走路”之后。
为一家大型欧洲运输公司工作的CIO表示,弱雪松“为董事会和高级管理人员创造真正的恐惧因素”,无法与业务妥善沟通。
“这是一场持久战,”他告诉CSO,继续糟糕的Cisos充当阻挡者,无法呈现解决方案并参与思想领导。
他承认,报告行的谈话是“大辩论”,并说,风险和信息安全最终可能会落在CRO或法律顾问下。
首席信息安全官,他说,必须做到以下几点:
- “肯定知道你的范围,以及你的界限,以及你可以突破[业务]的地方,你可以在哪里增加价值。”
- “了解业务,清楚业务的优先事项是什么。”
- “试图使它真正为管理人员。如果他们了解它,它挑战他们,那么你就不太可能被解雇!”
如何改善关系?
对于这一切,则存在关系可以业界的共识 - 而且往往做 - 工作。
佳能欧洲信息安全主管昆廷•泰勒表示:“我与首席信息官(我的老板)的关系非常密切。”“我们有共同的愿景,知道我们可以在尊重的文化中自由地分享和提出建议,我们都感到很舒服。
国际产品测试公司Intertek的首席技术官戴恩·沃伦(Dane Warren)补充道:“以我的经验,我们之间的关系一直很好。”
这就是说,泰勒承认,沟通和分享共同的目标是到关系是一个成功的关键。
他说安全是关于实现“共同的企业愿景”,并在这两个首席信息安全官和首席信息官股电话“开放的沟通和共同的目标,记住,它们具有相同的总体目标。”
它也是商业推动者。
“Where I have set-up the reporting structure for the organization, the CIO and the CISO work well together with the business and become-enablers, rather than the old approach of 'you’re not allowed to do that',” adds Bashir.
“CIO必须要明白,CISO是一款支持功能,它们的作用,而不是感到威胁,他们的判断受到质疑或者说他们将要归咎于任何问题找到。当CIO拥抱CISO,关系效果很好。”
所以,他们什么时候会失败?
泰勒说,关系倒下“时,有没有尊重和信任的文化”。
“这意味着Infosec部门开始对风险负面持消极态度,并相信他们将负责责任,开始变得大规模危险不利。这是腐蚀性,因为它不被理解并进一步隔离Infosec团队。“
巴希尔认为,这可以通过部门之间更好的沟通来克服。
“有效的参与是基于明确而简洁的沟通,这适用于整个业务,而不仅仅是CIO和CISO关系。
Intertek的沃伦同意。“确保安全消息与业务相关,并且正在展示业务价值。”
这个故事,“首席信息安全官,它的时间与您的CIO冰释前嫌”最初发表CSO 。