CIO们想从CISO那里得到什么：协作而不是相互指责

两位CIO解释了他们是如何看待与安全部门的关系的，以及为什么首席信息安全官(CISO)需要与CIO密切合作，无论他们是否需要向CIO报告。

CSO或CISO向CEO而不是CIO报告的情况并不少见。虽然每家公司都有自己的组织和报告结构，但是CSO的位置和他们的报告对象无疑会影响公司内部的关系。这包括了CISO和CIO之间的关键关系。

在伦敦举行的英国CIO峰会上，两位CIO讨论了他们与安全的关系，以及他们的角色是如何与安全功能协同工作的。

在英国，很少有CSO能够与CIO并肩同行

根据英国CIO 100调查的结果，在英国大约65%的公司有一个CISO或类似的需要向CIO进行职能报告的人。只有12%的组织认为CISO与CIO是同级的，这个比例在近几年增长了三倍之后，在去年的基础上略有下降了。

这一比例落后于美国。在美国，根据2019年的CIO状况调查发现，近四分之一的CISO或类似机构会向首席执行官汇报–其中有43%的CSO和18%的CISO–只有45%的CISO需要向CIO汇报。然而，无论他们坐在哪里，CISO都应该努力让CIO也站在他们这边。

CIO/CSO的协作是关键

作为News Corp全球业务的首席信息官，Sabah Carter负责监督该公司在班加罗尔的设施，包括数据工程、产品工程、安全和基础设施运营，以及公司所有旗舰产品的运营，包括News UK、Dow Jones & Company和News Australia。其他业务部门也有自己的CIO和CISO，他们需要负责不同的地理位置、服务和产品线，她将其描述为一个“高度的矩阵结构”。

“我发现解决这个问题的最好办法就是划定非常严格的界限。这周我和我的CISO以及CISO小组进行了一次非常有趣的对话，讨论谁应该对此负责，我最后说，‘好吧，如果班加罗尔出了什么事，而且不太对劲，我的命就保不住了。所以，给我一份CISO报告肯定有利于这种控制，我认为如果没有它，我就可能会失去这种控制。”

除了向Carter报告，她的CISO还需要向总法律顾问报告，这对预算和促进董事会的认识等方面都有好处。“如果(CISO)是为首席技术官(CTO)或首席信息官(CIO)工作，那么这个人就有责任在(CIO)的预算范围内解决一切问题，因为他们会从CEO那里得到很多压力，”她表示。“如果那个人真的被安插到了首席执行官或首席法律顾问的位置上，那么这种风险就会在董事会层面上得到分担，而在那个层面上，你很难说不。你不会觉得你真的必须为安全开支辩护。”

“我觉得在我的预算范围内，我控制了很多交付安全方面的问题，但是如果它可能会影响到全球的潜在品牌，那么其他人就必须提出一个案例和董事会层面的问题，这是非常有帮助的，”Carter说。

Carter表示，无论报告结构如何，重要的是合作与协作。“如果你有一种文化，在这种文化中，人们会因为为彼此帮助而得到奖励，那么你就会有这个问题，”她说。“如果CISO的工作是进行评估，指出网络安全哪里不好，或者我们在哪些其他方面做得不好，那么显然你是在一个敌对的环境中建立起来的，这是两个对立的因素。”

“不久前，有人宣传说，他们想要对所有不同的首席信息官进行全公司范围的安全评估，我们都拒绝了，因为我们不需要有人给我们的作业打分，”Carter说。“这绝对是错误的设置。”

相反，Carter认为CIO和CISO应该一起寻找解决方案，而不是相互指责。“我不希望任何人来找我，告诉我他们发现了同事的一些东西，因为他们的回答总是，‘为什么会这样?你有什么计划吗?你们先不要来找我，等你们有了计划再一起来。’”

CSO需要对CIO表现出信任

CSO需要意识到，一些CIO可能不会把新安全主管的到来视为完全积极的事情–尤其是在这个职位是最近才设立的时候–如果他们以前只负责安全的话。“我想知道处于同一级别的平行模式是否真的会削弱CIO的角色，”Alan Hill说，他是埃克塞特大学的信息和数字总监，“因为我们应该以企业的最大利益为出发点来运营，而且我觉得我能够亲自来平衡这些风险的技术解决方案和商业风险。”

因为学校没有CSO，所以Hill也在负责着安全的工作。该大学也确实有一个资深的信息风险负责人(教务长，相当于副首席执行官)，他负责大学内部的风险管理，他将允许埃克塞特将商业和技术风险合并到一个地方。他认为，至少对于较小的组织来说，如果已经有了CIO，通常就不再需要CISO了。

“这种观察威胁、分析威胁并把它们运用到商业活动中的能力，以及围绕这些威胁提出政策、指导和投资的能力，就是我的职责。我认为CIO们应该完全能够明白这一点。如果我处于那个位置，而他们又给了我一个CISO，我会感到有点委屈。这意味着他们不再信任我的工作了。”

“这对人们来说是个挑战，”Hill继续说道。“究竟是不是因为我们作为CIO的工作做得还不够好，所以你才需要一个CISO和一个CSO，还是我没有抓住要点?”