這篇由David Gee所寫、2024年5月21日在CIO網站刊出的"Reducing CIO-CISO tension requires recognizing the signs"。讓我們可以一窺資訊長、資安長這兩個位置之間的互動關係,頗有意思。以下分享一些內容。
在競爭壓力與優先性之下,資訊長與資安長通常會彼此立場不一。瞭解緊張在哪、以及夥伴會如何做,這一點對於維持有生產力的夥伴關係而言,很重要。
資訊長與資安長在高壓的環境裡工作,有時候會為其關係帶來額外的壓力,進一步就讓他們無法產生有益的成果。
在作者自己的職涯裡,當過資訊長、資安長,因此對這兩方都有第一手的經驗。這需要瞭解彼此角色的壓力和優先事項,以及夥伴會如何運作。
資訊長有多面向的任務,全部都要顧,而且受到管理階層和董事會高度重視,希望資訊長能在IT議程的核心。
此議程就是:運用科技而讓企業轉型成長。整個企業的關鍵利害關係人要求從這些平台提供技術為主的變革及積極的客戶經驗,而判斷一個資訊長能力之好壞,不僅是可提供新的數位解決方案,還有維持營運流程,不受服務中斷所影響。
同時,資安長的任務就是要保護企業不受外部威脅。資安長在確保企業安全所需的權衡上,還要面對企業利害關係人的壓力。
這些權衡是與資訊長職權範圍的交叉點,突顯了兩方在優先事項上的衝突。隨時間變化,這個狀況(以及他們如何處理、解決)會引發兩方真正的摩擦。這個摩擦可以表面化、或者公開或私下沸騰,甚至同僚、資訊長/資安長本人都沒看到。
成熟的企業必須暫時接受風險、之後再補救。補救漏洞就是資訊長和資安長之間會出現緊張之處。
在有嚴重漏洞的狀況裡,資安長想要立即修補,而資訊長對這個急迫問題也一樣。但對中度的漏洞,資訊長或許就有壓力要延遲這些干擾對生產系統的影響,而或許會要資訊長等個幾週、甚至幾個月再去補救。
同樣的緊張關係也出現在會影響客戶數位經驗的計畫上。比如,新的多重身份驗證需要新的客戶溝通、甚至可能短期內會擾亂相關管道,有些或許是企業難以接受的。
事故管理是另外一個緊張點。在嚴重的網路或營運中斷事故上,資安長要扮演領導性角色,同時也常是報告壞消息的「信使」。當然,資訊長想要立即取得資訊,但通常在很多未知的狀況下,內容十分不明。這就會讓資安長在資訊長面前表現不佳,在事故的早期階段,問題常會多過於答案。
以上幾種摩擦,都還不涉及資訊長與資安長的個人特性,此額外的不一致問題,還會使兩方關係更為緊張。
資訊長與資安長的職涯發展可能各自不同,因此工作方式完全不同。有些或許自然而然就能合作得不錯,有些或許會造成衝突。
作者在此的建議是:考慮夥伴的運作方式、他們自然的方式為何,以及你如何以不同方式處理潛在壓力點。比如,業務型或夥伴型的資訊長,會視利害關係人議合為成功關鍵。若配了技術型或轉型式的資安長,可能會不合。
若要處理資訊長和資安長緊張的狀況,首先要認清方法上本就會分歧,而且重要的是,資訊長與資安長要承認這個問題,並解決如何調和彼此的差異。
作者建議一些原則可以考慮:
1.採行企業優先的態度。
2.瞭解所有提議行動對企業的效益。
3.以事實為基礎。
4.透明、誠實,但不要有攻擊性。
5.尋求雙贏。
如果兩方都不致力於推動改變,則這個方法或許不會奏效。如果是這個狀況,就需要重新來過,透過第三方或獨立的教練,可協助董事會強化兩者的關係。希望如此重新來過可透過一些小的調整達成,而不用一方、或兩方都放棄而且離開。
資料來源:https://www.cio.com/article/2112584/reducing-cio-ciso-tension-requires-recognizing-the-signs.html
沒有留言:
張貼留言